Page 21 - Demo
P. 21

 網絡安全新趨勢
管理第三方風險
小組專家討論「確保銀行營運新常態的網絡 安全」時,以美國資訊科技公司SolarWinds 曾遭網絡攻擊為例,指出該次攻擊竟禍及公 司客戶達一個多月還未被發現。小組專員藉 此說明,網絡漏洞是重要的警號,即使只是 單一攻擊,已足夠廣泛地、串聯地影響整個 系 統 。他 們 認 為 ,許 多 銀 行 和 金 融 機 構 雖 已 採取強而穩固的網絡安全防衛措施,但愈來 愈多網絡犯罪分子以攻擊第三方的脆弱點, 作為進入目標公司的另一「軟」渠道。雖然網 絡世界沒有無懈可擊的防衛方案,但小組專 家建議,各機構應設有全面的第三方供應商 管理方案,以識別潛在的風險領域,並需不 斷評估和檢討。擁有全面網絡安全系統的銀 行和金融機構也可與第三方供應商合作,加 強他們的防衛能力。作為一個高度互聯的行 業,銀行和金融機構應果斷行動,確保任何 安全修補程式推出後會即時運作。
金融服務如何免受攻擊
隨著網絡攻擊不斷演變和愈趨複雜,另一 場小組討論以金融服務如何免受攻擊作為 探討焦點,認為提升防衛能力需結合新科 技 、系 統 和 人 員 三 大 要 素 。除 了 培 訓 員 工 如 何識別網絡釣魚電子郵件外,金融機構亦
19
www.hkib.org
  capabilities — the same as marketing or other functions.
This should include ensuring that employees are aware
of security baselines when using video conferencing and online collaboration tools. For instance, as codes might have been shared with former employees or past clients, limit
the reuse of access codes to prevent uninvited guests from eavesdropping on video conferencing meetings. Employees working from home should also be alerted to the importance of using virtual private networks (VPNs) instead of personal use Wi-Fi connections. Secure access by VPNs can significantly reduce the attack surface, according to the panellists.
Managing third party risks
Citing SolarWinds — the US information technology firm which was the target of a cyberattack that spread to its clients
and went undetected for more than a month — cybersecurity panellists discussing “Securing the New Normal of Banking Operations” pointed out the cyber breach serves as a pertinent reminder of how the impact of an attack can cascade through the wider system. According to the panellists, while many banks and financial organisations have robust cybersecurity protection in place, exploiting third party weak links is a method increasingly used by cybercriminals as a soft route into the target company. While there is no such thing as
total protection, the panellists recommended making sure a comprehensive third-party vendor management programme
is in place to identify potential areas of risk. This needs to be reviewed on an on-going basis. Banks and financial institutions that have comprehensive cybersecurity systems in place can also work with their third-party vendors to strengthen their vulnerabilities. As a highly interconnected industry, banks and financial institutions should also ensure they apply security update patches as soon as they are released.
為配合活動的主題,小組討論的其中一個議 題是「金融服務的網絡安全:2021 年主要趨 勢」。新冠肺炎疫情令在家工作變得普遍,卻 同時擴大了不同網絡安全威脅的範圍,增加 了易受攻擊的脆弱區域,如網絡釣魚詐騙電 郵、易攻破密碼、未加密文件共享、不安全家 庭無線網絡連接,以及使用個人裝置工作等 等 。為 了 減 低 網 絡 攻 擊 的 風 險 ,小 組 專 家 建 議加強員工對網絡威脅的了解和警覺。
網絡安全威脅綿延不絶,金融機構要持續作 戰以資應付,因此他們應投放資源提升企業 技能和能力,就如培訓營銷或其他部門一 樣 ,不 可 顧 此 失 彼 。培 訓 焦 點 之 一 是 要 確 保 員工使用視頻會議和在線協作工具時,清楚 知 道 安 全 的 準 則 和 底 線 。例 如 ,應 限 制 再 次 使用前員工或舊客戶曾共用的密碼,以防不 速之客竊聽視頻會議;亦要提醒在家工作的 員 工 盡 量 使 用 虛 擬 專 用 網 絡 ( V P N ),而 避 免使用私人無線網絡連接。小組專家認為, 使用虛擬專用網絡能顯著減少網絡攻擊。
 JULY-AUGUST 2021
















































































   19   20   21   22   23