文 / 許佳龍教授

香港金融管理局近日推出的「網絡安全防衛計劃」（Cybersecurity Fortification Initiative，CFI），其中「網絡防衛評估架構」（Cyber Resilience Assessment Framework，C-RAF）的成效和所發揮的作用。我們通過全面檢視銀行在C-RAF框架下應對風險的現狀或不足之處，即有助提高公眾對網絡安全問題的認識。

C-RAF關于網絡安全在7個領域上的「成熟度評估」規則，無疑為銀行應對和防御網絡安全威脅，提供了一個清晰簡潔的指引方針；我們再進一步，通過檢查風險和成熟度之間的關系，以進行更深入的觀察和研究。

在一般情況下，高風險銀行需要投入更多網絡安全的努力和工作，在這個前提下，我們當然希望看到，銀行的風險與其成熟度成正比關系，因為這意味著銀行對于某一領域的風險，有做到足夠的管控措施；若低風險的銀行能夠達到較高的成熟度水平，則自然更理想。

銀行風險評分 與網安成熟度成正比

我們的研究發現，銀行的固有風險評分，與其成熟度之間存在正相關（Positive correlation），這是令人欣慰的，說明銀行認真應對網絡安全風險的威脅。為了更好地了解銀行是否投入足夠的資源，解決其面臨的各種風險，我們根據銀行固有風險和成熟度評估的領域，通過散點圖（Scatterplots）顯示變量之間的關系，從中進行觀察和分析。

我們首先檢查銀行在「技術」（Technology）和「網絡安全威脅紀錄」（Tracked Record on Cyber Threats）風險，與C-RAF「成熟度評估」領域中的「風險識別」（Identification）、「保護」（Protection）、「偵測」（Detection）和「第三方管理」（Third-Party Risk Management）4個領域成熟度之間的關系。

我們特別關注這4個領域，因為這4個領域被認為是網絡安全風險管理的傳統或典型因素，例如在美國國家標準與技術研究院（NIST）的安全框架等網絡安全風險管理框架，就看到其身影。

中風險銀行 對應措施未臻理想

研究結果顯示，高風險銀行通常在各個領域的成熟度表現更好；有趣的是，我們還觀察到，盡管中風險銀行在網絡安全威脅方面有更好的紀錄，但在上述4個領域中，其成熟度不及高風險銀行。這項發現反映，銀行在某些領域面對低度的風險，沒有做到適當的對應措施，對低風險似乎掉以輕心，這是值得注意的。

接著，我們通過將銀行的「產品及技術服務」（Products and Technology Services）和「機構特性」（Organization Characteristics），與它們在「治理」（Governance）和「態勢感知」（Situation Awareness）領域的成熟度水平進行對比，從而識別出機構的組織與規劃所引起之銀行風險，以及在組織層面采取措施的情況。

機構特性蘊含潛在風險 須留意

研究結果顯示，高風險和中等風險銀行在「產品和技術服務」風險領域的平均得分相同，而兩者在「治理」和「態勢感知」成熟度領域采取了更多控制措施，不過在「機構特性」風險的評分較低，反映來自銀行員工和客戶數目、分行數目多寡等機構特性可能蘊含的潛在風險，都需要加以考慮。

此外，我們對「應變與恢復」（Response and Recovery）領域進行分析，欲知銀行在如何最大限度地減少或減輕潛在網絡安全事故造成損失的表現。結果顯示，高風險銀行在「應變和恢復」領域取得高分數，表明它們很好地應對網絡安全缺陷或漏洞；很顯然，對網絡安全事件作出不當反應，可能會招致更大的損失。

總結這方面的研究和觀察，我們的研究發現，銀行的固有風險評分，與其網絡安全成熟度之間存在正相關關系，但中低風險銀行的表現并不理想，其中大多數中低風險銀行未能達到7個成熟度領域中每個領域所需的成熟度水平，這是值得注意的。

我們的《Cybersecurity For Financial Industry：An Analysis of the Cyber Resilience Assessment Framework》研究報告最后一個重要研究成果，是筆者和研究團隊成員把C-RAF的評估，對應我們在外界公開搜集到有關銀行提供服務時所采用SSL電子證書的安全性進行對比，讓我們了解銀行在自我評估之外的實際網絡安全成熟度水平。雖然采用SSL證書只是銀行所應該采取大量措施的一小部分，但我們認為，此舉反映了銀行實施網絡安全基本措施的意識和意愿。

順筆解釋一下，所謂SSL證書，其實是電子憑證，SSL全名為Secure Sockets Layer，是一個網頁訪問者的瀏覽器，與網站托管服務器之間的網絡安全協議，通過采用數碼憑證，起到資料加密和身份認證的功能。

減用次級SSL證書 持續改善網安

SSL建立在傳輸層，為瀏覽器和服務器建立起一個點到點的安全連接，如若網頁瀏覽者使用一個不安全的或沒有加密的連接（HTTP），發送一些隱私資料或密碼到一個網站，發送者的數據可能在傳輸過程中，讓網絡供應商、黑客等看到或截取到；如瀏覽者是通過一個加密連接（HTTPS）發送，數據就會被加密，而且只有服務器才能解密。當涉及到一些敏感信息，如提交信用卡資料，這時候就需要使用SSL，以確保網絡傳輸安全。

在這個研究部分，我們探討了銀行采用不同電子證書的問題，例如采用一些運算方式相對弱的電子證書，或者一些自己簽署的電子證書，一般人認為信任度沒有那么高。我們通過「時間軸」，對這種做法進行觀察和分析，發現自金管局推出C-RAF后，銀行進行這類行為有所減少，反映銀行在這方面的確不斷進步，減少采用不太安全的電子證書（見圖）。雖然我們不敢絕對肯定，這是C-RAF推出后直接造成的影響，但至少我們相對地看到銀行正不斷致力改善、提升網絡保安的趨勢。

銀行采用次級SSL證書有所減少，反映銀行正不斷致力改善、提升網絡保安的趨勢。

（資料圖片）

值得一提的是，我們的研究還發現，在采用這些不太安全、或用相對弱的哈希算法（Hash）運算方式之電子證書、甚至是自行簽發的電子證書方面，高風險銀行比較少，反而中風險銀行較多，而低風險銀行就更多，反映C-RAF的內部評估，對銀行本身的操作有一定的預測性。

總括來說，自我評估通常用于網絡安全風險管理，而C-RAF是一個經深思熟慮的自我評估框架，將風險與管控措施的評估相結合，以協助銀行評估其風險，洞悉風險與防護方面之間的落差。我們的《Cybersecurity For Financial Industry：An Analysis of the Cyber Resilience Assessment Framework》研究報告，綜合了對22家銀行的調研結果，以全面了解香港金融業的網絡安全狀況，并為銀行和組織提供有關網絡安全狀況的信息，期待同時能提高公眾對解決網絡安全漏洞重要性的意識。

*本文為許佳龍教授2022年4月28日發表于香港經濟日報[評論·世情]的文章，原標題為“?善用科技拓新價值 經營致勝關鍵銀行查找網安漏洞 提高公眾風險意識“。

許佳龍教授簡介

許佳龍教授，艾禮文家族教授席，工商管理學院副院長(研究)，資訊、商業統計及管理學系副主任及講座教授，商業及社會數據分析中心主任，風險管理及商業智能學課程主任，科技及管理學雙學位課程主任，他的研究重點為日益迫切的社會問題，包括網絡犯罪、網絡私隱和資訊保安。許教授亦擔任多份著名學術期刊的編委，如《資訊系統研究》。他在教研及服務的貢獻為他帶來多個獎項。

由香港科技大學主理出品的【教授專欄】，匯集來自不同領域教授的學術成果、前沿論斷及知識科普，用最新鮮的視角解讀社會動態，以最前沿的角度解釋科技奧秘。期待通過香港科技大學的平臺，聚合更多新銳觀點，打造出一期又一期生動又深刻的【教授專欄】！

-end-

總結

以上是生活随笔為你收集整理的教授专栏17 | 许佳龙:银行查找网安漏洞 提高公众风险意识的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。