金融科技危機初現！四家香港銀行 22 帳户發現非法授權股票交易活動

作者：F5 Networks 香港及台灣董事總經理殷玉萍

金融科技已經達到一個臨界點。今時今日越來越多的金融機構留意到科技所帶給用戶的優勢，包括近年來快速增長的流動裝置和雲端運算所帶來的便捷服務與實時存取。

根據 Accenture 對 CB Insights 的數據分析，在亞太區金融科技企業的投資，尤其在中國，截至 2016 年 7 月 31 日已達至 96.2 億美元，是 2015 年全球所有地區的 42.6 億美元的兩倍以上。亞太地區金融科技企業投資的前十位位於中國和香港，佔該地區所有投資的九成。

這一增長在生活周圍顯而易見。舉例而言，根據 2016 年《羅兵咸永道全球經濟犯罪調查》，在亞太地區使用電子銀行的用戶數量在 2014 年達到 6.7 億，並預計到 2020 年將增加至 17 億。該服務已經徹底改變了銀行業，帶動網絡和流動銀行業務以每年平均 35% 的速度增長，而傳統銀行的使用則下降了 25% 以上。

銀行業是否身處險境？

繼 Apple Pay 推出，加上早前香港金融管理局(金管局)發出牌照予第一批儲值支付工具等電子錢包服務，在為社會日常生活帶來便利以及促進金融科技的增長為行業帶來優勢的同時，也導致重大安全風險。最近在亞洲地區發生的事件，特別是在香港，將社會的關注焦點集中在與電子銀行相關的安全隱患。

金管局最近透露至少有 4 間銀行的 22 個網絡帳戶發現有非法授權的股票交易活動，共涉及港幣 4,597 萬。雖然金管局表示上述報告未導致任何資金轉至未註冊的第三方機構(主要有賴於雙重身份驗證)，但仍有 9 個案例造成了港幣 156 萬的財務損失。對於銀行而言，這項問題帶來的影響遠不止財務損失，更重要的是帶來持續的負面影響，包括用戶的信任度以及機構的聲譽。

安全意識是否足夠？

根據 F5 早前與《亞洲銀行家》雜誌進行的調查，絕大多數(84%)的金融公司將網絡威脅列為最重要的業務風險之一。各大行政總裁越來越關注這些威脅對他們的業務造成的影響，但未到一半(37%)的機構表示已經部署網絡事故的安全應對方案。

網絡變得越來越複雜和創新。機構所面臨的五種最常見的威脅包括惡意軟體、網頁應用程式攻擊、銷售端攻擊、機構內部威脅和 DDoS 攻擊。此外，越來越多的終端用戶成為攻擊發動的另類途徑，因為終端用戶所使用的大量裝置處於未知以及未受保護的狀態。企業對於這些威脅的意識不斷增強，但這就像一個貓捉老鼠的遊戲，網絡罪犯會不斷改變策略並且定期發明新的攻擊方法。

防患於未然

監管機構都意識到這種威脅，並不斷相繼採納更多方案以減輕風險。金管局於今年的網絡安全高峰會上宣佈推出「網絡防衛計劃」，並向所有銀行發出正式通告，列明銀行實施「網絡防衛計劃」是一項監管規定，該計劃將加強對多個銀行渠道的保護。

考慮到其業務運作的動態特點，銀行和金融機構的策略需要提供即時威脅識別、深入的分析和全面的保護。業界應該保持警惕，集中在三方面加強保護。

首先，需要優先考慮即時監測和預防，以防止以隨時竊取身份、數據和財務為目的的惡意軟件和網絡釣魚攻擊。第二，要確保不會要求終端軟件或用戶參與，並且在安全控制上有充分的透明度。第三，需要保護所有可以進行交易的多重裝置，因為每個渠道都有成為攻擊目標的安全風險。

網絡犯罪是銀行和金融機構現今面臨的最大威脅。企業和機構不應該有僥倖心態，而應做好威脅時刻就會到來的準備，因為一旦遭受攻擊，是否有仔細的規劃和迅速採取行動的能力就成為了成敗的關鍵因素。