銀行網絡風險 渠道因素居首

評論‧世情 2022/03/31

分享:

分享:

近年網絡攻擊事件頻仍,令電子商貿活動飽受威脅,金融業者受網絡安全威脅尤甚,因而備受政府金融監管機構、銀行以及存戶的高度關注。香港金融管理局於2016年推出「網絡安全防衞計劃」(Cybersecurity Fortification Initiative,CFI),冀提升金融業者的網絡安全。

計劃由3大支柱組成,包括「網絡防衞評估架構」(Cyber Resilience Assessment Framework,C-RAF)、「專業培訓計劃」(Professional Development Program,PDP)及「網絡風險資訊共享平台」(Cyber Intelligence Sharing Platform,CISP)。其中,C-RAF訂定出一套以風險為基礎的評計框架,讓香港的認可金融機構(authorized financial institutions,AIs)按此評核本身的風險狀態,以及訂出對網絡攻擊的適當防禦措施,以提升其網絡安全水平。

C-RAF自評框架 兩大方向

C-RAF有效性如何,相信金融業界內外都想了解。筆者聯同研究團隊,於2019年至2021年期間,編製了一份C-RAF措施的評估項目清單,調查了22家認可金融機構,並收集了它們提供關於C-RAF的數據,進而使用不同的分析模型進行全面評估,以研究該框架的有效性,以及實施的金融機構相對於同行之網絡安全表現。

C-RAF其實是一個銀行對風險的自我評估機制,以及衡量自身應對風險的成熟程度有多高。評估要求有兩個大方向,其一,是每家認可金融機構必須評估自身風險,透過所設計的「固有風險評估」項目,審視和評核本身的風險狀況,當中有5個評估分項,包括「技術」(Technology)、「輸送渠道」(Delivery Channel)、「網絡威脅過往紀錄」(Tracked Record on Cyber Threats)、「產品及技術服務」(Products and Technology Services)和「機構特性」(Organization Characteristics),例如該銀行有多少員工和客戶、分行數目有多少等,而5個分項裏又有各自不同數目的細項,需要銀行回答;其二,是對自身網絡安全成熟程度評估。

我們對參與C-RAF並接受調研的22家銀行,進行了統計分析,並將之對應互相之間的網絡安全表現。筆者於本文闡述這項研究報告(Cybersecurity For Financial Industry:An Analysis of the Cyber Resilience Assessment Framework)的一些主要觀察和發現。

分項問題數量差異 影響結論

在詳述報告內容前,須補充一點,我們亦將香港金融管理局設計的C-RAF,與國際上普遍應用的網絡安全管理和理論進行對照,發覺C-RAF的設計和要求是與國際「接軌」的,做得不錯。

正如前文所述,在C-RAF評核中,有不少評估分項,例如在「固有風險評估」項目下便有5個分項,我們仔細分析金融機構在這些細項範疇裏,哪一項做得好,哪一項做得不好。我們最先得到的觀察是,若着眼於哪一個項目的風險系數最高,以為呈現風險系數最高的項目就是主要風險源頭,這個看法不一定正確,因為風險系數有多高,往往取決於評估框架內要求回答多少個問題。

具體來說,在「固有風險評估」下的「技術」分項有17個回答細項、「輸送渠道」分項有4個、「網絡威脅過往紀錄」分項有7個、「產品及技術服務」分項有14個、「機構特性」分項則有9個。事實上,回答愈多,計算出來的風險系數也會愈高,純粹按金融機構自我評估出來的風險系數高低作判斷,會出現一個誤導性結論。

技術風險應對 多部署充足

從研究看到,金融機構自評風險系數最高的是「技術」,認為「技術」是風險最高的來源。不過,我們進一步把這個系數對比C-RAF評估要求問題的數量,發現「技術」並非最大問題,因為金管局對「技術」的提問最多,令其風險系數得到最高分數;當我們把風險項目對應問題的數量作出調整,發現大部分金融機構在「技術」上的應對措施,其實已做得很好,反而「輸送渠道」才是最大的風險因素。金融機構用甚麼渠道分銷輸送其產品或服務,其實才是風險源頭的主要元兇。

很顯然,對這類自我評核的系統,我們必須要留意其設計中的缺點,了解當中的問題,據此作出適當調整才進行分析,找出真正問題所在,結論才比較可靠。資訊科技界一般以為,保安最關鍵的問題在於「技術」,但我們的研究發現,這個觀點不一定正確。

事實上,應用資訊科技並具規模的機構,大多已有所部署,以針對和有效應對來自「技術」方面的風險,反而是面對眾多客戶,以及用到不同渠道接觸他們,這些因素才是最大的風險源頭。

另一方面,金管局沒有要求銀行分門別類地闡述其機構特性,每家銀行僅回答標準化的問題。於是,我們抽取一些銀行的特性,包括其股東資金(Equity),通過繪圖展示其規模,並與風險對照,發現兩者有很大的相關性,愈大的銀行,風險系數愈高。看到這個表象結論,與一般人的想法似乎相近,即認為愈大的銀行,應用更多資訊技術、提供更多產品和服務,受到的網絡安全威脅也愈大。

誠然,按照統計,大銀行風險分數的確相當高。不過,我們採取同樣對應問題數目而作出適當調整的方法,發現根據銀行規模的角度觀察分析時,「輸送渠道」或「機構特性」的風險因素更形突出,凌駕於資訊科技應用的因素;換言之,機構的特性,例如其分行數目、員工人數、客戶人數等,反而是最大的風險源頭。

用戶夥伴等環節 紕漏所在

這項發現與筆者多年對網絡保安研究的觀察脗合,即網絡保安主要不是技術的問題,反而在於用戶、交易夥伴、商業關係,或分行網絡、員工和用戶人數等環節,這些往往成為保安漏洞、或遭受網絡攻擊的「阿基里斯腱」(The Achilles tendon);關於這些論述,筆者在本欄也曾多次撰文,指出網絡保安的真正紕漏所在。

可以說,上述兩項主要發現,的確給予我們很大的啟示。在一般人印象中,以為技術是網絡保安的主要風險源頭,但一些沒有受到足夠重視的因素,反而是十分關鍵的風險源頭,一旦在網絡保安上沒有對焦漏洞,便無法有效堵塞。

坊間一般認為,技術是網絡保安的主要風險源頭,但應用資訊科技並具規模的機構,大多已有所部署,有效應對相關風險。(資料圖片)

撰文 : 許佳龍 科大商學院資訊、商業統計及營運學系講座教授、艾禮文家族商學教授

欄名 : 評論‧世情

緊貼財經時事新聞分析,讚好hket Facebook 專版