2008 年的金融海嘯為全球金融業敲響了警號,引發一連串的規管和更新過時的法例以防同類事情再次發生。但數年過後,似乎又有其他的威脅逼近,而且來得更頻繁、更持久。
銀行和金融業渴望為客户提供方便和個人化的服務以保持其競爭力,故此,他們收集和分析了大量敏感的客户數據,而這些數據都可被線上存取。但這種方便卻為網絡攻擊打開了缺口,網絡罪犯可以利用數碼系統的漏洞進行不同形式和複雜程度的攻擊。而這種攻擊近年來越趨頻繁,假若我們掉以輕心,網絡攻擊將會為我們帶來另一波的全球金融危機。
在 2016 年,孟加拉銀行的官方電腦受到駭客攻擊並導致 8,100 萬美元的損失。去年,多間南韓的銀行受到 DDoS 的攻擊威脅,勒索他們 31.5 萬元比特幣。同年,美國的信貸評級機構 Equifax 的數據庫亦遭到駭客入侵,導致大量個人資料洩漏,影響橫跨美國、英國和加拿大超過 145 萬人。
同樣令人憂心的還有一些長時間續漸洩漏數據的攻擊,這些攻擊通常透過惡意軟件散佈,例如在拉丁美洲出現的TrickBot Trojan,它盯上了超過 40 個國家的銀行,情況非常嚴峻。
近期的趨勢就如 P2P 銀行服務、不同的指令好像支付服務指令 II(PSD2)和一些舉措例如在英國開放銀行業應用程式介面(API)標準等,它們固然帶來好處,但同時在無形中為駭客提供更多的渠道入侵系統,造成威脅。國家與全球當局已推出相關規管確保金融機構嚴格採取措施保障網絡安全。
在即將於 2018 年 5 月 25 日實施的歐盟一般資料保護條例(EU General Data Protection Regulation)中,違例的企業將要繳付 20 萬歐元或全球年營業額 4% 的罪款(以較高者為準)。印度亦正成立專為金融業而設的電腦應急響應小組(CERT-Fin) ,與金融規管機構和持分者緊密合作,共同為網絡保安出一分力。在 2016 年,香港金融管理局推出「網絡防衛計劃」(CFI)以提升香港銀行業網絡安全的標準。CFI 共有三個階段,包括設立「網絡防衞評估框架」、推出「專業培訓計劃」及建立「網絡風險資訊共享平台」。
正所謂「道高一尺,魔高一丈」,銀行和金融機構必須以敏捷的網絡保安策略去辨別潛在威脅、防範攻擊和儘早復原。銀行業應該繼續投放相當的金額於網絡保安方面,因為他們的業務十分依重客户的信任。隨著開放的銀行業務發展,以及不同數據之間匯集成數碼的互通,行業需要更積極地保護客人的資料。一次的保安漏洞足以損害企業的商譽,按最近一份客户的調查發現 50% 的受訪者表示若所屬的銀行遭受到網絡攻擊,即會考慮轉用其他銀行;而 47% 的受訪者則稱如果所屬銀行有網絡攻擊事件發生的話,他們會對銀行「失去完全信任」。
銀行、金融服務和保險業(BFSI)需要研究採取全天候的偵察、防衛和應對措施對抗網絡威脅。市場上的第三方保安服務供應商早已推出相關服務,並提供全面的專業保障。值得鼓舞的是針對保安營運中心(SOCs)的投資比重亦正在增加,2008年的金融海嘯教曉整個金融業採取更負責任的風險管理方案。然而危機過後,種種事件也一再教訓我們要時刻關注最新的網絡保安威脅和解決方案,以及在我們最重要且脆弱的行業中投資保安應用程式,以便應對現時和將來的改善。
作者:Srinivasan C.R.
Tata Communications 首席數碼官