主要資訊

匯思
演講辭
演講辭講者
陳德霖
彭醒棠
余偉文
阮國恒
李樹培
李令翔
劉應彬
李建英
戴敏娜
劉怡翔
任志剛
蔡耀君
韋柏康
簡達恆
黎定得
沈聯濤
甘博文
唐培新
戴樂賢
曾蔭權
陳元
戴相龍
周小川
Don Brash
Jaime Caruana
Andrew Crockett
Mario Draghi
David Eldon
Stanley Fischer
Timothy F. Geithner
Stephen Grenville
Kenneth G. Lay
William McDonough
Glenn Stevens
Jean-Claude Trichet
Tarisa Watanagase
Zeti Akhtar Aziz
Zeti Akhtar Aziz
新聞稿
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997
新聞稿類別
香港的銀行
偽冒語音訊息來電
偽冒語音訊息來電
欺詐網站 、電郵、電話系統及其他騙案
獲授銀行牌照
就最近經非競爭性投標配發的外匯基金債券的應付金額
即將舉行的外匯基金債券的非競爭性投標申請金額
外匯基金票據及債券投標
外匯基金票據及債券投標結果
外匯基金票據及債券的暫定發行時間表
委任及離任
金管局薪酬檢討
金管局出版的刊物
演講辭
香港按揭證券有限公司
香港印鈔有限公司
香港金融研究中心
外匯基金投資有限公司
香港金融研究中心
香港的金融基礎設施
與國際的聯繫
與雷曼兄弟相關的投資產品
貨幣政策
紙幣與硬幣
人民幣業務
信用卡貸款調查結果
貨幣統計數字
住宅按揭統計調查結果
電腦二千年問題
其他
指引及通告
指引
通告
2014
2013
2012
2011
2010
2009
2008
499.925

演講辭

網絡安全峰會主題演詞

講者:香港金融管理局總裁陳德霖

2016年5月18日

王明鑫先生、湯復基博士、梁嘉麗女士、鍾兆揚先生、

各位先生、女士:

早安﹗很高興在今天的網絡安全峰會上致辭。

網絡安全的重要性

2.        數據和網絡技術正在改變我們的生活方式,速度之快,令人難以置信。不過二十年前,很多人都不能肯定,假以時日網上銀行會否大行其道,成為我們處理銀行事務所信賴和樂用的方式。但今時今日,任何一家零售銀行的網上或數據銀行服務一旦發生故障而停止運作,後果都設想。在銀行以至其他金融領域,網銀能夠遍地開花,是因為有合適的土壤。網絡空間突破了實體世界的諸多局限,無論身處何方,銀行與客戶之間的資料、訊息溝通和交易指示幾乎可實時進行,方便快捷且無遠弗屆。網絡世界令大家更便捷、更容易使用銀行及金融服務,這是十多年前無法想像的。銀行與金融機構的客戶基礎不斷壯大,客戶對各種服務的需求亦隨之與日俱增,數碼科技的突飛猛進正好填補了市場需求。然而,人們在使用數碼銀行服務時,往往只著眼於方便快捷和低成本的好處,卻忽略了網絡安全問題,直至遭到網絡攻擊才猛然醒覺。

3.        網絡空間的虛擬性及關聯性,決定了保障網絡安全所必需的方式和工具明顯有異於實體世界。在實體世界,為保家居安全,可以裝一扇厚實的大門,再加上堅固的門鎖;也可以用夾萬收藏財物或安裝防盜系統。更甚者,可能會聘請私人保鏢,像皇帝一樣,城堡高築,保護自己和家人免受敵人襲擊。可以肯定的是,這些保安措施都所費不菲,卻是保障財物須付出的代價。

4.        網絡世界與實體世界一樣,風險處處,危機重重。何處有利可圖,何處就有金融罪行,盜賊和黑客總會絞盡腦汁,攻破網絡防線去偷竊搶劫。網絡世界的優勢,恰恰是其弱點,正因為虛擬世界緊密相連,黑客無論何時何地都可以向金融機構和客戶發動攻擊。網絡攻擊的形式層出不窮,常見手法包括以俗稱「釣魚」(phishing)技倆,誘使客戶透露帳戶資料及密碼,或在用戶的電腦或手機植入惡意程式,偷取登入帳戶所需資料,然後偷天換日,轉走受害人帳戶的存款。有時黑客更會做出一些出乎意料的舉動,最近香港就有一些銀行客戶的帳戶被黑客入侵,進行未經授權的股票交易,卻沒有直接轉走資金。在銀行層面,常見的網絡攻擊是分散式阻斷服務攻擊(DDoS攻擊),以此進行勒索、報復,或作為宣示某種激進思想的手段。這類攻擊近年有急速上升的趨勢,情況堪憂。

「網絡防衛計劃」

5.        我認為,與其賭一把「黑客看不見我」的運氣,倒不如實事求是,及早採取措施保障自己或客戶免受網絡攻擊。網絡安全是現代銀行業的基石,基石不穩,香港就難以世界級國際金融中心自居。雖然至今香港銀行甚少遭到大規模的網絡攻擊,但要維持香港作為亞洲主要金融中心的競爭優勢,絕對不能掉以輕心。為此,金管局近日成立了「金融科技促進辦公室」,推廣網絡安全就是重中之重。我很高興在此宣布,金管局將為本港銀行體系推出「網絡防衛計劃」,這是我們與銀行業及其他夥伴緊密合作的成果,其中包含三條支柱:

(a) 網絡防衛評估框架;

(b) 專業培訓計劃;以及

(c) 網絡風險資訊共享平台。

接下來,我向大家介紹一下這三條支柱。

網絡防衛評估框架 

6.        香港有大約二百家銀行,經營模式各有不同,提供服務的渠道及方式亦各異。經營模式和技術平台的差異,網銀交易宗數和金額的差別,令銀行面對不同的潛在網絡攻擊風險。因此,香港銀行防範網絡攻擊的措施及水平,難以一概而論。網絡防衛評估框架的目的,就是制定一套具普遍性的風險為本框架,讓銀行以此作依據,評估自身的風險狀況,並參照國際經驗和優良做法,定出所需的防禦措施及保安水平,防範網絡攻擊。

7.        當銀行確定其風險狀況和相應的網絡防衛水平,金管局就會要求銀行按照高級管理層甚或董事局的指示,制定適當的管治安排和程序,以達到與其風險狀況相對應的網絡防衛水平。具體而言,金管局會審視銀行能否有效偵測網絡攻擊並實施相應的保障措施,以及在遇襲時如何應對、恢復正常運作的速度。如果發現銀行的實際網絡防衛能力未達標,金管局會與銀行跟進,盡快提升其網絡防衛水平。

專業培訓計劃 

8.        「網絡防衛計劃」成功與否,關鍵在於是否有足夠資歷和能力的人才,協助銀行和金管局進行風險評估、設計和執行防禦措施,以及進行日常的網絡安全管理。很可惜,談到網絡安全方面的合資格專業人員,世界各地都在鬧人才荒,香港亦不例外。因此,「網絡防衛計劃」的第二條支柱就是為香港制定培訓及證書計劃,培養更多合資格專業人員。我很高興宣布,金管局與香港銀行學會及香港應用科技研究院(應科院)將會合作推出新的網絡安全培訓及證書計劃。我亦很高興告訴大家,我們正與英國的網絡安全核證機構CREST緊密合作,確保這項計劃是參照最先進的國際標準設計及制定。CREST International總裁Ian Glover先生出席今天的峰會,並會於稍後詳細介紹這個專業培訓計劃。這個在本地推出的培訓及證書計劃共有三個專業水平級別,分別為「基礎」、「從業員」及「專家」級別。此外,我們亦會作出合適的安排,確保在網絡安全範疇的相關或同等經驗與專門知識,得到適當承認。

網絡風險資訊共享平台

9.        「網絡防衛計劃」的第三條支柱,是搭建一個新的平台,以分享有關網絡攻擊的資訊。與傳統戰爭一樣,資訊是打勝仗的關鍵。個別銀行可自行建立收發風險資訊的網絡,但單打獨鬥,則資訊預警的速度難免有所局限。另一方面,從成本、硬件及技術角度而言,黑客發動網絡攻擊的門檻越來越低,攻擊的速度亦越來越快,而且可能不僅僅針對一家銀行,而是同時攻擊多家銀行。因此,若銀行之間能互相合作,主動分享已知的網絡攻擊資訊或迫在眉睫的威脅,好處不言而喻。銀行從風險資訊共享平台及時收到提示或警告,有助它們防患於未然,在黑客發動攻擊前及早部署。

10.      我很高興宣布,透過與香港銀行公會及應科院的合作,金管局即將推出網絡風險資訊共享平台,供全港所有持牌銀行使用。相關安排會確保平台能收集有用及適切的風險資訊,包括以中文顯示的風險資訊,並讓用戶可安心提供這些資訊,而無洩露專屬資料的顧慮。當然,用戶必須通過安全渠道接通平台,過程當中會經過嚴格的加密措施,而且只限於有需要的人士使用。

前瞻 

11.      金管局公布推出「網絡防衛計劃」後,會全力與各夥伴及有關方面合作,按以下時間表推出計劃:

(a) 金管局會在下周向所有銀行發出正式通告,列明銀行實施「網絡防衛計劃」是一項監管規定;

(b) 同時,我們會就風險為本的網絡防衛評估框架的詳細建議,諮詢銀行業界,諮詢期為三個月;

(c) 我們會與銀行學會及應科院合作,在今年底前推出首批為網絡安全從業人員而設的培訓課程;以及

(d) 我們會與香港銀行公會及應科院合作,在今年底前設立網絡風險資訊共享平台。

12.      推出網絡防衛計劃的時間表頗為緊迫。然而,要提升銀行體系的網絡安全,以符合香港作為亞洲主要國際金融中心的地位,我們就必須爭分奪秒。為了這個共同目標,金管局、銀行業及各合作夥伴會緊密合作,爭取如期落實這個重要的計劃。最後,我要強調,在實體世界裏,即使是固若金湯的堡壘,也無法完全抵禦所有攻擊。因此,在網絡世界裏,我們正在努力建造的防禦工事絕不能一勞永逸。對任何金融中心而言,若要保持領先地位,網絡安全是一個必須應對的現實問題、一場必須打勝的持久戰。謝謝各位。

修訂日期: 2016年5月18日
關於金管局
金管局
招標公告
人力資源
立法會事務
相關網站
金管局資訊中心
主要職能
貨幣穩定
銀行體系穩定
國際金融中心
外匯基金
刊物與研究資料
年報
貨幣與金融穩定情況半年度報告
季報
金管局資料簡介
參考資料
研究資料
市場數據與統計資料
債務工具中央結算系統債券報價網站
香港的經濟及
金融數據
金融數據月報
金融數據
主要資訊
新聞稿
演講辭
指引及通告
最新動向
匯思
小森阿四專欄
其他資訊
其他語言資料(印尼語, हिन्दी, नेपाली, ਪੰਜਾਬੀ, 他加祿語, ไทย, اردو)
開戶難?
消費者資訊專區
消費者教育推廣計劃
有關銀行產品或服務的投訴
有關儲值支付工具持牌人的投訴
網上銀行
欺詐銀行網站、偽冒電郵及類似的詐騙事件
小心偽冒來電及手機短訊 核實來電者身份及銀行熱線號碼
認可機構及本地代表辦事處紀錄冊
(繁體版本)
認可機構證券業務員工紀錄冊
(繁體版本)
儲值支付工具持牌人紀錄冊
與雷曼兄弟相關的投資產品
圖片廊