八家虛擬銀行搶先將於年內鬥快開業,具本地銀行網絡保安經驗的Forcepoint亞太區技術總監譚偉基直言,市民要有心理準備,不排除有虛擬銀行開業後的保安系統「出事」,提醒業界盡快解決兩大保安難題,包括加強遙距認證技術及處理客戶數據資料。
虛擬銀行將不設任何分行,意味不論開戶、存取款項、貸款等服務,一律只限於手機或網上平台完成。事實上,已有部分傳統銀行亦能提供「純網上」服務,但礙於保安理由,高風險的交易活動仍限於分行內完成。
過去金管局在港已推出電子錢包,及跨行轉帳平台「轉數快」等全新金融科技,惟不時被揭發各種安全漏洞。譚偉基認為,虛擬銀行在港為全新產物,風險自然較一般傳統銀行高,開業後「甩轆」亦無可避免。
為加強客戶對虛擬銀行信心,他建議,虛擬銀行日後高風險交易上,須要使用雙重認證(2FA)技術,如要求客戶每次交易時,都必須使用兩組完全不同的密碼登入。
他建議,可分別引入一重生物認證,如指紋解鎖或面形識別。惟近年出現大量生物認證冒認技術,建議多加一重「純數字」的交易密碼作為第二重關口,技術有如銀行現時使用的保安編碼器技術。另外,虛擬銀行可利用人工智能(AI)偵查可疑交易,假如戶口於海外登入或交易量突然大增等情況,便應即時向客戶經電子渠道發出保安通知,並額外進行第三重身份認證,才允許相關的金融活動指示。
開戶方面,則可使用市面流通的遙距開戶技術,主要需客戶上載身份證及自拍圖片等,並由後台員工完成資料核實,相對簡單快捷。
保護及處理客戶資料為最重要一環,八家發牌機構中不乏本地銀行背景,他相信,相關機構或會沿用銀行現有的數據資料庫,料其資料外洩風險相對低。但部分科技公司無相關經驗,以外國虛擬銀行為例,此類公司有機會與第三方雲端供應商合作,意味資料被攻擊的機會亦較高。
據Forcepoint網絡保安研究數據披露,400間被調查的亞太區企業中,有35%企業過去一年曾最少遭遇一次網絡安全事故,逾六成企業更認為網絡攻擊增加嚴重阻礙數碼轉型。
他又建議,發牌機構有需求增加保安系統透明度,例如銀行可主動向客戶解釋銀行以何種方式處理數據,或披露部分已獲得的國際保安認證評級等。至於市民開立戶口前,可事先查明銀行的營運背景,及其私隱條款安排,才決定是否將大批資金存入虛擬銀行,以保障個人利益。