銀行網絡風險 渠道因素居首

近年網絡攻擊事件頻仍，令電子商貿活動飽受威脅，金融業者受網絡安全威脅尤甚，因而備受政府金融監管機構、銀行以及存戶的高度關注。香港金融管理局於2016年推出「網絡安全防衞計劃」（Cybersecurity Fortification Initiative，CFI），冀提升金融業者的網絡安全。

計劃由3大支柱組成，包括「網絡防衞評估架構」（Cyber Resilience Assessment Framework，C-RAF）、「專業培訓計劃」（Professional Development Program，PDP）及「網絡風險資訊共享平台」（Cyber Intelligence Sharing Platform，CISP）。其中，C-RAF訂定出一套以風險為基礎的評計框架，讓香港的認可金融機構（authorized financial institutions，AIs）按此評核本身的風險狀態，以及訂出對網絡攻擊的適當防禦措施，以提升其網絡安全水平。

C-RAF自評框架 兩大方向

C-RAF有效性如何，相信金融業界內外都想了解。筆者聯同研究團隊，於2019年至2021年期間，編製了一份C-RAF措施的評估項目清單，調查了22家認可金融機構，並收集了它們提供關於C-RAF的數據，進而使用不同的分析模型進行全面評估，以研究該框架的有效性，以及實施的金融機構相對於同行之網絡安全表現。

C-RAF其實是一個銀行對風險的自我評估機制，以及衡量自身應對風險的成熟程度有多高。評估要求有兩個大方向，其一，是每家認可金融機構必須評估自身風險，透過所設計的「固有風險評估」項目，審視和評核本身的風險狀況，當中有5個評估分項，包括「技術」（Technology）、「輸送渠道」（Delivery Channel）、「網絡威脅過往紀錄」（Tracked Record on Cyber Threats）、「產品及技術服務」（Products and Technology Services）和「機構特性」（Organization Characteristics），例如該銀行有多少員工和客戶、分行數目有多少等，而5個分項裏又有各自不同數目的細項，需要銀行回答；其二，是對自身網絡安全成熟程度評估。

我們對參與C-RAF並接受調研的22家銀行，進行了統計分析，並將之對應互相之間的網絡安全表現。筆者於本文闡述這項研究報告（Cybersecurity For Financial Industry：An Analysis of the Cyber Resilience Assessment Framework）的一些主要觀察和發現。

分項問題數量差異 影響結論

在詳述報告內容前，須補充一點，我們亦將香港金融管理局設計的C-RAF，與國際上普遍應用的網絡安全管理和理論進行對照，發覺C-RAF的設計和要求是與國際「接軌」的，做得不錯。

正如前文所述，在C-RAF評核中，有不少評估分項，例如在「固有風險評估」項目下便有5個分項，我們仔細分析金融機構在這些細項範疇裏，哪一項做得好，哪一項做得不好。我們最先得到的觀察是，若着眼於哪一個項目的風險系數最高，以為呈現風險系數最高的項目就是主要風險源頭，這個看法不一定正確，因為風險系數有多高，往往取決於評估框架內要求回答多少個問題。

具體來說，在「固有風險評估」下的「技術」分項有17個回答細項、「輸送渠道」分項有4個、「網絡威脅過往紀錄」分項有7個、「產品及技術服務」分項有14個、「機構特性」分項則有9個。事實上，回答愈多，計算出來的風險系數也會愈高，純粹按金融機構自我評估出來的風險系數高低作判斷，會出現一個誤導性結論。

技術風險應對 多部署充足

從研究看到，金融機構自評風險系數最高的是「技術」，認為「技術」是風險最高的來源。不過，我們進一步把這個系數對比C-RAF評估要求問題的數量，發現「技術」並非最大問題，因為金管局對「技術」的提問最多，令其風險系數得到最高分數；當我們把風險項目對應問題的數量作出調整，發現大部分金融機構在「技術」上的應對措施，其實已做得很好，反而「輸送渠道」才是最大的風險因素。金融機構用甚麼渠道分銷輸送其產品或服務，其實才是風險源頭的主要元兇。

很顯然，對這類自我評核的系統，我們必須要留意其設計中的缺點，了解當中的問題，據此作出適當調整才進行分析，找出真正問題所在，結論才比較可靠。資訊科技界一般以為，保安最關鍵的問題在於「技術」，但我們的研究發現，這個觀點不一定正確。

事實上，應用資訊科技並具規模的機構，大多已有所部署，以針對和有效應對來自「技術」方面的風險，反而是面對眾多客戶，以及用到不同渠道接觸他們，這些因素才是最大的風險源頭。

另一方面，金管局沒有要求銀行分門別類地闡述其機構特性，每家銀行僅回答標準化的問題。於是，我們抽取一些銀行的特性，包括其股東資金（Equity），通過繪圖展示其規模，並與風險對照，發現兩者有很大的相關性，愈大的銀行，風險系數愈高。看到這個表象結論，與一般人的想法似乎相近，即認為愈大的銀行，應用更多資訊技術、提供更多產品和服務，受到的網絡安全威脅也愈大。

誠然，按照統計，大銀行風險分數的確相當高。不過，我們採取同樣對應問題數目而作出適當調整的方法，發現根據銀行規模的角度觀察分析時，「輸送渠道」或「機構特性」的風險因素更形突出，凌駕於資訊科技應用的因素；換言之，機構的特性，例如其分行數目、員工人數、客戶人數等，反而是最大的風險源頭。

用戶夥伴等環節 紕漏所在

這項發現與筆者多年對網絡保安研究的觀察脗合，即網絡保安主要不是技術的問題，反而在於用戶、交易夥伴、商業關係，或分行網絡、員工和用戶人數等環節，這些往往成為保安漏洞、或遭受網絡攻擊的「阿基里斯腱」（The Achilles tendon）；關於這些論述，筆者在本欄也曾多次撰文，指出網絡保安的真正紕漏所在。

可以說，上述兩項主要發現，的確給予我們很大的啟示。在一般人印象中，以為技術是網絡保安的主要風險源頭，但一些沒有受到足夠重視的因素，反而是十分關鍵的風險源頭，一旦在網絡保安上沒有對焦漏洞，便無法有效堵塞。

▲ 坊間一般認為，技術是網絡保安的主要風險源頭，但應用資訊科技並具規模的機構，大多已有所部署，有效應對相關風險。（資料圖片）