網絡安全峰會主題演辭

王明鑫先生、湯復基博士、梁嘉麗女士、鍾兆揚先生、

各位先生、女士：

早安﹗很高興在今天的網絡安全峰會上致辭。

網絡安全的重要性

2.        數據和網絡技術正在改變我們的生活方式，速度之快，令人難以置信。不過二十年前，很多人都不能肯定，假以時日網上銀行會否大行其道，成為我們處理銀行事務所信賴和樂用的方式。但今時今日，任何一家零售銀行的網上或數據銀行服務一旦發生故障而停止運作，後果都不堪設想。在銀行以至其他金融領域，網銀能夠遍地開花，是因為有合適的土壤。網絡空間突破了實體世界的諸多局限，無論身處何方，銀行與客戶之間的資料、訊息溝通和交易指示幾乎可實時進行，方便快捷且無遠弗屆。網絡世界令大家更便捷、更容易使用銀行及金融服務，這是十多年前無法想像的。銀行與金融機構的客戶基礎不斷壯大，客戶對各種服務的需求亦隨之與日俱增，數碼科技的突飛猛進正好填補了市場需求。然而，人們在使用數碼銀行服務時，往往只著眼於方便快捷和低成本的好處，卻忽略了網絡安全問題，直至遭到網絡攻擊才猛然醒覺。

3.        網絡空間的虛擬性及關聯性，決定了保障網絡安全所必需的方式和工具明顯有異於實體世界。在實體世界，為保家居安全，可以裝一扇厚實的大門，再加上堅固的門鎖；也可以用夾萬收藏財物或安裝防盜系統。更甚者，可能會聘請私人保鏢，像皇帝一樣，城堡高築，保護自己和家人免受敵人襲擊。可以肯定的是，這些保安措施都所費不菲，卻是保障財物須付出的代價。

4.        網絡世界與實體世界一樣，風險處處，危機重重。何處有利可圖，何處就有金融罪行，盜賊和黑客總會絞盡腦汁，攻破網絡防線去偷竊搶劫。網絡世界的優勢，恰恰是其弱點，正因為虛擬世界緊密相連，黑客無論何時何地都可以向金融機構和客戶發動攻擊。網絡攻擊的形式層出不窮，常見手法包括以俗稱「釣魚」(phishing)技倆，誘使客戶透露帳戶資料及密碼，或在用戶的電腦或手機植入惡意程式，偷取登入帳戶所需資料，然後偷天換日，轉走受害人帳戶的存款。有時黑客更會做出一些出乎意料的舉動，最近香港就有一些銀行客戶的帳戶被黑客入侵，進行未經授權的股票交易，卻沒有直接轉走資金。在銀行層面，常見的網絡攻擊是分散式阻斷服務攻擊(DDoS攻擊)，以此進行勒索、報復，或作為宣示某種激進思想的手段。這類攻擊近年有急速上升的趨勢，情況堪憂。

「網絡防衛計劃」

5.        我認為，與其賭一把「黑客看不見我」的運氣，倒不如實事求是，及早採取措施保障自己或客戶免受網絡攻擊。網絡安全是現代銀行業的基石，基石不穩，香港就難以世界級國際金融中心自居。雖然至今香港銀行甚少遭到大規模的網絡攻擊，但要維持香港作為亞洲主要金融中心的競爭優勢，絕對不能掉以輕心。為此，金管局近日成立了「金融科技促進辦公室」，推廣網絡安全就是重中之重。我很高興在此宣布，金管局將為本港銀行體系推出「網絡防衛計劃」，這是我們與銀行業及其他夥伴緊密合作的成果，其中包含三條支柱：

(a) 網絡防衛評估框架；

(b) 專業培訓計劃；以及

(c) 網絡風險資訊共享平台。

接下來，我向大家介紹一下這三條支柱。

網絡防衛評估框架 

6.        香港有大約二百家銀行，經營模式各有不同，提供服務的渠道及方式亦各異。經營模式和技術平台的差異，網銀交易宗數和金額的差別，令銀行面對不同的潛在網絡攻擊風險。因此，香港銀行防範網絡攻擊的措施及水平，難以一概而論。網絡防衛評估框架的目的，就是制定一套具普遍性的風險為本框架，讓銀行以此作依據，評估自身的風險狀況，並參照國際經驗和優良做法，定出所需的防禦措施及保安水平，防範網絡攻擊。

7.        當銀行確定其風險狀況和相應的網絡防衛水平，金管局就會要求銀行按照高級管理層甚或董事局的指示，制定適當的管治安排和程序，以達到與其風險狀況相對應的網絡防衛水平。具體而言，金管局會審視銀行能否有效偵測網絡攻擊並實施相應的保障措施，以及在遇襲時如何應對、恢復正常運作的速度。如果發現銀行的實際網絡防衛能力未達標，金管局會與銀行跟進，盡快提升其網絡防衛水平。

專業培訓計劃 

8.        「網絡防衛計劃」成功與否，關鍵在於是否有足夠資歷和能力的人才，協助銀行和金管局進行風險評估、設計和執行防禦措施，以及進行日常的網絡安全管理。很可惜，談到網絡安全方面的合資格專業人員，世界各地都在鬧人才荒，香港亦不例外。因此，「網絡防衛計劃」的第二條支柱就是為香港制定培訓及證書計劃，培養更多合資格專業人員。我很高興宣布，金管局與香港銀行學會及香港應用科技研究院(應科院)將會合作推出新的網絡安全培訓及證書計劃。我亦很高興告訴大家，我們正與英國的網絡安全核證機構CREST緊密合作，確保這項計劃是參照最先進的國際標準設計及制定。CREST International總裁Ian Glover先生出席今天的峰會，並會於稍後詳細介紹這個專業培訓計劃。這個在本地推出的培訓及證書計劃共有三個專業水平級別，分別為「基礎」、「從業員」及「專家」級別。此外，我們亦會作出合適的安排，確保在網絡安全範疇的相關或同等經驗與專門知識，得到適當承認。

網絡風險資訊共享平台

9.        「網絡防衛計劃」的第三條支柱，是搭建一個新的平台，以分享有關網絡攻擊的資訊。與傳統戰爭一樣，資訊是打勝仗的關鍵。個別銀行可自行建立收發風險資訊的網絡，但單打獨鬥，則資訊預警的速度難免有所局限。另一方面，從成本、硬件及技術角度而言，黑客發動網絡攻擊的門檻越來越低，攻擊的速度亦越來越快，而且可能不僅僅針對一家銀行，而是同時攻擊多家銀行。因此，若銀行之間能互相合作，主動分享已知的網絡攻擊資訊或迫在眉睫的威脅，好處不言而喻。銀行從風險資訊共享平台及時收到提示或警告，有助它們防患於未然，在黑客發動攻擊前及早部署。

10.      我很高興宣布，透過與香港銀行公會及應科院的合作，金管局即將推出網絡風險資訊共享平台，供全港所有持牌銀行使用。相關安排會確保平台能收集有用及適切的風險資訊，包括以中文顯示的風險資訊，並讓用戶可安心提供這些資訊，而無洩露專屬資料的顧慮。當然，用戶必須通過安全渠道接通平台，過程當中會經過嚴格的加密措施，而且只限於有需要的人士使用。

前瞻 

11.      金管局公布推出「網絡防衛計劃」後，會全力與各夥伴及有關方面合作，按以下時間表推出計劃：

(a) 金管局會在下周向所有銀行發出正式通告，列明銀行實施「網絡防衛計劃」是一項監管規定；

(b) 同時，我們會就風險為本的網絡防衛評估框架的詳細建議，諮詢銀行業界，諮詢期為三個月；

(c) 我們會與銀行學會及應科院合作，在今年底前推出首批為網絡安全從業人員而設的培訓課程；以及

(d) 我們會與香港銀行公會及應科院合作，在今年底前設立網絡風險資訊共享平台。

12.      推出網絡防衛計劃的時間表頗為緊迫。然而，要提升銀行體系的網絡安全，以符合香港作為亞洲主要國際金融中心的地位，我們就必須爭分奪秒。為了這個共同目標，金管局、銀行業及各合作夥伴會緊密合作，爭取如期落實這個重要的計劃。最後，我要強調，在實體世界裏，即使是固若金湯的堡壘，也無法完全抵禦所有攻擊。因此，在網絡世界裏，我們正在努力建造的防禦工事絕不能一勞永逸。對任何金融中心而言，若要保持領先地位，網絡安全是一個必須應對的現實問題、一場必須打勝的持久戰。謝謝各位。