第三方風險 銀行網安真正弱點

評論‧世情 2022/04/21

分享:

分享:

對於提升香港認可金融機構的網絡安全水平,金管局推出「網絡安全防衞計劃」(Cybersecurity Fortification Initiative,CFI),其中的「網絡防衞評估架構」(Cyber Resilience Assessment Framework,C-RAF),讓金融機構按照評估架構所設計的「固有風險評估」(Inherent Risk Assessment,IRA)各項目,評核本身的風險狀態,以訂出對網絡攻擊作出適當的防禦措施。

筆者在之前的文章,根據科大商學院《Cybersecurity For Financial Industry:An Analysis of the Cyber Resilience Assessment Framework》研究報告指出,「輸送渠道」(Delivery Channel)是最大的風險來源(請見「銀行網絡風險渠道因素居首」一文),有關分析,筆者於本文不贅述。

除了「輸送渠道」的風險,對於認可金融機構的內部風險評估,其實我們亦做了幾個分析,其中一個為「因素分析」(Factor Analysis),即把內部風險評估的一些不同因素,透過統計學的方式將之分門別類,歸類哪些因素與風險的關連性比較大。

我們把金管局對認可金融機構內部風險評估的14個大範疇,歸納為4個風險因素,分別為「支付服務風險」(Payment Provision Risk)、「銀行服務風險」(Banking Services Risk)、「網絡攻擊風險」(Cyber Threat Risk)以及「受攻擊的種類風險」(Attack Variety Risk)。

根據這4個風險因素進行檢視,究竟高風險銀行與中、低風險銀行之間,最大的差異在甚麼地方?在一般人心目中,可能以為「網絡攻擊風險」或「受多樣性攻擊風險」方面的差別應該比較大,高風險銀行的風險源頭,應該來自網絡攻擊,或受到不同種類的攻擊風險;然而,按照我們的研究結果顯示,反而在「支付服務」及「銀行服務」這兩方面對風險的影響最大。

支付及銀行服務 風險主要源頭

換言之,高風險銀行的風險主要源頭,在於支付和銀行服務方面;至於在網絡攻擊和受到不同種類的攻擊風險,高風險銀行與中、低風險銀行的差異性不大。研究結果確實有點出乎一般人意料之外,卻可以給予各方一個新視角,監測和合力提升銀行網絡安全的水平。

除了內部的固有風險評估,C-RAF還有一個網絡安全的「成熟度評估」(Maturity Assessment,MA),當中包含7大領域(Domain),分別為「管治」(Governance)、「風險識別」(Identification)、「保護」(Protection)、「偵測」(Detection)、「應變與恢復」(Response and Recovery)、「狀態意識」(Situation Awareness)、「第三方風險管理」(Third-Party Risk Management),各個領域又有不同數目的大項。金管局向認可金融機構問了360多個問題,而每個大項的成熟度又分為「基綫」(Baseline)、「中級」(Intermediate)、「高級」(Advanced),扼要言之,金管局着眼認可金融機構在這7大領域,有否做到有效的管控(Control)。

網安成熟度 須與風險級別匹配

有趣的是,我們發現高風險的銀行,雖按固有風險級別被列為高風險,但在管控上,金管局所作的管控提問,這些高風險銀行都有逾90%做到,做得不錯,反而中度風險銀行在管控上的達標,卻差強人意。

走筆至此,必須補充說明,每家銀行所需要的成熟度級別,取決於固有風險評估的風險分類:低風險銀行需要達到「基綫」成熟度水平作為最低要求,中等風險銀行需要達到「中級」成熟度水平,而高風險銀行則需要達到「高級」水平。一般而言,所有認可金融機構所採用的風險控制,與其固有風險水平一致,風險較高的認可機構會採取更多管控措施;換言之,銀行的固有風險級別,應對到其所需要達到的網絡安全成熟度級別。

研究結果顯示,高風險銀行在基綫和中、高級成熟度要求上的管控,做到逾9成,低風險銀行也滿足只需基綫的成熟度要求,反而中風險銀行雖然做好基綫的要求,但在對應其需要的中級成熟度上,不少大項問題未能做到有效控制,達標率較低,這一點是值得留意的,因為展示了銀行未必一定做足自身風險歸類所需要的管控。

可以說,高風險銀行對自身網絡安全的成熟度要求,採取較大的警惕性,大部分都達標,低風險銀行也做到了基綫的要求,反而中風險銀行對若干領域項目上的管控要求,表面報告上未能做到盡善盡美(見圖)。

在風險管控上,有甚麼領域銀行都做得到?據我們的研究發現,數據安全(cybersecurity)達標率超過99%,表明所有被調查的銀行,都已盡可能控制其敏感信息和數據。事實上,對端點數據安全、數據保護和數據處置的有效管控,對銀行來說非常重要,因為有效管控能夠避免數據外洩;此外,銀行在「應變與恢復」(Response and Recovery)領域表現也非常好,這是值得欣慰的。

不過,看深一層,銀行對數據安全和網絡攻擊的「應變與恢復」予以高度重視和防範,從而對這些相關風險因素作出了符合監管要求的管控,其實都是目前網絡保安等教科書不厭其詳講授的內容,例如如何保障資訊數據安全、如何管理保安事故、對於保安事故如何進行有效報告和採取有效處理行動等,書本都反覆講授。換言之,在書本上提出並且作出詳細闡述的安全問題,不論是高、中、低風險的銀行,絕大多數都做到了有效管控。

「與外部聯繫」風險 管控不足

那麼,甚麼領域的管控做得相對較差?就是書本上沒有討論或講得很少的內容,例如第三方風險管理(Third-party Risk Management),這個網絡保安新領域較為人所忽視,筆者亦曾就這個風險源頭作出多次詳細分析和示警;此外,「與外部聯繫」(External Connections)的風險因素,管控也做得不足,這些因第三方的風險而成為銀行網絡保安的漏洞,也是教科書上很少討論和提及的問題。今次我們對C-RAF的調研,正好印證了筆者多年來對網絡保安問題的觀察和研究。

研究結果充分顯示,在網絡保安等教科書上所集中討論的問題上,目前高中低風險銀行都作出了符合監管要求的管控;至於教科書上很少提及、但近年不少網絡事故的發生,多出在銀行外部第三方風險源頭身上。換言之,這個新發展或新趨勢的風險源頭,呈現出一個「滯後分析」的現象,目前電腦及資訊保安專業研究或教科書比較少作出相應討論和分析,從而成為目前網絡安全上最脆弱的環節,這種第三方風險必須正視!

高風險銀行的風險主要源頭,在於支付和銀行服務方面。(資料圖片)

撰文 : 許佳龍 科大商學院資訊、商業統計及營運學系講座教授、艾禮文家族商學教授

欄名 : 評論‧世情

緊貼財經時事新聞分析,讚好hket Facebook 專版