169 5 促資訊保安 [本文摘要]:網絡攻擊事故頻生,金融機構尤其受到網絡安全的威脅。香港金 融管理局於 2016 年推出「網絡安全防衛計劃」(Cybersecurity Fortification Initiative‧CFI),冀提升金融業者的網絡安全。該計劃其中的「網絡防衛評估 架構」(Cyber Resilience Assessment Framework‧C-RAF),訂定出一套 以風險為基礎的評計框架,供香港的認可金融機構據此評估框架,去評核本身 的風險狀態,以及定出對網絡攻擊的適當防禦措施,以提升其網絡安全水平。 本文作者編制了一份 C-RAF 措施的評估項目清單,向 22 家認可金融機構作出 調研,並收集其提供關於 C-RAF 的數據,據此建模作全面評估該框架的有效 性,以及審視金融機構相對於同行的網絡安全表現。 調研發現,應用資訊科技並具規模的機構,大多數都有針對和應對來自「技術」 方面風險的部署和應對,卻往往忽視了機構接觸廣大客戶所採用的分銷渠道, 如手機網絡或互聯網,這個「渠道」因素,才是網絡安全風險的主要源頭。 近年網絡攻擊事件頻仍,令電子商貿活動飽受威脅,金融業者受到網絡安全威脅尤甚, 因而備受政府、金融監管機構、銀行以及存戶的高度關注。香港金融管理局於 2016 年推出「網絡安全防衛計劃」(Cybersecurity Fortification Initiative‧CFI),冀提升 金融業者的網絡安全。這個計劃由三大支柱組成,包括「網絡防衛評估架構」(Cyber Resilience Assessment Framework‧C-RAF)、「專業培訓計劃」(Professional Development Program‧PDP)及「網絡風險資訊共享平台」(Cyber Intelligence Sharing Platform‧CISP)。其中,C-RAF 訂定出一套以風險為基礎的評估框架,讓香港 的認可金融機構(authorized financial institutions (AIs)),按此評估框架去評核本身的 風險狀態,以及定出對網絡攻擊的適當防禦措施,以提升其網絡安全水平。 C-RAF 兩大評估要求方向 「網絡防衛評估架構」實施後,其有效性如何,相信金融業界內外都想知道和了解。筆者 聯同研究團隊於 2019 年至 2021 年期間,編制了一份 C-RAF 措施的評估項目清單,調 查了 22 家認可金融機構,並收集了它們提供關於 C-RAF 的數據,進而使用不同的分析 模型進行全面評估,以研究該框架的有效性,以及實施的金融機構相對於同行之網絡安 全表現。 銀行網絡風險 渠道因素居首
RkJQdWJsaXNoZXIy NDk5Njg=