抗疫期間更要嚴防網路疫情 2020-02-06

 

隨著基於網路(web-based)和“數位化”(digitalization)等金融科技的普遍應用,作為資金和財富流通過程中的仲介的金融機構自然最容易成為網路攻擊目標。為此,網路風險(Cyber Risk) 自然而然成為目前各金融機構面對的首要風險。而“網路風險”包括一系列廣泛的威脅,從基於網路的拒絕服務(web-based denial of service)到資料盜竊和關鍵基礎設施服務中斷等。駭客一旦得逞,會給有關金融機構造成巨大財務損失和業務中斷等直接後果,也可能給有關金融機構帶來聲譽受損等間接後果。與此同時,由於金融體系相互關聯緊密,對一家機構成功實施的網路攻擊可能會快速傳播至其他機構,從而導致系統性風險和構成對金融體系穩定的威脅。

 

具體而言,網路風險和網路攻擊的具體表現形式是多種多樣的,以商業銀行為例,以下是其中兩種最常見的方式方法:

 

其一,魚叉式網路釣魚(Spear phishing)—— (1)駭客通過給攻擊目標銀行的雇員大批量發送附有附件的電郵;(2)有關銀行的雇員一旦打開該電郵附件,駭客便可盜取有關雇員的與操作銀行系統相關的獲授權範圍(credentials);(3)駭客從中尋找系統管理員使用的電腦,並盜取電腦所載資訊和資料;(4)駭客持續監控銀行系統管理員電腦螢幕顯示資訊及其規律性,並從中找出銀行資金轉帳匯劃系統;(5)駭客對受控制帳戶的餘額作出加大的更改,以便從中可以將所加大金額轉移出去;(6)駭客更改自動櫃員機的程式讓自動櫃員機在其指定時間自動吐出現金;(7)駭客通過電匯和電子支付方式將資金轉移出去。

 

其二,銀行內外部犯罪份子利用銀行不同業務管道進行網路犯罪活動。有關銀行內外部犯罪份子利用銀行不同業務管道進行網路犯罪活動的情況可歸納如下表:

除上述兩大類別網路風險表現形式外,銀行的網路風險的其他表現形式還包括:(1)系統處理業務量突然超出原有設計能力而死機,導致業務中斷或癱瘓;(2)系統客戶資料被盜;(3)系統資料備份失敗等。

       

上述網路風險是金融機構在平常時期均會遇到的風險,近期爆發的疫情無疑令這一風險凸顯和加倍放大。其中主要影響因素包括:(1)疫情爆發的突然性、時間節點(春節長假)、蔓延速度和範圍遠超出人們的原有普遍預期;(2)金融機構IT人員按時到崗工作會因疫情非預期的演變構成負面影響;(3)線上(電子管道)新客戶突然猛增;(4)新舊客戶利用線上或自動櫃員機等自助服務設施處理業務的業務量突然猛增;(5)金融機構安排部分員工“居家工作”增加遠端系統操作風險暴露;(6)有關金融機構原有《應急預案》無法完全滿足應對的實際需要;(7)不是所有機構均有足夠的重視程度和防範措施。

       

為有效避免因疫情造成的潛在次生風險,避免因網路風險給有關金融機構造成直接或間接的損失和傷害,以及堅決守住不發生系統性風險底線,基於居安思危的考慮,除切實提升對網路風險認知和重視程度外,筆者建議我國金融機構在抗疫期間要採取包括但不限於以下措施強化各自的網路風險化解(mitigants)和避免(prevention)的能力和成效:

      

在網路風險化解方面,金融機構特別是商業銀行要在公司治理、風險防範【風險辨別、保護(protection)察覺和發現(detection)】、應對和恢復的有準備性完善程度(recovery readiness)、協力廠商監察(包括監管機構檢查)和相應的系統支援。在網路風險防範方面,金融機構特別是商業銀行要在基礎設施安全管理(Infrastructure security management)、網路區隔(Network segmentation)和嚴格用戶接觸管理等三方面加以強化。

       

其中,基礎設施安全管理涉及的領域非常廣泛,包括:(1)不留死角的防範(end-point protection);(2)絕對禁止非授權的硬軟體安裝(unauthorized installations);(3)系統和資料備份;(4)實物安全保護;(5)不同情景下《業務持續計畫》(contingency planning for cybersecurity scenarios);(6)協力廠商服務供應商應急預案。網路區隔是將網路釣魚攻擊(phishing attacks)受影響的風險敞口和受損網路控制在一定程度和範圍的最有效方法。有關金融機構應有針對性地將自身電腦網路切割若干不同的區域,以便能避免駭客能橫跨接觸到網路的任何角落的情況的出現。這當中最為重要的是要避免內網與外網的直接鏈通。嚴格的使用者接觸管理可降低網路攻擊的有效性。因為,駭客攻擊金融機構網路的其中一個重要目標是要獲得有關金融機構的訪問優先順序(access privileges)用戶權,使其能在有關金融機構的系統和網路能為所欲為。為此,在採取適當的網路區隔的同時,有關金融機構還要在用戶接觸管理採取更嚴密的控制措施。

JP Management Development Ltd.
遠見管理發展有限公司
Tel:     +852-35116253 (Office) +852-69088682 (Mobile)
Email: jpmgthk8@outlook.com

© 2020 by JP Management Development Ltd.