使用SWIFT金融通信系統的銀行接二連三遭到黑客攻擊。香港銀行亦是SWIFT客戶,金管局已要求香港銀行跟進,初步發現有一至兩宗懷疑攻擊,沒涉及金錢損失。網絡安全不容有失,金管局推網絡防衞計劃,包括要求銀行扮黑客「自Hack」,持續執行網絡攻防測試。
連同孟加拉央行,至少三家使用SWIFT的銀行遭到攻擊。金管局副總裁阮國恒指,因SWIFT攻擊的資訊不多,加上難定義銀行系統內的惡意程式是否針對SWIFT,故將香港銀行一至兩宗「有人想做(非授權)交易但不成功」列為懷疑攻擊個案。
金管局已經與香港銀行及SWIFT接觸,並且要求銀行偵查其SWIFT終端機是否被植入惡意軟件。
SWIFT上周五告知客戶,正制訂新措施提高其網絡連接的安全性。外媒引述SWIFT行政總裁萊布蘭特(Gottfried Leibbrandt)稱,該協會周四將公布安全計劃詳情。
黑客攻擊日增,去年香港偽冒銀行網站、電郵及應用程式錄75宗,今年首四個月錄6宗;分布式阻斷服務攻擊(DDoS)去年19宗,今年首四個月錄8宗。
金管局推出網絡防衞計劃,希望提升香港銀行業抵禦網絡攻擊的能力,計劃分三個部分,其中對銀行影響最大的是「網絡防衞評估框架」,框架下銀行需請專業人士評估自身風險,當中需要考慮銀行服務使用的科技是否成熟、合作第三方及電子交易渠道數量等,銀行將會獲得低、中或高風險評級,風險愈高,要做的防衞便愈多。
若銀行的風險為中級或高級,金管局便會要求銀行扮黑客「自Hack」,利用保安情報,模擬黑客攻擊手段,測試銀行系統是否能抵禦。
阮國恒表示,未有為銀行匯報的頻率設死線,若銀行「出事出得多便看得緊些」,銀行與金管局就網絡安全的溝通會是互動及持續的。金管局金融基建發展處主管李樹培補充,攻防測試不會要求銀行日日做,詳細安排會先向銀行諮詢再決定。該網絡防衞評估框架諮詢期為三個月,計劃年底前執行。
新監管無疑加大銀行工作量,銀行愈創新、保安要求便愈高,被問及會否拖慢銀行金融科技發展,阮國恒指,若網絡保安做不好,被攻擊時損失會更大,做好保安長遠對銀行有好處。