172 「渠道」潛藏風險不容忽視 另一方面,由於金管局的研究沒有要求銀行分門別類地闡述其機構特性。每家銀行 僅回答「標準化」的問題。於是,我們抽取一些銀行的特性,包括銀行的股東資金 (Equity),通過繪圖展示其規模,並與風險對照,發現兩者有很大的相關聯性,愈大的 銀行,風險系數愈高。看到這個「表象」結論,與一般人的想法似乎相近,即認為愈大 的銀行,應用更多的資訊技術,提供更多的產品和服務,其受到網絡安全威脅也愈大。 誠然,按照統計,大銀行風險系數的確相當高。 不過,我們採取同樣對應問題數目而作出適當調整的方法,我們發現,據銀行規模的角 度去觀察分析時,「輸送渠道」或「機構特性」的風險因素更形突出,並凌駕於資訊科技 應用的因素,換言之,機構的特性,譬如其分行數目、員工人數、客戶人數等個別的機 構特性,反而是最大的風險源頭。這項發現,與筆者多年對網絡保安研究的觀察脗合, 即網絡保安,主要不是技術的問題,反而是在於用戶、交易夥伴、商業關係、或分行網 絡,員工和用戶人數等環節,往往成為保安的漏洞,或遭受網絡攻擊的「阿基里斯腱」。 關於這些論述,筆者在本欄也曾多次撰文,指出網絡保安真正的紕漏所在。 可以說,上述兩項主要發現,的確給予我們很大的啟示。一般人的印象之中,以為「技 術」是網絡保安主要的風險源頭,但一些沒有受到足夠重視的因素,反而是十分關鍵的 風險源頭,一旦我們在網絡保安上沒有「對焦」漏洞,網絡安全的漏洞便無法有效堵 塞。囿於篇幅,我們對「網絡防衛評估架構」有效性的分析,筆者會再擇取主要的研究 結論和讀者及公眾分享。 [後文簡介]—〈網絡保安「雙重道德風險〉陷阱:黑客透過殭屍網絡攻擊、惡意軟 件及釣魚網站向受害個人或企業作侵害或敲詐,情況猖獗。本文剖釋,隨着網絡和物 聯網應用日漸普及,於複雜和瞬息萬變的環境下,確保網絡安全,不能靠單一持份方 獨力完成。用戶會認為做好防範網絡攻擊的措施和裝置,是企業的責任,與己無關; 企業則覺得網絡保安用戶一方也有責,結果,雙方都減少了對保安的警惕性和付出, 這種網絡保安上的「雙重道德風險」,給網絡攻擊者侵入提供了黃金機會,必須避免墮 入此風險陷阱。 原刊《香港經濟日報》2022 年 3 月 31 日;2025 年 6 月重閱修訂 5 促資訊保安
RkJQdWJsaXNoZXIy NDk5Njg=