數碼轉型
今年,本港首度發出虛擬銀行牌照,金管理合共發出8張牌照,虛擬銀行特點是完全沒實體分行,全通過數碼化服務,只有實體辦公室接受客戶投訴。
理論上,虛擬銀行完全透過數碼渠道經營,傳統銀行得依靠分行,虛擬銀行成本可能略低。
不過,連同今年升格的銀行,本港持牌銀行增至164家,競爭極大。虛擬銀行有望為本港帶來新經營理念,純粹從網絡經營銀行經驗,有助業界轉型,提昇本港金融業的IT保安水凖;但虛擬銀行亦須符合嚴謹IT保安要求。
2016年,金融局已對銀行提出了網絡保安的「網絡防衛評估框架」(Cyber Resilience Assessment Framework,C-RAF)」),以提升銀行體系網絡安全,以符合香港作為亞洲主要國際金融中心地位,理論上,傳統和虛擬銀行監管一致,後者完全透過網絡經營,更須完全符合C-RAF全部要求。
銀行業在合規要求一向甚高,保安方案涉及多項凖則;從設計到落實,都必須高度專業知識,熟悉監管和合規各項要求,也須符合實際業務需要。虛擬銀行保安挑戰,更包括開業時間緊迫,難於短時間內招聘適當IT保安和風險管理團隊。結果,8家虛擬銀行中有一半,聘請了JOS數碼方案部門協助,從頭開始設計IT保安方案。
JOS企業保安高級業務發展經理曾超偉說:一般而言,IT保安包括了架構分析和策畫、架構設計、選擇工具和概念驗證,以及執行安裝和其後的測試,加上員工訓練以及製作系統說明文件等各個環節。
銀行設定「保安底線」
另外,銀行必須設定「保安底線」(Security Baseline),設定處理未來各種保安事故的程序,何種事故須作出反應,所有保安程序的設計,也是從零開始。
香港新成立8家虛擬銀行,4家採用JOS,原因是JOS金融市場經驗豐富。
JOS數碼方案主管余逸峰說,金融市場IT保安和合規方面,JOS已累積不少經驗,獲得虛擬銀行的合約,傳統銀行的實踐經驗相當重要。
「有關的實踐經驗,未來可作為傳統銀行,全面落實C-RAF的借鑬。」C-RAF對於金融業保安的要求,多達400多項。JOS團隊與顧問公司合作,逐項落實和執行有關要求。
一般完整的保安框架;涉及4個部分;從政策(Policy)、流程(Process)、技術、人材等設計和要求。
銀行須符合嚴格合規要求;虛擬銀行的IT保安合規,又較傳統銀行來得嚴格。本港其他傳統銀行,也遲早要達C-RAF所有要求,提供類似虛擬銀行的保安水平。
為了符合金管局指引,虛擬銀行的保安框架設計,涉及安裝的保安方案多達20個,如何整合不同方案,對虛擬銀行亦是考驗,
JOS設計框架的設計,先研究數據流程(Data flow),如電郵如何到達企業內部,每層如何保護和過濾威脅。負責保安審計顧問,亦會有本身建議,JOS根據審計的建議,調整至符合銀行業務方案。
如JOS會為虛擬銀行安裝好安全資訊和事件管理系統(SIEM),從不同系統蒐集日誌和數據,並且作出分析,並設計應對事故的方案。
與業務取得平衡
例如說,銀行須具備凖則,當SIEM發出某水平的事故警號,如何予以應對和調查。IT保安也包括了漏洞弱點的管理、測試和堵塞,須為各種可能設定底線管理,究竟那一類漏洞,須馬上堵塞和管理,也須具體指引。
網上銀行服務,須具高可用性,須全天候24 x 7運作,銀行亦對不同系統,一旦遇上意外或攻擊,數據損失和恢復時間,亦各有不同凖則,也涉及數據保護和備份策略設計。
「銀行也得面對系統以外風險,例如網上有假冒網站,以銀行名義發出欺詐電子郵件。機構也須就流動設備管理(MDM),保護外勤和出差員工的資訊。」
余逸峰說,銀行是管理風險的業務,IT保安屬其風險一部分,IT保安必須合規之餘,配合銀行業務,業務和安全之間取得平衡。
「例如銀行亦傾向於『零信任』(Zero Trust)原則,以設計保安框架,現實上完全的『零信任』,亦會為營運帶來不便。所以,兩者仍要取得平衡。」
余逸峰強調,虛擬銀行保安系統;從設計,實施以至測試,及後按業務作出調整,確保合規性之餘,配合銀行業務要求,以期虛擬銀行的業務,日後可取得成功。