中国银行（香港）资讯科技部总经理郑松岩：香港银行业如何筑起网

原标题：中国银行（香港）资讯科技部总经理郑松岩：香港银行业如何筑起网络安全堡垒？

近日，HKSAIR副理事长、中国银行（香港）资讯科技部总经理郑松岩做客HKSAIR《AI金融》系列线上讲座第一课，以“香港金融业网络安全和个人隐私数据保护”为主题进行分享。

以下为郑松岩演讲全文，雷锋网做了不改变原意的整理：

大家好，我是郑松岩，我今天跟大家分享一下香港金融业网络安全跟个人隐私数据保护的情况跟做法。

香港金融主要还是银行、证券、保险，但三个细分行业监管的严谨程度存在较大的差异。银行监管最严谨，所以我们讲的主要是银行相关的部分。

银行业“水深火热”的网络安全现状

2018-2019这两年出现很多资料被盗的案例，不过不是在金融行业，而是在其他行业。

2018年10月，国泰航空公司总共有900多万的客户资料被泄露。其实国泰内部早在2018年4月份就发现问题，只是延后公布。

新加坡医疗集团Sing Health则丢失了150万病人的资料，这与国泰事件发生时间很接近，但两者处理事件的方式大不相同。

Sing Health在出现问题的时候，政府监管马上跟进，几个月后公布调查报告并供公众查阅。

万豪旗下的喜来登酒店也曾经丢失超过3亿用户的个人资料。Facebook更是频频通过心理测试或者各种游戏，窃取用户个人资料。Facebook近年不断出现一些系统漏洞，很多用户的个人电话、邮箱、信用卡或身份证资料都暴露了。

这些案例看似与金融业务无关，但这些被泄露的客户资料有信用卡号码、身份证号码，都可能被盗用。将来用户在银行申请开户、贷款，这对客户本人就会产生危害。

2019年也出现了很多泄露事件，比如新加坡另外一间医疗机构HSA，发现很多客户资料被挂在黑网上售卖。同时，像Instagram等社交媒体，都有很多信息外泄情况。

还有第一资本也丢失了客户资料，它本身就是金融机构，丢失资料更容易导致客户信息被盗用，引起金融方面的损失。

再往前看，2016-2017这两年，是全球银行经历最多线上劫案的时候。线上劫案，也就是网络攻击。

Swift是跨国家或地区的一种汇款转账方式，该机构在各银行安装转账终端机器。孟加拉央行被黑客进入，通过Swift被盗取8100万美金。香港很多网上银行用户个人资料丢失后，被黑客冒用做股票交易进行现金套现。

台湾第一银行ATM服务器被攻破，导致很多不同地区的ATM某天自动吐钱。泰国也出现过ATM被盗，是在机构更新ATM程序时趁虚而入。

实际上，现在很多地下黑网都会给这种网络攻击明码标价，盗取的店面数量、账户总值都可以在网上看到。

钓鱼工具典型案例之孟加拉央行

这种盗取很多资金攻击，是不是很复杂？这里以孟加拉银行为例做出解释。

黑客并不是直接攻击银行数据中心，因为数据中心的服务器比较复杂，而是利用钓鱼邮件，比如假装成求职简历，邮件发送到央行人事部门，部门人员点进去就中招。这样，接收文件的那台个人电脑就被黑客入侵了。

除了用户自身操作以外，很多系统管理人员也在这台电脑安装过软件或是日常维护，黑客也就顺势拿到系统管理人员的密码，就可以尝试通过网络控制其他服务器。再利用服务器，安装一个能够获取用户键盘输入信息的程序。

如果此时这台电脑是给用户用Swift做汇款操作的，那黑客就能获取Swift汇款的ID和信息，远程操控这台机器。

这样的操作，一直持续了39天，央行一直不知情，直到有一次黑客打错收款人姓名，交易被中断。银行内部做检查，发现这不是内部人员所为，才追踪发现这件事情。

这就是从终端电脑开始慢慢安装软件，潜伏，通过网络搜寻获取更高权限，层层递进，最终发动攻击。

钓鱼工具典型案例之台湾第一银行

而入侵台湾第一银行的程序，实际上它是从伦敦的一个终端机上进入的，通过网络掌控到传真式服务器。

传真经常会和总部有资料往来，他们之间有连接。黑客通过传真式服务器、伦敦的服务器，再进入到台湾本部的服务器，一层层操作后掌控自动柜员机的服务器，黑客可以操作指定区域的ATM机器，给出取钱指令，直接得到现金。

我们的惯性思维会认为，网络攻击就是攻击服务器、数据中心，但这是从技术层面来讲。钓鱼软件则是一种从终端用户切入的攻击，低成本高效益，操作更容易，也不容易被追踪。

对用户来说，网上银行要输入ID，同时还有短信之类的双重认证。

黑客用钓鱼软件，程序很简单，比如给用户发链接，点进去之后显示的银行登陆界面需要输入ID、密码、验证码，用户更容易信以为真。但这个弹出的网上银行界面，其实是黑客电脑上的，不是真正网银界面。

用户在不知情的情况下，输入自己的ID、密码，被黑客获取，去真正网银上输入用户的账密，用户收到辅助验证的短信。一旦用户没有发现端疑，按照指示操作，黑客就能拿到短信完成双重认证，从而进行更多操作和交易。

金融业的网络安全治理之道

金融业的网络安全管制，不只是技术层面的。各业务部门和用户，全部都要有网络安全意识，无论是在哪个机构、哪个国家或地区都是如此。

另外，不同银行的管控能力都不同，网络安全的治理跟管理要并行，这一点要分清楚。

管理是日常的网络安全计划，采取一定措施监控和运行系统都是属于日常管理。但治理更重要，它处于更高层次，金融机构必须定出一种方向，去思考：

1、对网络安全的容忍度有多少？

2、网络安全在机构里，属于最高优先级吗？

这些问题的答案，直接与机构对网络安全的重视程度挂钩，包括投入的资源、人才跟资金，因为要建构很多不同的措施，包括检查机构网络安全的水准是否达到一个水平。

在座有不少朋友负责网络安全，或者从事科技行业，我想请问大家：当你的管理层或董事会问你，你觉得自家机构的网络安全与业界同行相比是什么水平？有多少差距？这个问题你会怎么来回答呢？