中行(香港)资讯科技部总经理：香港银行业怎么筑起网络安全堡垒？

liukang20248小时前吃瓜动态245

来历：雷锋网

原标题：中国银行（香港）资讯科技部总经理郑松岩：香港银职业怎样筑起网络安全堡垒？

近来，HKSAIR副理事长、中国银行（香港）资讯科技部总经理郑松岩做客HKSAIR《AI金融》系列线上讲座榜首课，以“香港金融业网络安全和个人隐私数据维护”为主题进行同享。

以下为郑松岩讲演全文，雷锋网做了不改动本意的收拾：

咱们好，我是郑松岩，我今日跟咱们同享一下香港金融业网络安全跟个人隐私数据维护的状况跟做法。

香港金融首要仍是银行、证券、稳妥，但三个细分职业监管的谨慎程度存在较大的差异。银行监管最谨慎，所以咱们讲的首要是银行相关的部分。

银职业“水火之中”的网络安全现状

2018-2019这两年呈现许多材料被盗的事例，不过不是在金融职业，而是在其他职业。

2018年10月，国泰航空公司一共有900多万的客户材料被走漏。其实国泰内部早在2018年4月份就发现问题，仅仅拖延发布。

新加坡医疗集团Sing Health则丢掉了150万患者的材料，这与国泰工作发生时刻很挨近，但两者处理工作的方法大不相同。

Sing Health在呈现问题的时分，政府监管立刻跟进，几个月后发布调查陈述并供大众查阅。

万豪旗下的喜来登酒店也从前丢掉超越3亿用户的个人材料。Facebook更是一再经过心思测验或许各种游戏，盗取用户个人材料。Facebook近年不断呈现一些体系缝隙，许多用户的个人电话、邮箱、信用卡或身份证材料都暴露了。

这些事例看似与金融事务无关，但这些被走漏的客户材料有信用卡号码、身份证号码，都或许被盗用。将来用户在银行请求开户、借款，这对客户自己就会发生损害。

2019年也呈现了许多走漏工作，比方新加坡别的一间医疗组织HSA，发现许多客户材料被挂在黑网上售卖。一起，像Instagram等交际媒体，都有许多信息外泄状况。

还有榜首本钱也丢掉了客户材料，它本身便是金融组织，丢掉材料更简单导致客户信息被盗用，引起金融方面的丢掉。

再往前看，2016-2017这两年，是全球银行阅历最多线上劫案的时分。线上劫案，也便是网络进犯。

Swift是跨国家或区域的一种汇款转账方法，该组织在各银行装置转账终端机器。孟加拉央行被黑客进入，经过Swift被盗取8100万美金。香港许多网上银行用户个人材料丢掉后，被黑客冒用做股票买卖进行现金套现。

台湾榜首银行ATM服务器被攻破，导致许多不同区域的ATM某天主动吐钱。泰国也呈现过ATM被盗，是在组织更新ATM程序时趁虚而入。

实践上，现在许多地下黑网都会给这种网络进犯明码标价，盗取的店面数量、账户总值都能够在网上看到。

垂钓东西典型事例之孟加拉央行

这种盗取许多资金进犯，是不是很杂乱？这儿以孟加拉银行为例做出解说。

黑客并不是直接进犯银行数据中心，由于数据中心的服务器比较杂乱，而是运用垂钓邮件，比方假装成求职简历，邮件发送到央行人事部分，部分人员点进去就中招。这样，接纳文件的那台个人电脑就被黑客侵略了。

除了用户本身操作以外，许多体系办理人员也在这台电脑装置过软件或是日常维护，黑客也就顺势拿到体系办理人员的暗码，就能够测验经过网络操控其他服务器。再运用服务器，装置一个能够获取用户键盘输入信息的程序。

假如此刻这台电脑是给用户用Swift做汇款操作的，那黑客就能获取Swift汇款的ID和信息，长途操控这台机器。

这样的操作，一向继续了39天，央行一向不知情，直到有一次黑客打错收款人名字，买卖被中止。银行内部做检查，发现这不是内部人员所为，才追寻发现这件工作。

这便是从终端电脑开端渐渐装置软件，埋伏，经过网络搜索获取更高权限，层层递进，终究建议进犯。

垂钓东西典型事例之台湾榜首银行

而侵略台湾榜首银行的程序，实践上它是从伦敦的一个终端机上进入的，经过网络掌控到传真式服务器。

传真常常会和总部有材料来往，他们之间有衔接。黑客经过传真式服务器、伦敦的服务器，再进入到台湾本部的服务器，一层层操作后掌控主动柜员机的服务器，黑客能够操作指定区域的ATM机器，给出取钱指令，直接得到现金。

咱们的惯性思想会以为，网络进犯便是进犯服务器、数据中心，但这是从技能层面来讲。垂钓软件则是一种从终端用户切入的进犯，低本钱高效益，操作更简单，也不简单被追寻。

对用户来说，网上银行要输入ID，一起还有短信之类的两层认证。

黑客用垂钓软件，程序很简单，比方给用户发链接，点进去之后显现的银行登陆界面需求输入ID、暗码、验证码，用户更简单信以为真。但这个弹出的网上银行界面，其实是黑客电脑上的，不是真实网银界面。

用户在不知情的状况下，输入自己的ID、暗码，被黑客获取，去真实网银上输入用户的账密，用户收到辅佐验证的短信。一旦用户没有发现端疑，依照指示操作，黑客就能拿到短信完结两层认证，然后进行更多操作和买卖。

金融业的网络安全办理之道

金融业的网络安全操控，不仅仅技能层面的。各事务部分和用户，悉数都要有网络安全认识，无论是在哪个组织、哪个国家或区域都是如此。

别的，不同银行的管控才干都不同，网络安全的办理跟办理要并行，这一点要分清楚。

办理是日常的网络安全方案，采纳必定办法监控和运转体系都是归于日常办理。但办理更重要，它处于更高层次，金融组织有必要定出一种方向，去考虑：

1、对网络安全的容忍度有多少？

2、网络安全在组织里，归于最高优先级吗？

这些问题的答案，直接与组织对网络安全的注重程度挂钩，包含投入的资源、人才跟资金，由于要建构许多不同的办法，包含检查组织网络安全的水准是否到达一个水平。

在座有不少朋友担任网络安全，或许从事科技职业，我想请问咱们：当你的办理层或董事会问你，你觉得自家组织的网络安全与业界同行比较是什么水平？有多少距离？这个问题你会怎样来答复呢？

网络安满是一件由上到下、广泛全民的要事。香港金管局就清晰规则，确保银行的网络安满是组织董事会成员的职责，由董事会负终究职责。办理层有必要依据董事会定下的网络安全优先级，去确保一切的资源架构配套能够到位。

办理层监督

办理层的下一级是科技或风险办理部分，乃至是一些前哨。办理层要确保方案都能够履行到位，再详细到技能人员。

只要办理层乃至组织董事会了解到全体安全确保状况，把它列入日常议程，整个组织的网络安全资源跟才干才干继续下去。

网络安全永久没有“做到最好”这个说法，不是监管要求或许稽察就做一下，无人违纪就中止了，而是要继续履行下去。

办理层监督的目标，便是有关网络安全的部分、科技部分，包含用户。有关部分应该搜集陈述，定时向高层办理、董事会陈述安全状况。

现在许多练习，只面向科技人员，这不行。要把练习广泛到董事会跟高层办理，他们也充沛了解其时网络安全全体趋势，才干引起满足注重。底层搭档也要知道网络安全各方面维护，不断宣扬，让一切的终端用户都有这种认识。

除了全民认识，在技能层面能够有许多的手法，比方在电脑上装置不同防护东西、加密东西或监控东西。实践上不同组织都会不断相互学习，然后引进技能手法，辐射到终端用户和高层办理的练习。

香港金融办理局（下称“金管局”）对科技的风险监管有不同的规范，以科技操控和技能办法为主。

继续性事务，又称TM-G2，是指事务全体都要继续有留存备份，不仅仅科技中心的备份，还有事务操作备份、演练规划。演练包含技能和事务层面，应急发动等，都有许多不同规范。电子银行由于改变得很快，所以有专门的办理规范和相关指引。

香港民众对个人隐私的维护认识很强，是功德，当然也没那么快承受新鲜事物。香港有专门的隐私法令，大概有6个准则：

个人材料的搜集、意图及方法。社会上不同的组织，像银行、商铺要搜集客户材料，就有必要讲清楚搜集材料的意图跟运用方法。

个人材料的精确及保存期。讲清楚意图后，还有运用期限，多久之内有必要要删去，材料不再留存。

个人材料的运用。在运用的过程中，要遵从奉告用户运用的方法且只能用于此事，用户一旦发现不当，能够投诉。

个人材料的维护。便是材料在处理中、传输中、寄存中的维护。

资讯需在一般状况下能够供给。

查阅、修正个人材料的权力。

依据隐私法令规则，用户能够随时要求查询搜集记载的材料，也有权要求修正和删去。

网络安全办理指引四大要点

网络安保方面，金管局曾给出过银行指引，要点如下：

1、董事会和高档办理层的监督

银行网络安全的风险拥有人便是董事会，信息一旦走漏就或许让黑客简单进入一些科技体系，因而有必要树立科技跟事务并行的风险办理全体办法。

风险呈现时，咱们要面临监管、客户、民众、媒体。所以这一系列活动中，事务部分、企业职能部分都是要并行运作的。风险管控的办法不仅仅科技，一起要确保多数人有网络安全办法跟认识，董事会跟高档办理层有职责树立这一种文明。

2、定时评价及督查

银行网络安全要树立一种操控基准，包含办理层面。相似的世界基准有CSC20，经过规范比对，找出距离，不断修正弥补。

2015年时金管局发问各个银行：网络安全团队有多少人？需求装备满足的人员及人才，满足的财政投入，才干把网络安保做好，定时向董事会陈述。

3、业界协作及应急规划

金融组织要跟其他职业组织、警方相互协作，同享一些网络信息；同职业间相互同享不同的安保信息。做好应变测验，确保能够及时处理。这儿的应变测验是指整个组织面临问题的时分的应变处理。

4、定时独立评价及测验

满足的网络安保专业人才跟常识是衡量组织的规范。别的，要请有资质的顾问公司对组织进行独立评价，这也是监管要求之一。

网络防卫评价结构

金管局推出了‘网络防卫评价结构’，近几年还在继续完善跟运作。

评价结构要求：银行依据本身买卖量、供给买卖服务的杂乱程度和本身规划，进行自我评价，判别固有风险的高中低程度。银行的规划越大、事务越杂乱、供给的产品越多，固有风险就越高。

还有网络安防成熟度的要求。固有风险越高，成熟度要求就越高，经过独立的顾问公司评价银行，逐项判别是否满足要求。再依据评价成果找出距离，银行有必要优化改进。

每个银行的评价成果终究都要上报，金管局依据成果提出定见，银行再依据定见和评价成果拟定修订的方案进行整改。金管局还要求供给修订陈述，独立顾问公司对银行做检查，评价整改的方案跟办法。

半年后，会要求银行找顾问公司再做一次评价，承认方案是否依然有用。悉数做完后，再要求各个银行去找顾问公司，找出不同的场景在组织里测验，然后从端对端中看能否找出缝隙。

网络评价的要素

成熟度评价包含7个领域，水平分为根本、中级、高档，一共有366项，详细看是否完结，服务程度等。独立顾问公司帮助审阅，列出不符合的项目。

其间，风险辨认这一点是指怎样维护体系，怎样侦测到别离来自内部和外部的进犯活动，怎样去法院处理，一起康复服务，这便是风险认识。

最终一点是第三方的风险办理。近年来，各国对第三方的风险办理要求趋严，信任接下来会有更多第三方服务商（相关法令呈现）。比方银即将呼叫中心事务外发给第三方供货商去做，有必要监控供货商是否存在缝隙，防止影响服务质量。还包含要害的硬件供货商，需求有代替方案应对突发问题。

第三方扩展会越来越多，由于现在的银行考究功率——传统银行要求客户到分行，或用专门手机银行做金融买卖，但现在有Open API敞开这些运用的接口，越来越趋向于B2B方法。

B2B2C形式是银行跟其他非银组织协作供给服务，一起运营两边客户。在这种形式下，用户能够经过一些像网商或航空公司等非银组织，在他们的网站直接享用银行服务，例如开户、转账。

相同，银行也能够树立这种渠道，供给像轿车出售、旅行方案等商业协作。当第三方公司网站呈现问题，银行有必要采纳举动，及时判别这些组织存在的问题，判别其可信资质。

最近金管局对银行又提出关于人工智能的一些要求，指明假如银行选用AI产品，或与组织服务商协作，董事局跟高层办理也有必要担任AI引起的成果。这就要求运用者对运用程序要有满足的专业常识，和对人工智能的认知。

AI要用数据练习模型，因而也对数据质量有所要求。AI模型还要做好核实，包含模型的可审计性。假如选用外部组织的AI产品，比方NLP，触及的编制也需核实。

外部AI或服务怎样管控，怎样确认改变过的模型精确性不变，怎样检测程序中是否有歹意部分……这些对银行来说都是不小的应战。

云在内地银行运用较广泛，香港银行相对较少，这与监管不无关系。假如银行运用外部云，（在香港）它会被当成是技能外包，那技能外包也有自己的法令，包含全程监控，可审计等。云计算上的杂乱状况不必定完全符合监管要求，要清晰监管法令，银行才干启用云。

银行用云也分为许多状况。比方银行内部出于本钱效益考虑，挑选自建云。有些银行是跨国且有许多子公司，它需求让一些企业客户跟银行IT体系有衔接，比方银企直联，企业的ERP也能够连到银行，在处理账务或资金调拨时更便利。

欧盟GDPR VS 香港个人私隐法令

1、香港私隐法令列出6大准则，根本是准则性条文。而欧盟在2018年推出的材料维护法令叫GDPR，罗列了99条详细细则，它比香港的法令更严厉。

2、香港把身份证、电话号码等算在隐私领域，而GDPR则将生物特征、车牌号、相片、IP地址、色情网络记载等等都悉数列进去。

3、GDPR法令会掩盖到其他的国家和区域，比方别国网站的产品，假如出售目标是欧洲区域的客户，或是出售中用到欧洲言语，会被计入GDPR。

4、假如有呈现问题，你必定要72小时内上签到某一个组织。

5、许多区域的私隐法令只讲了准则，没有详细的违规处分方法。欧盟就规则很清楚，说最高可处以2000万欧元的罚款或许全球营业额的4%。

怎样继续优化一个金融组织的网络安全才干？

榜首，定时外聘一个具认受性的顾问公司对组织的网络安全做成熟度评价。

这是多维度的调查，并不仅仅检查技能上的防护。比方毕马威的成熟度评价模型，一共分了6个维度，评价操控跟领导、全体信息风险办理、法令合规方面机制等；运作与科技只占一项，还有事务继续性、人员素质……每个维度又分红5个层次，从初始级到优化级，定出一个最适合自己的规范。

金融组织假如希望更好的效果，就应该经过各个维度找出距离并整改补齐。整改时要对办法的有用性进行评价，整改后再对办法的继续性作评价。

由于不同的顾问公司的评价模型稍有差异，因而找不同的公司作评价，能够从更多的方位找出改进的当地。

第二，不断演练。

组织应事前拟定好不同的场景，像网络进犯、阻断式进犯、垂钓等，并拟定好每年演练场景的数量、所需时刻，依照规划完结。从高档办理层到终端用户、科技人员、科技体系等全都会参加。别的也能够延聘外部组织进行网络安保方面的攻防演练，找出缝隙并修补。

体系中的补丁，也是许多组织简单忽略的一点。一个中大型的组织，比方服务器、网络设备、终端机等，时而有补丁可更改，但也要剖析实践效果再做确认。并且要及时知道新的补丁上线时刻，这要跟供货商坚持交流，确认补丁需求的时刻、风险优先级等。

有没有呈现过没按规则打补丁的工作？早几年的Wanna Cry（永久之蓝）便是，它个病毒会锁掉一切档案材料，黑客收取比特币之后才干解锁。其时全球许多当地都中招了，假如及时打上Microsoft Shop的OS补丁，是能够防止的。

第三，人员认识练习。担任网络安保的人员是否具有专业常识跟才干？这有必要由专业人才进行练习。许多人以为，有充沛的实战经历就行了，但仍是有必要要求有专业认证。

由于经历会随人员活动，有专业认证最少能确保网络安保人员认知的水平在同一水平线。像科技风险办理或许网络安保之类的认证人员数量，至少要占团队90%以上。一起常常举行不同的网络安保练习活动。别的也能够经过攻防演练、座谈会、网络学习、垂钓测验等培育安全认识。

引进智能化剖析东西

许多组织有不同东西，例如防病毒、防进犯、防侵入等，在服务器上有防软弱、防档案更改的东西，网络有一些像DDOS防堵塞式进犯的东西。

监控，其实都是监控到不同前中后台、终端或是服务器网络设备日志。日志独自检查或许很难看出问题，需求引进智能化剖析东西，像Cyber Security Analytic，把不同设备的拜访日志以及一些来自外部的拜访IP的信息聚合在一起经过东西进行关联性剖析，找出较为隠蔽的问题。

例如有些服务器或运用体系正常运转，但某时段有一个IP在极短时刻内呈现不合理的买卖数量，便可藉此提示是否有运用机器人进行操作的或许。

实践上，近两年病毒或DDOS类型的进犯反而较少，更风险的是APT进犯（Advanced Persistent Threat，高档继续性要挟）。它是在一个方位记载搜索缝隙，找到更重要的一个设备，再在设备上找新缝隙，找到它以为适宜的时分才建议进犯，手法十分荫蔽，进犯让人措手不及。这就需求建构大数据网络安保剖析渠道来应对。

实践上，网络安全、信息安满是政府、企业跟个人的一起职责。政府要做好立法和法律。企业方面，各个企业的网络安控水准跟认识各不相同，有些中小型企业没有资金跟人才去布置，怎样确保他们都有这样一种安全认识也是问题所在。

一起，个人也要进步安全防备认识，留意个人ID暗码被盗，垂钓邮件，WiFi安全性等等。乃至平常你填的表格信息，也要考虑到信息用处，说不定许多信息因而就丢掉。

告发/反应