网络安全峰会主题演辞

王明鑫先生、汤复基博士、梁嘉丽女士、钟兆扬先生、

各位先生、女士：

早安！很高兴在今天的网络安全峰会上致辞。

网络安全的重要性

2.        数据和网络技术正在改变我们的生活方式，速度之快，令人难以置信。不过二十年前，很多人都不能肯定，假以时日网上银行会否大行其道，成为我们处理银行事务所信赖和乐用的方式。但今时今日，任何一家零售银行的网上或数据银行服务一旦发生故障而停止运作，后果都不堪设想。在银行以至其他金融领域，网银能够遍地开花，是因为有合适的土壤。网络空间突破了实体世界的诸多局限，无论身处何方，银行与客户之间的资料、讯息沟通和交易指示几乎可实时进行，方便快捷且无远弗届。网络世界令大家更便捷、更容易使用银行及金融服务，这是十多年前无法想像的。银行与金融机构的客户基础不断壮大，客户对各种服务的需求亦随之与日俱增，数码科技的突飞猛进正好填补了市场需求。然而，人们在使用数码银行服务时，往往只着眼于方便快捷和低成本的好处，却忽略了网络安全问题，直至遭到网络攻击才猛然醒觉。

3.        网络空间的虚拟性及关联性，决定了保障网络安全所必需的方式和工具明显有异于实体世界。在实体世界，为保家居安全，可以装一扇厚实的大门，再加上坚固的门锁；也可以用夹万收藏财物或安装防盗系统。更什者，可能会聘请私人保镖，像皇帝一样，城堡高筑，保护自己和家人免受敌人袭击。可以肯定的是，这些保安措施都所费不菲，却是保障财物须付出的代价。

4.        网络世界与实体世界一样，风险处处，危机重重。何处有利可图，何处就有金融罪行，盗贼和黑客总会绞尽脑汁，攻破网络防线去偷窃抢劫。网络世界的优势，恰恰是其弱点，正因为虚拟世界紧密相连，黑客无论何时何地都可以向金融机构和客户发动攻击。网络攻击的形式层出不穷，常见手法包括以俗称「钓鱼」(phishing)技俩，诱使客户透露帐户资料及密码，或在用户的电脑或手机植入恶意程式，偷取登入帐户所需资料，然后偷天换日，转走受害人帐户的存款。有时黑客更会做出一些出乎意料的举动，最近香港就有一些银行客户的帐户被黑客入侵，进行未经授权的股票交易，却没有直接转走资金。在银行层面，常见的网络攻击是分散式阻断服务攻击(DDoS攻击)，以此进行勒索、报复，或作为宣示某种激进思想的手段。这类攻击近年有急速上升的趋势，情况堪忧。

「网络防卫计划」

5.        我认为，与其赌一把「黑客看不见我」的运气，倒不如实事求是，及早采取措施保障自己或客户免受网络攻击。网络安全是现代银行业的基石，基石不稳，香港就难以世界级国际金融中心自居。虽然至今香港银行什少遭到大规模的网络攻击，但要维持香港作为亚洲主要金融中心的竞争优势，绝对不能掉以轻心。为此，金管局近日成立了「金融科技促进办公室」，推广网络安全就是重中之重。我很高兴在此宣布，金管局将为本港银行体系推出「网络防卫计划」，这是我们与银行业及其他伙伴紧密合作的成果，其中包含三条支柱：

(a) 网络防卫评估框架；

(b) 专业培训计划；以及

(c) 网络风险资讯共享平台。

接下来，我向大家介绍一下这三条支柱。

网络防卫评估框架 

6.        香港有大约二百家银行，经营模式各有不同，提供服务的渠道及方式亦各异。经营模式和技术平台的差异，网银交易宗数和金额的差别，令银行面对不同的潜在网络攻击风险。因此，香港银行防范网络攻击的措施及水平，难以一概而论。网络防卫评估框架的目的，就是制定一套具普遍性的风险为本框架，让银行以此作依据，评估自身的风险状况，并参照国际经验和优良做法，定出所需的防御措施及保安水平，防范网络攻击。

7.        当银行确定其风险状况和相应的网络防卫水平，金管局就会要求银行按照高级管理层什或董事局的指示，制定适当的管治安排和程序，以达到与其风险状况相对应的网络防卫水平。具体而言，金管局会审视银行能否有效侦测网络攻击并实施相应的保障措施，以及在遇袭时如何应对、恢复正常运作的速度。如果发现银行的实际网络防卫能力未达标，金管局会与银行跟进，尽快提升其网络防卫水平。

专业培训计划 

8.        「网络防卫计划」成功与否，关键在于是否有足够资历和能力的人才，协助银行和金管局进行风险评估、设计和执行防御措施，以及进行日常的网络安全管理。很可惜，谈到网络安全方面的合资格专业人员，世界各地都在闹人才荒，香港亦不例外。因此，「网络防卫计划」的第二条支柱就是为香港制定培训及证书计划，培养更多合资格专业人员。我很高兴宣布，金管局与香港银行学会及香港应用科技研究院(应科院)将会合作推出新的网络安全培训及证书计划。我亦很高兴告诉大家，我们正与英国的网络安全核证机构CREST紧密合作，确保这项计划是参照最先进的国际标准设计及制定。CREST International总裁Ian Glover先生出席今天的峰会，并会于稍后详细介绍这个专业培训计划。这个在本地推出的培训及证书计划共有三个专业水平级别，分别为「基础」、「从业员」及「专家」级别。此外，我们亦会作出合适的安排，确保在网络安全范畴的相关或同等经验与专门知识，得到适当承认。

网络风险资讯共享平台

9.        「网络防卫计划」的第三条支柱，是搭建一个新的平台，以分享有关网络攻击的资讯。与传统战争一样，资讯是打胜仗的关键。个别银行可自行建立收发风险资讯的网络，但单打独斗，则资讯预警的速度难免有所局限。另一方面，从成本、硬件及技术角度而言，黑客发动网络攻击的门槛越来越低，攻击的速度亦越来越快，而且可能不仅仅针对一家银行，而是同时攻击多家银行。因此，若银行之间能互相合作，主动分享已知的网络攻击资讯或迫在眉睫的威胁，好处不言而喻。银行从风险资讯共享平台及时收到提示或警告，有助它们防患于未然，在黑客发动攻击前及早部署。

10.      我很高兴宣布，透过与香港银行公会及应科院的合作，金管局即将推出网络风险资讯共享平台，供全港所有持牌银行使用。相关安排会确保平台能收集有用及适切的风险资讯，包括以中文显示的风险资讯，并让用户可安心提供这些资讯，而无泄露专属资料的顾虑。当然，用户必须通过安全渠道接通平台，过程当中会经过严格的加密措施，而且只限于有需要的人士使用。

前瞻 

11.      金管局公布推出「网络防卫计划」后，会全力与各伙伴及有关方面合作，按以下时间表推出计划：

(a) 金管局会在下周向所有银行发出正式通告，列明银行实施「网络防卫计划」是一项监管规定；

(b) 同时，我们会就风险为本的网络防卫评估框架的详细建议，谘询银行业界，谘询期为三个月；

(c) 我们会与银行学会及应科院合作，在今年底前推出首批为网络安全从业人员而设的培训课程；以及

(d) 我们会与香港银行公会及应科院合作，在今年底前设立网络风险资讯共享平台。

12.      推出网络防卫计划的时间表颇为紧迫。然而，要提升银行体系的网络安全，以符合香港作为亚洲主要国际金融中心的地位，我们就必须争分夺秒。为了这个共同目标，金管局、银行业及各合作伙伴会紧密合作，争取如期落实这个重要的计划。最后，我要强调，在实体世界里，即使是固若金汤的堡垒，也无法完全抵御所有攻击。因此，在网络世界里，我们正在努力建造的防御工事绝不能一劳永逸。对任何金融中心而言，若要保持领先地位，网络安全是一个必须应对的现实问题、一场必须打胜的持久战。谢谢各位。