香港金融管理局(金管局)一直以來力求創新的想法和倡議,旨在保持香港作為亞洲最大金融中心的地位。在金融科技領域,金管局在2020年發出八個虛擬銀行牌照,是區內首批發出虛擬銀行牌照的地方。這為銀行界帶來了熱烈的競爭,例如銀行費用下降,並以大量促銷活動來吸引客戶開戶。亞洲其他國家也緊隨其後,發放了該區的虛擬銀行牌照。
截至2020年底,香港虛擬銀行已累積超過150億港元(約19.3億美元)存款和42萬名客戶。金融諮詢公司Quinlan and Associates的報告預測,到2025年,這些電子銀行的收入將超過760億港元,在合計市場佔有率將達到19.3%。這些虛擬銀行和大型的傳統銀行,如香港上海滙豐銀行和渣打銀行,在金融科技方面投入大量投資,目的是利用科技來降低成本,提供更好的服務。
風險所在
由於資金的龐大以及銀行所保存資訊的關鍵等明顯的因素,銀行等金融機構一直是網絡罪犯的明確目標。虛擬銀行因通過其網絡可能需要處理更多數據,而對罪犯更具吸引力。雲原生應用程式的基本元件,如應用程式設計介面 (API),讓軟件解決方案相互通訊,也給銀行帶來安全風險,為網絡罪犯提供潛在的入口來避過監管和入侵。
現代軟件供應鏈的情況更加複雜。虛擬銀行固然會與第三方供應商合作,為用戶提供各種創新支付服務,如果保護不當,漏洞百出,這將大大增加網絡罪犯可竊取數據和入侵系統的攻擊面。這種攻擊被稱為供應鏈攻擊。最近一次備受矚目的供應鏈攻擊的例子是 SolarWinds 事件,SolarWinds 軟件漏洞造成多達 18,000 名包括金融機構在內的客戶洩露數據。
金融機構儲存資訊價值高,勒索軟件成為它們面臨的主要網絡安全威脅之一。勒索軟件這種惡意軟件會先加密受害者的檔案,並向受害者索求金錢將其贖回,因而影響企業的運作。更甚者,攻擊者會通過現被稱為「雙重勒索」的技倆,如果組織拒絕支付贖金,攻擊者可能洩露企業的資訊。這種險惡的攻擊已經為海外機構造成了沉重的損失,同時對亞洲的機構亦構成了威脅。
採用「零信任」獲公眾信任
數碼銀行要與傳統銀行匹敵,建立客戶信任必須成為優先事項,這需要強有力的網絡安全措施。數碼銀行在網絡的多雲環境中處理大量數據,需要確保全面和嚴格的網絡安全。
要建立數碼銀行網絡信譽的最佳措施是採用零信任概念來構建網絡安全架構,這意味著在任何預設情況下都不應假設安全。具體來說,零信任是動態的資訊科技安全模式,它摒除對網絡、應用程式和數據的信任以達到防禦攻擊的目的。這種檢查所有網絡行為的過程將大大推動數碼業務的成功,原因如下:
首先,使用者將從任何位置接觸銀行服務,零信任安全模式可以直接通過端點或雲實施並不依存於一個位置。零信任安全模式亦可添加到現有網絡架構,無需更換現有技術。機構現有的工具和技術可以與這種新的安全模式並用。
通力合作 建立信任
網絡安全是一項共同的責任,最終用戶也有責任確保其有價值的數據不被竊取。另一方面,企業需要採取積極主動的方法保護自己,數碼銀行也應如此保護其資產及客戶。在與數碼銀行合作之前,企業亦應進行盡職審查,確保安全措施足夠,包括零信任等全面的網絡安全框架以及敏捷的安全應用能力。這些功能應包括 DevSecOps、安全審核、漏洞評估和滲透測試。DevSecOps 涉及將軟件安全作為整個軟件交付過程的核心部分。
傳統上,軟件安全操作的不同範疇是分開執行的 ─ 開發人員編寫代碼,IT 團隊部署代碼時無需考慮安全問題。只有在軟件編寫並放置在生產環境後,安全工程師才會檢查代碼或託管代碼中的潛在漏洞。DevSecOps將安全性直接整合到軟件交付過程的所有階段,確保開發人員在編寫軟件代碼時已考慮部署測試的安全問題,並確保 IT 團隊在部署後發現安全問題時有快速的解決計劃。
客戶還需要了解銀行將如何使用和儲存其數據,並注意網絡衛生最佳實踐。這包括學習識別常見的網絡釣魚詐騙,避免在存取其數碼銀行帳戶時使用公共Wi-Fi網絡,以及在不同的銀行應用程式使用不同的密碼。確保其數碼身份得到充分保護,強大的多因素驗證也是這些新銀行的客戶必須而且應該使用的。
亞洲首批數碼銀行在香港成功推出,有助推動金融業進入一個新紀元,並革新企業和消費行業。然而,網絡安全將是建立消費者信心的關鍵成功因素,只要有一宗數碼銀行的網絡攻擊或數據洩露的事件即可能會影響公眾對整個數碼金融服務的信任,並削弱其發展勢頭。因此,香港企業必須優先考慮網絡安全,預防措施對數碼轉型至為重要。
作者:Palo Alto Networks香港和澳門區總經理馮志剛
