0
近日,香港人工智能與機器人學會(HKSAIR)副理事長鄭松巖做客HKSAIR《AI金融》系列線上講座,以“香港金融業網絡安全和個人隱私數據保護”為主題進行分享。
以下為鄭松巖演講全文,雷鋒網做了不改變原意的整理:
大家好,我是鄭松巖,我今天跟大家分享一下香港金融業網絡安全跟個人隱私數據保護的情況跟做法。
香港金融主要還是銀行、證券、保險,但三個細分行業監管的嚴謹程度存在較大的差異。銀行監管最嚴謹,所以我們講的主要是銀行相關的部分。
2018-2019這兩年出現很多資料被盜的案例,不過不是在金融行業,而是在其他行業。
2018年10月,國泰航空公司總共有900多萬的客戶資料被泄露。其實國泰內部早在2018年4月份就發現問題,只是延后公布。
新加坡醫療集團Sing Health則丟失了150萬病人的資料,這與國泰事件發生時間很接近,但兩者處理事件的方式大不相同。
Sing Health在出現問題的時候,政府監管馬上跟進,幾個月后公布調查報告并供公眾查閱。
萬豪旗下的喜來登酒店也曾經丟失超過3億用戶的個人資料。Facebook更是頻頻通過心理測試或者各種游戲,竊取用戶個人資料。Facebook近年不斷出現一些系統漏洞,很多用戶的個人電話、郵箱、信用卡或身份證資料都暴露了。
這些案例看似與金融業務無關,但這些被泄露的客戶資料有信用卡號碼、身份證號碼,都可能被盜用。將來用戶在銀行申請開戶、貸款,這對客戶本人就會產生危害。
2019年也出現了很多泄露事件,比如新加坡另外一間醫療機構HSA,發現很多客戶資料被掛在黑網上售賣。同時,像Instagram等社交媒體,都有很多信息外泄情況。
還有第一資本也丟失了客戶資料,它本身就是金融機構,丟失資料更容易導致客戶信息被盜用,引起金融方面的損失。
再往前看,2016-2017這兩年,是全球銀行經歷最多線上劫案的時候。線上劫案,也就是網絡攻擊。
Swift是跨國家或地區的一種匯款轉賬方式,該機構在各銀行安裝轉賬終端機器。孟加拉央行被黑客進入,通過Swift被盜取8100萬美金。香港很多網上銀行用戶個人資料丟失后,被黑客冒用做股票交易進行現金套現。
臺灣第一銀行ATM服務器被攻破,導致很多不同地區的ATM某天自動吐錢。泰國也出現過ATM被盜,是在機構更新ATM程序時趁虛而入。
實際上,現在很多地下黑網都會給這種網絡攻擊明碼標價,盜取的店面數量、賬戶總值都可以在網上看到。
這種盜取很多資金攻擊,是不是很復雜?這里以孟加拉銀行為例做出解釋。
黑客并不是直接攻擊銀行數據中心,因為數據中心的服務器比較復雜,而是利用釣魚郵件,比如假裝成求職簡歷,郵件發送到央行人事部門,部門人員點進去就中招。這樣,接收文件的那臺個人電腦就被黑客入侵了。
除了用戶自身操作以外,很多系統管理人員也在這臺電腦安裝過軟件或是日常維護,黑客也就順勢拿到系統管理人員的密碼,就可以嘗試通過網絡控制其他服務器。再利用服務器,安裝一個能夠獲取用戶鍵盤輸入信息的程序。
如果此時這臺電腦是給用戶用Swift做匯款操作的,那黑客就能獲取Swift匯款的ID和信息,遠程操控這臺機器。
這樣的操作,一直持續了39天,央行一直不知情,直到有一次黑客打錯收款人姓名,交易被中斷。銀行內部做檢查,發現這不是內部人員所為,才追蹤發現這件事情。
這就是從終端電腦開始慢慢安裝軟件,潛伏,通過網絡搜尋獲取更高權限,層層遞進,最終發動攻擊。
而入侵臺灣第一銀行的程序,實際上它是從倫敦的一個終端機上進入的,通過網絡掌控到傳真式服務器。
傳真經常會和總部有資料往來,他們之間有連接。黑客通過傳真式服務器、倫敦的服務器,再進入到臺灣本部的服務器,一層層操作后掌控自動柜員機的服務器,黑客可以操作指定區域的ATM機器,給出取錢指令,直接得到現金。
我們的慣性思維會認為,網絡攻擊就是攻擊服務器、數據中心,但這是從技術層面來講。釣魚軟件則是一種從終端用戶切入的攻擊,低成本高效益,操作更容易,也不容易被追蹤。
對用戶來說,網上銀行要輸入ID,同時還有短信之類的雙重認證。
黑客用釣魚軟件,程序很簡單,比如給用戶發鏈接,點進去之后顯示的銀行登陸界面需要輸入ID、密碼、驗證碼,用戶更容易信以為真。但這個彈出的網上銀行界面,其實是黑客電腦上的,不是真正網銀界面。
用戶在不知情的情況下,輸入自己的ID、密碼,被黑客獲取,去真正網銀上輸入用戶的賬密,用戶收到輔助驗證的短信。一旦用戶沒有發現端疑,按照指示操作,黑客就能拿到短信完成雙重認證,從而進行更多操作和交易。
金融業的網絡安全管制,不只是技術層面的。各業務部門和用戶,全部都要有網絡安全意識,無論是在哪個機構、哪個國家或地區都是如此。
另外,不同銀行的管控能力都不同,網絡安全的治理跟管理要并行,這一點要分清楚。
管理是日常的網絡安全計劃,采取一定措施監控和運行系統都是屬于日常管理。但治理更重要,它處于更高層次,金融機構必須定出一種方向,去思考:
1、對網絡安全的容忍度有多少?
2、網絡安全在機構里,屬于最高優先級嗎?
這些問題的答案,直接與機構對網絡安全的重視程度掛鉤,包括投入的資源、人才跟資金,因為要建構很多不同的措施,包括檢查機構網絡安全的水準是否達到一個水平。
在座有不少朋友負責網絡安全,或者從事科技行業,我想請問大家:當你的管理層或董事會問你,你覺得自家機構的網絡安全與業界同行相比是什么水平?有多少差距?這個問題你會怎么來回答呢?
網絡安全是一件由上到下、遍及全民的要事。香港金管局就明確規定,保障銀行的網絡安全是機構董事會成員的責任,由董事會負最終責任。管理層必須根據董事會定下的網絡安全優先級,去保證所有的資源架構配套能夠到位。
管理層的下一級是科技或風險管理部門,甚至是一些前線。管理層要保證計劃都能夠執行到位,再具體到技術人員。
只有管理層乃至機構董事會了解到整體安全保障情況,把它列入日常議程,整個機構的網絡安全資源跟能力才能持續下去。
網絡安全永遠沒有“做到最好”這個說法,不是監管要求或者稽查就做一下,無人違紀就停止了,而是要持續執行下去。
管理層監督的對象,就是有關網絡安全的部門、科技部門,包括用戶。有關部門應該收集報告,定期向高層管理、董事會匯報安全情況。
現在很多培訓,只面向科技人員,這不夠。要把培訓遍及到董事會跟高層管理,他們也充分了解當前網絡安全整體趨勢,才能引起足夠重視。基層同事也要知道網絡安全各方面保護,不斷宣傳,讓所有的終端用戶都有這種意識。
除了全民意識,在技術層面可以有很多的手段,比如在電腦上安裝不同防護工具、加密工具或監控工具。實際上不同機構都會不斷互相學習,然后引進技術手段,輻射到終端用戶和高層管理的培訓。
香港金融管理局(下稱“金管局”)對科技的風險監管有不同的規范,以科技管制和技術措施為主。
持續性業務,又稱TM-G2,是指業務整體都要持續有留存備份,不只是科技中心的備份,還有業務操作備份、演練規劃。演練包括技術和業務層面,應急啟動等,都有很多不同規范。電子銀行因為變化得很快,所以有專門的管理規范和相關指引。
香港民眾對個人隱私的保護意識很強,是好事,當然也沒那么快接受新鮮事物。香港有專門的隱私條例,大概有6個原則:
個人資料的收集、目的及方式。社會上不同的機構,像銀行、商店要收集客戶資料,就必須講清楚收集資料的目的跟使用方式。
個人資料的準確及保留期。講清楚目的后,還有使用期限,多久之內必須要刪除,資料不再留存。
個人資料的使用。在使用的過程中,要遵循告知用戶使用的方式且只能用于此事,用戶一旦發現不妥,可以投訴。
個人資料的保護。即是資料在處理中、傳輸中、存放中的保護。
資訊需在一般情況下可以提供。
查閱、修改個人資料的權利。
根據隱私條例規定,用戶可以隨時要求查詢收集記錄的資料,也有權要求修改和刪除。
網絡安保方面,金管局曾給出過銀行指引,重點如下:
1、董事會和高級管理層的監督
銀行網絡安全的風險擁有人就是董事會,信息一旦泄漏就可能讓黑客容易進入一些科技系統,因此必須建立科技跟業務并行的風險管理整體措施。
風險出現時,我們要面對監管、客戶、民眾、媒體。所以這一系列活動中,業務部門、企業職能部門都是要并行運作的。風險管控的措施不只是科技,同時要保證多數人有網絡安全措施跟意識,董事會跟高級管理層有責任建立這一種文化。
2、定期評估及監察
銀行網絡安全要建立一種控制基準,包括治理層面。類似的國際基準有CSC20,通過標準比對,找出差距,不斷修改補充。
2015年時金管局提問各個銀行:網絡安全團隊有多少人?需要配備足夠的人員及人才,足夠的財務投入,才能把網絡安保做好,定期向董事會匯報。
3、業界合作及應急規劃
金融機構要跟其他行業機構、警方互相合作,共享一些網絡信息;同行業間互相分享不同的安保信息。做好應變測試,確保能夠及時處理。這里的應變測試是指整個機構面對問題的時候的應變處理。
4、定期獨立評估及測試
足夠的網絡安保專業人才跟知識是衡量機構的標準。另外,要請有資質的顧問公司對機構進行獨立評估,這也是監管要求之一。
金管局推出了「網絡防衛評估框架」,近幾年還在繼續完善跟運作。
評估框架要求:銀行根據自身交易量、提供交易服務的復雜程度和自身規模,進行自我評估,判斷固有風險的高中低程度。銀行的規模越大、業務越復雜、提供的產品越多,固有風險就越高。
還有網絡安防成熟度的要求。固有風險越高,成熟度要求就越高,通過獨立的顧問公司評估銀行,逐項判斷是否滿足要求。再根據評估結果找出差距,銀行必須優化改進。
每個銀行的評估結果最終都要上報,金管局根據結果提出意見,銀行再根據意見和評估結果制定修訂的計劃進行整改。金管局還要求提供修訂報告,獨立顧問公司對銀行做審查,評估整改的方案跟措施。
半年后,會要求銀行找顧問公司再做一次評估,確認方案是否仍然有效。全部做完后,再要求各個銀行去找顧問公司,找出不同的場景在機構里測試,然后從端對端中看能否找出漏洞。
成熟度評估包括7個領域,水平分為基本、中級、高級,總共有366項,具體看是否完成,服務程度等。獨立顧問公司幫忙審核,列出不符合的項目。
其中,風險識別這一點是指如何保護系統,如何偵測到分別來自內部和外部的攻擊活動,如何去法院處理,同時恢復服務,這就是風險意識。
最后一點是第三方的風險管理。近年來,各國對第三方的風險管理要求趨嚴,相信接下來會有更多第三方服務商(相關條例出現)。比如銀行將呼叫中心業務外發給第三方供應商去做,必須監控供應商是否存在漏洞,以免影響服務質量。還包括關鍵的硬件供應商,需要有替代方案應對突發問題。
第三方擴展會越來越多,因為現在的銀行講究效率——傳統銀行要求客戶到分行,或用專門手機銀行做金融交易,但現在有Open API開放這些應用的接口,越來越趨向于B2B方式。
B2B2C模式是銀行跟其他非銀機構合作提供服務,共同經營雙方客戶。在這種模式下,用戶可以通過一些像網商或航空公司等非銀機構,在他們的網站直接享受銀行服務,例如開戶、轉賬。
同樣,銀行也可以建立這種平臺,提供像汽車銷售、旅游計劃等商業合作。當第三方公司網站出現問題,銀行必須采取行動,及時判斷這些機構存在的問題,判斷其可信資質。
最近金管局對銀行又提出關于人工智能的一些要求,指明如果銀行采用AI產品,或與機構服務商合作,董事局跟高層管理也必須負責AI引起的結果。這就要求使用者對應用程序要有足夠的專業知識,和對人工智能的認知。
AI要用數據訓練模型,因此也對數據質量有所要求。AI模型還要做好核實,包括模型的可審計性。如果采用外部機構的AI產品,比如NLP,涉及的編制也需核實。
外部AI或服務如何管控,如何確定變更過的模型準確性不變,如何檢測程序中是否有惡意部分……這些對銀行來說都是不小的挑戰。
云在內地銀行應用較廣泛,香港銀行相對較少,這與監管不無關系。如果銀行使用外部云,(在香港)它會被當成是技術外包,那技術外包也有自己的條例,包括全程監控,可審計等。云計算上的復雜狀況不一定完全符合監管要求,要明確監管條例,銀行才能啟用云。
銀行用云也分為很多情況。比如銀行內部出于成本效益考慮,選擇自建云。有些銀行是跨國且有很多子公司,它需要讓一些企業客戶跟銀行IT系統有連接,比如銀企直聯,企業的ERP也能夠連到銀行,在處理賬務或資金調撥時更方便。
1、香港私隱條例列出6大原則,基本是原則性條文。而歐盟在2018年推出的資料保護條例叫GDPR,羅列了99條具體細則,它比香港的條例更嚴格。
2、香港把身份證、電話號碼等算在隱私范疇,而GDPR則將生物特征、車牌號、相片、IP地址、色情網絡記錄等等都全部列進去。
3、GDPR條例會覆蓋到其他的國家和地區,比如別國網站的產品,如果銷售對象是歐洲地區的客戶,或是銷售中用到歐洲語言,會被計入GDPR。
4、如果有出現問題,你一定要72小時內上報到某一個機構。
5、很多地區的私隱條例只講了原則,沒有具體的違規處罰方式。歐盟就規定很清楚,說最高可處以2000萬歐元的罰款或者全球營業額的4%。
第一,定期外聘一個具認受性的顧問公司對機構的網絡安全做成熟度評估。
這是多維度的考察,并不只是檢查技術上的防護。比如畢馬威的成熟度評估模型,總共分了6個維度,評估管制跟領導、整體信息風險管理、法律合規方面機制等;運作與科技只占一項,還有業務持續性、人員素質……每個維度又分成5個層次,從初始級到優化級,定出一個最適合自己的標準。
金融機構如果期望更好的效果,就應該通過各個維度找出差距并整改補齊。 整改時要對措施的有效性進行評估,整改后再對措施的持續性作評估。
由于不同的顧問公司的評估模型稍有差異,因而找不同的公司作評估,可以從更多的方位找出改善的地方。
第二,不斷演練。
機構應事先制定好不同的場景,像網絡攻擊、阻斷式攻擊、釣魚等,并制定好每年演練場景的數量、所需時間,按照規劃完成。從高級管理層到終端用戶、科技人員、科技系統等全都會加入。另外也可以聘請外部機構進行網絡安保方面的攻防演練,找出漏洞并修補。
系統中的補丁,也是很多機構容易疏忽的一點。一個中大型的機構,比如服務器、網絡設備、終端機等,時而有補丁可更改,但也要分析實際作用再做定奪。而且要及時知道新的補丁上線時間,這要跟供應商保持溝通,確定補丁需要的時間、風險優先級等。
有沒有出現過沒按規定打補丁的事件?早幾年的Wanna Cry(永恒之藍)就是,它個病毒會鎖掉所有檔案資料,黑客收取比特幣之后才能解鎖。當時全球很多地方都中招了,如果及時打上Microsoft Shop的OS補丁,是可以避免的。
第三,人員意識培訓。負責網絡安保的人員是否具備專業知識跟能力?這必須由專業人才進行培訓。很多人認為,有充分的實戰經驗就行了,但還是必須要求有專業認證。
因為經驗會隨人員流動,有專業認證起碼能保證網絡安保人員認知的水平在同一水平線。像科技風險管理或者網絡安保之類的認證人員數量,至少要占團隊90%以上。同時經常舉辦不同的網絡安保培訓活動。另外也可以通過攻防演練、座談會、網絡學習、釣魚測試等培養安全意識。
很多機構有不同工具,例如防病毒、防攻擊、防侵入等,在服務器上有防脆弱、防檔案更改的工具,網絡有一些像DDOS防阻塞式攻擊的工具。
監控,其實都是監控到不同前中后臺、終端或是服務器網絡設備日志。日志單獨查看可能很難看出問題,需要引入智能化分析工具,像Cyber Security Analytic,把不同設備的訪問日志以及一些來自外部的訪問IP的信息聚合在一起通過工具進行關聯性分析,找出較為隠蔽的問題。 
例如有些服務器或應用系統正常運行,但某時段有一個IP在極短時間內出現不合理的交易數量,便可藉此提示是否有使用機器人進行操作的可能。
實際上,近兩年病毒或DDOS類型的攻擊反而較少,更危險的是APT攻擊(Advanced Persistent Threat,高級持續性威脅)。它是在一個位置記錄搜尋漏洞,找到更重要的一個設備,再在設備上找新漏洞,找到它認為合適的時候才發起攻擊,手段非常隱蔽,攻擊讓人措手不及。這就需要建構大數據網絡安保分析平臺來應對。
實際上,網絡安全、信息安全是政府、企業跟個人的共同責任。政府要做好立法和執法。企業方面,各個企業的網絡安控水準跟意識各不相同,有些中小型企業沒有資金跟人才去部署,怎么保證他們都有這樣一種安全意識也是問題所在。
同時,個人也要提高安全防范意識,注意個人ID密碼被盜,釣魚郵件,WiFi安全性等等。甚至平時你填的表格信息,也要考慮到信息用途,說不定很多信息因此就丟失。
CCF-GAIR 全球人工智能與機器人峰會———AI金融專場
歷屆 CCF-GAIR 已匯聚多位諾獎、圖靈獎得主,28位海內外院士,21位世界A類頂會主席,103位Fellow,400多位知名企業家以及100余位VC創始人出席。
8月7日-9日,《AI金融評論》將在第五屆CCF-GAIR中舉辦「AI金融專場」,目前統計學“諾貝爾”— COPSS總統獎得主,摩根大通執行董事,世界頂級學會主席,金融巨頭首席科學家、首席風控官,已確認出席。
會議詳情與合作,可聯系專場負責人周蕾,微信:LorraineSummer
更多會議安排點擊https://gair.leiphone.com/gair/gair2020查看。
雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
