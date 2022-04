筆者於本文續談和總結金融管理局推出的「網絡安全防衞計劃」(Cybersecurity Fortification Initiative,CFI),其中「網絡防衞評估架構」(Cyber Resilience Assessment Framework,C-RAF)的成效和所發揮的作用。我們通過全面檢視銀行在C-RAF框架下應對風險的現狀或不足之處,冀有助提高公眾對網絡安全問題的認識。

C-RAF關於網絡安全在7個領域上的「成熟度評估」規則,無疑為銀行應對和防禦網絡安全威脅,提供了一個清晰簡潔的指引方針;我們再進一步,通過檢查風險和成熟度之間的關係,以進行更深入的觀察和研究。

在一般情況下,高風險銀行需要投入更多網絡安全的努力和工作,在這個前提下,我們當然希望看到,銀行的風險與其成熟度成正比關係,因為這意味着銀行對於某一領域的風險,有做到足夠的管控措施;若低風險的銀行能夠達到較高的成熟度水平,則自然更理想。

銀行風險評分 與網安成熟度正比

我們的研究發現,銀行的固有風險評分,與其成熟度之間存在正相關(Positive correlation),這是令人欣慰的,說明銀行認真應對網絡安全風險的威脅。為了更好地了解銀行是否投入足夠的資源,解決其面臨的各種風險,我們根據銀行固有風險和成熟度評估的領域,通過散點圖(Scatterplots)顯示變量之間的關係,從中進行觀察和分析。

我們首先檢查銀行在「技術」(Technology)和「網絡安全威脅紀錄」(Tracked Record on Cyber Threats)風險,與C-RAF「成熟度評估」領域中的「風險識別」(Identification)、「保護」(Protection)、「偵測」(Detection)和「第三方管理」(Third-Party Risk Management)4個領域成熟度之間的關係。

我們特別關注這4個領域,因為這4個領域被認為是網絡安全風險管理的傳統或典型因素,例如在美國國家標準與技術研究院(NIST)的安全框架等網絡安全風險管理框架,就看到其身影。

中風險銀行 對應措施未臻理想

研究結果顯示,高風險銀行通常在各個領域的成熟度表現更好;有趣的是,我們還觀察到,盡管中風險銀行在網絡安全威脅方面有更好的紀錄,但在上述4個領域中,其成熟度不及高風險銀行。這項發現反映,銀行在某些領域面對低度的風險,沒有做到適當的對應措施,對低風險似乎掉以輕心,這是值得注意的。

接着,我們通過將銀行的「產品及技術服務」(Products and Technology Services)和「機構特性」(Organization Characteristics),與它們在「治理」(Governance)和「態勢感知」(Situation Awareness)領域的成熟度水平進行對比,從而識別出機構的組織與規劃所引起之銀行風險,以及在組織層面採取措施的情況。

機構特性醞含潛在風險 須留意

研究結果顯示,高風險和中等風險銀行在「產品和技術服務」風險領域的平均得分相同,而兩者在「治理」和「態勢感知」成熟度領域採取了更多控制措施,不過在「機構特性」風險的評分較低,反映來自銀行員工和客戶數目、分行數目多寡等機構特性可能醞含的潛在風險,都需要加以考慮。

此外,我們對「應變與恢復」(Response and Recovery)領域進行分析,欲知銀行在如何最大限度地減少或減輕潛在網絡安全事故造成損失的表現。結果顯示,高風險銀行在「應變和恢復」領域取得高分數,表明它們很好地應對網絡安全缺陷或漏洞;很顯然,對網絡安全事件作出不當反應,可能會招致更大的損失。

總結這方面的研究和觀察,我們的研究發現,銀行的固有風險評分,與其網絡安全成熟度之間存在正相關關係,但中低風險銀行的表現並不理想,其中大多數中低風險銀行未能達到7個成熟度領域中每個領域所需的成熟度水平,這是值得注意的。

我們的《Cybersecurity For Financial Industry:An Analysis of the Cyber Resilience Assessment Framework》研究報告最後一個重要研究成果,是筆者和研究團隊成員把C-RAF的評估,對應我們在外界公開搜集到有關銀行提供服務時所採用SSL電子證書的安全性進行對比,讓我們了解銀行在自我評估之外的實際網絡安全成熟度水平。雖然採用SSL證書只是銀行所應該採取大量措施的一小部分,但我們認為,此舉反映了銀行實施網絡安全基本措施的意識和意願。

順筆解釋一下,所謂SSL證書,其實是電子憑證,SSL全名為Secure Sockets Layer,是一個網頁訪問者的瀏覽器,與網站託管伺服器之間的網絡安全協議,通過採用數碼憑證,起到資料加密和身份認證的功能。

減用次級SSL證書 持續改善網安

SSL建立在傳輸層,為瀏覽器和伺服器建立起一個點到點的安全連接,如若網頁瀏覽者使用一個不安全的或沒有加密的連接(HTTP),發送一些隱私資料或密碼到一個網站,發送者的數據可能在傳輸過程中,讓網絡供應商、黑客等看到或截取到;如瀏覽者是通過一個加密連接(HTTPS)發送,數據就會被加密,而且只有伺服器才能解密。當涉及到一些敏感資訊,如提交信用卡資料,這時候就需要使用SSL,以確保網絡傳輸安全。

在這個研究部分,我們探討了銀行採用不同電子證書的問題,例如採用一些運算方式相對弱的電子證書,或者一些自己簽署的電子證書,一般人認為信任度沒有那麼高。我們通過「時間軸」,對這種做法進行觀察和分析,發現自金管局推出C-RAF後,銀行進行這類行為有所減少,反映銀行在這方面的確不斷進步,減少採用不太安全的電子證書(見圖)。雖然我們不敢絕對肯定,這是C-RAF推出後直接造成的影響,但至少我們相對地看到銀行正不斷致力改善、提升網絡保安的趨勢。

值得一提的是,我們的研究還發現,在採用這些不太安全、或用相對弱的哈希算法(Hash)運算方式之電子證書、甚至是自行簽發的電子證書方面,高風險銀行比較少,反而中風險銀行較多,而低風險銀行就更多,反映C-RAF的內部評估,對銀行本身的操作有一定的預測性。

總括來說,自我評估通常用於網絡安全風險管理,而C-RAF是一個經深思熟慮的自我評估框架,將風險與管控措施的評估相結合,以協助銀行評估其風險,洞悉風險與防護方面之間的落差。我們的《Cybersecurity For Financial Industry:An Analysis of the Cyber Resilience Assessment Framework》研究報告,綜合了對22家銀行的調研結果,以全面了解香港金融業的網絡安全狀況,並為銀行和組織提供有關網絡安全狀況的信息,冀同時能提高公眾對解決網絡安全漏洞重要性的意識。

▲ 銀行採用次級SSL證書有所減少,反映銀行正不斷致力改善、提升網絡保安的趨勢。(資料圖片)