IT業界資訊媒體

【銀行測試】CFI 網絡安全防衛計劃 9 月中進入第三階段

由香港銀行學會籌辦,政府資訊科技總監辦公室策動的 2019 香港資訊及通訊科技獎「金融科技獎」剛於上星期五頒發,獲得金融科技大獎及金獎的是專為保險公司快速電子化保險產品的平台 CoverGo。金管局副總裁李達志出席頒獎禮時上台發言,交代金管局於 2016 年公布的「網絡安全防衛計劃」Cybersecurity Fortification Initiative, CFI )的最新進度。他首先指出計劃中專為銀行設立的網絡防衛評估框架(C-RAF),現已完成了第二階段,分別為 30 間及 60 間銀行進行網絡安全風險狀態及防禦能力評估。第三階段亦會於今年 9 月中啟動,繼續向 90 間銀行進行相關評估,預計在明年中完成。

回應業界意見修訂 CFI 計劃

李達志表示就首兩個階段評估中,發現受測試的銀行在資訊安全管理上有 3 個主要的問題,分別是職員的安全意識、密碼管理以及系統修補速度不夠快。他舉例說不少銀行都只集中於提升 IT 從業員的安全水平,卻忽視一般職員的安全意識,以致有可能出現保安漏洞,其次是未能快速為網上系統修復漏洞,這些問題都會讓不法份子有機可乘。

而在 CFI 計劃中的專業培訓計劃 ( Professional Development ProgramPDP),Level 3Certified)的合格率依然偏低,37 個參加者中只得 2 日通過測試,李達志說測試的內容完全是根據現實狀況而設,指出參加者普遍未有足夠準備,期望之後能夠有所提升。最後他又指出網路風險資訊共享平台(Cyber Intelligence Sharing PlatformCISP)的反應亦未如理想,這平台主要是讓銀行分享網路攻擊的風險資訊,但銀行方面似乎因短期內看不到成效而不願提供資訊。他指出將會在今年夏季向業內人士進行咨詢,以修訂 CFI 計劃的內容,令計劃內容更清晰透明。他又指出銀行方面不應視 CFI 為一次性風險測試,因為在面對更多創新的科技發展時,必然會帶來更多潛在的風險,所以即使已通過測試,仍需時刻提高銀行所需的防禦措施。

【銀行測試】CFI 網絡安全防衛計劃 9 月中進入第三階段
上星期五頒發的「金融科技獎」共有三個類別,分別為「銀行業務、保險及資本市場」、「新興解決方案及監管科技」、風險管理及金融科技安全,而「金融科技大獎」及「金融科技(銀行業務,保險及資本市場)金獎」均由企業對企業模塊化平台的CoverGo Limited奪得。