【虛擬銀行出台】保安系統準備就緒!部分虛銀待金管局測試
金管局已發八張虛銀牌照
今年香港金融管理局先後發出八張虛擬銀行牌照,年中有指最快會在年內推出。惟現時已經踏入12月,開業時間似是一拖再拖,八家虛擬銀行極有可能遲至明年才能全部開業。
據譚偉基指,現時所接觸到的虛擬銀行開業進度都有所不同,有些還在測試階段,有些仍在建立基礎系統。不過總體來說,若虛擬銀行有傳統銀行撐腰的虛擬銀行營運商,在進度和發展上會較快。相反背景純粹是創新科技的公司,他們對銀行運作未必熟悉,則需要更多時間籌備。
在網絡安全建設上,譚偉基指出,部分虛擬銀行已經準備好接受測試,惟尚未肯定他們已經獲得金管局過關。這段時間銀行仍把焦點放在用戶體驗,以及如何推出創新產品上。不過他認為市民不必過於擔心虛擬銀行的網絡安全問題,因金管局已有詳細指引及要求,而且虛擬銀行營運商背後的財團中有多位銀行專家坐陣,能夠適時給予建議;加上香港實體銀行營運網上銀行經驗十分豐富,所以虛擬銀行正式出台之時不會有太大問題。
延伸閱讀:金融通訊軟件獲高盛撐腰!Symphony部署涉足虛銀生態圈
虛擬銀行與雲運算密不可分
虛擬銀行未來任何操作都與雲端服務密不可分。不過,根據Forcepoint最新發表的網絡保安研究報告指出,在訪問的400間企業中,其中236間企業對雲端網絡保安有嚴重誤解,當中包括一些銀行及金融企業,他們卻認為網絡保安是雲端服務供應商的責任,因此最終造成網絡攻擊事件增加。
譚偉基指出,虛擬銀行較實體銀行面對的風險有所不同,過去實體銀行有自己的數據中心,需要考慮的風險只有網上、電郵和USB存取等問題。但虛擬銀行依賴雲端系統,無論是對外或是對內,無論是私有雲或公有雲,需要考慮的保安問題將會更多。他認為雲端安全問題是以分擔模式。當虛擬銀行購入公有雲服務,並不等於已聘用網絡保安公司,銀行仍要時常監察網上的異常情況。
根據過往經驗,很少黑客可以把雲端的保護層成功「打穿」。反而最常見到的是黑客取易不取難,利用釣魚方式或者其他方式來獲得公司管理員賬戶號碼,並名正言順進入內部提取資料離開。因此雲端安全考慮,主要集中於如何保障管理員賬戶的安全。現時很多銀行已有採用保護管理員賬戶的方案,其中除多重認證外,還會增設監察管理員操作行為,並為其進行評分。當評分愈高代表風險愈大,系統將會自動限制賬戶使用的權限,使系統資料不會因此外洩。
舉例如果賬戶一直只在朝九晚五中登入,但現時凌晨三點登入,風險分數將增加。第二如果賬戶持有人駐香港,但登入時的網縩網絡協定位址卻是在菲律賓時,分數又會上升。
網絡安全成競爭優勢
第三如果使用者在登入後與平常的操作不同,若平時管理員只是負責整理工作,但現時進入後不斷下載客戶資料,或刪除客戶資料,這明顯便出現問題。因此以上異常行為會讓系統自動限制該賬戶使用權。這些技術不只是應用在實體銀行,未來虛擬銀行亦會有所應用,通過行為模式來合理地分辨是否為正常用戶,或黑客已盜用的賬戶,讓保安可以更為完善。
截至9月26日,香港持牌銀行已新增至164間持牌銀行,未來虛擬銀行投入服務後,銀行之間的競爭將比過去激烈。因此如果要在當中站穩陣腳,譚偉基指除了有獨特的產品外,有好的網絡安全布置,絕對會成為其中一種競爭優勢。愈來愈多銀行把維護資訊保安成為競爭優勢,因為若果虛擬銀行經常出現問題,即使未必是銀行問題,其實只是用戶自己不小心把賬戶密碼外洩,同樣影響市民對銀行的觀感。
因此現時有很多銀行將會反行其道,不再等待問題出現再來修補,反而選擇教育使用者如何做好保護工作。一方面銀行的聲譽會更好,而且虛擬銀行在推出服務時,除了凸顯自己服務質素,保安又會成為他們的競爭優勢。雖然虛擬銀行不會推出訓練班來教育市民,但未來料會通過一些方法來推廣個人網絡保安安全。同時銀行亦會取得一些安全認證,以提升用戶的信心。
