|
熱門:

2017年2月14日

梁嘉麗 專業隨筆

鞏固網絡安全 必先人才補缺

農曆新年期間,大家都會「派利是」給親戚朋友。「派利是」雖然是傳統習俗,但在網絡上,「發紅包」卻只有4年多的歷史。內地媒體報道指出,全國微信紅包在除夕的收發量達142億個,創下新高,收發高峰每秒達76萬個,而各種不同的電子紅包業務,增長一直有增無減。本地銀行今年也開始推出電子利是功能,讓客戶可向親友在網上派發電子利是,利是金額直接轉到收款人戶口,既易用又方便。

電子交易大行其道,當傳統習俗都逐漸數碼化的時候,金融機構的保安工作又怎能不走進網絡年代?

無論是線上還是線下,有金錢交易的地方,就會有罪案發生的機會,不法之徒往往會利用科技和電子渠道犯案,而金融機構更是黑客重點攻擊目標。較常聽見的,是銀行受分布式阻斷服務的攻擊(Distributed Denial of Service Attack,簡稱DDoS ), 即是黑客以大流量造成網絡交通阻塞,繼而向銀行進行勒索。

此外,網上股票戶口被入侵並進行未經授權交易等事件,也偶有發生。根據香港金融管理局(金管局)的資料顯示,截至去年11月,發現共95宗未經授權的銀行網上股票交易,其中78宗涉及損失高達1600萬元。

網絡安全專才須認證

現時全港網上銀行賬戶超過1100萬個,去年平均每月網上銀行交易量高達1700萬宗,金額達7.3萬億元,因此銀行必須具備應對和處理網絡安全風險的能力。

可幸的是,至今未有本地銀行因網絡攻擊而受到嚴重影響。不過,業界絕不可抱僥幸之心,必須防患於未然。要增加本地銀行的抵禦網絡攻擊能力,並提升銀行業網絡安全的水平,加強系統及硬件上的投資固然重要,但從業人員的培訓工作也不容忽視。畢竟,要加強整體系統的抵禦能力,人力和科技必須合二為一。

很多人會誤以為,一般從事科技行業的人士便可以順理成章成為網絡安全專才。網絡安全專才不單要考取相關認證,還要懂得技術配置,當中涉及不少安全知識,尤其是在銀行及金融機構工作的網絡安全人員,更需要對金融科技發展和監管要求有充分的理解,並要掌握最新的網絡攻擊手法及方式。事實上,具備以上條件的科技行業人士並不算很多。

全球科技界正求才若渴,香港也不能獨善其身, 若然香港持續缺乏足夠的網絡安全人才,那將會是提升銀行及金融業服務水平的一大絆腳石。因此,我們必須正視相關培訓的需求,加強理論和實踐兼備的課程,以培養更多合資格的網絡安全專業人才。

作為本地銀行業的一分子,我希望能通過既有效且長遠的培訓和認證計劃,協助提升本地銀行業的網絡安全水平和防禦能力。

去年12月,香港銀行學會聯同英國的網絡安全核證機構(CREST),於香港應用科技研究院(應科院或ASTRI)網絡安全研究與培訓中心合辦了「網絡安全評核員訓練計劃」。此計劃為金管局「網絡防衞計劃」的一部分,目的是為CREST的「網絡安全實踐試」訓練本地人才及評核員。為期四天的訓練計劃,吸引了不少業內人士參加,大部分均從事網鉻安全的執行及相關顧問及諮詢工作。

學會將繼續和應科院合作推出全新培訓課程,讓更多從業員對黑客入侵手法有更深入的了解。由於課程同時受網絡安全核證機構認可,內容乃參照最先進的國際標準設計和制定。

要提升銀行體系的網絡安全,業界必須以實際行動應對,而「人才」絕對是維護網絡安全的重要一環。

作者為香港銀行學會行政總裁

 

訂戶登入

回上

信報簡介 | 服務條款 | 私隱條款 | 免責聲明 | 廣告查詢 | 信報會議中心租賃 | 加入信報 | 聯絡信報

股票及指數資料由財經智珠網有限公司提供。期貨指數資料由天滙財經有限公司提供。外滙及黃金報價由路透社提供。

本網站的內容概不構成任何投資意見,本網站內容亦並非就任何個別投資者的特定投資目標、財務狀況及個別需要而編製。投資者不應只按本網站內容進行投資。在作出任何投資決定前,投資者應考慮產品的特點、其本身的投資目標、可承受的風險程度及其他因素,並適當地尋求獨立的財務及專業意見。本網站及其資訊供應商竭力提供準確而可靠的資料,但並不保證資料絕對無誤,資料如有錯漏而令閣下蒙受損失,本公司概不負責。