議題觀點
台資銀行不可輕忽的香港網絡防衛計畫
勤業眾信風險諮詢服務 / 吳佳翰執行副總經理、林彥良副總經理
隨著全球網路安全環境日漸複雜、數位金融交易市場之持續發展及數據的持續增長,引發全球法律和監管聚焦,各國監管機構在資訊安全與隱私保護法律和要求正不斷發展,陸續祭出網路安全實務準測,在全球網路戰爭與攻擊不斷發生的今日,全球主要國家金融監管機構皆陸續發布網路安全規範,對金融業者之要求日趨嚴謹,使得近年來積極向海外發展的台資銀行將面對一道全新的區域性合規難關。在政府新南向政策推動之際,不論是已設立據點或即將揮軍南下的台資銀行,除面對反洗錢議題外,也需兼顧隱私保護與網路安全防護等議題,另外應於今年底前完成的環球銀行金融電信協會(SWIFT)客戶安全計劃(Customer Security Programme)也將是另一項挑戰。隨著網路安全監管要求的發布,網安已成為金融機構重大營運風險,未來甚至可能演變為海外金融市場准入與業務競爭的障礙。
香港網絡防衛計畫
香港金融管理局(Hong Kong Monetary Authority,HKMA)近年來陸續透過監管政策手冊要求銀行健全其風險管理,面對日趨嚴峻的網路環境與日益攀升的網路安全風險,HKMA於2016年推出網絡防衛計劃(Cybersecurity Fortification Initiative,CFI),網絡防衛計劃核心三大支柱(如下圖一所示)包含網路防衞評估框架 (Cyber Resilience Assessment Framework,C-RAF)、專業培訓計劃 (Professional Development Programme,PDP)及網路風險資訊共享平台(Cyber Intelligence Sharing Platform,CISP)。HKMA期望透過實施網絡防衛計劃全面提昇香港金融體系之整體網絡安全防護水準,強化抵禦網路攻擊之能力,以鞏固香港作為亞洲國際金融中心之地位,其中專業培訓計劃及網路風險資訊共享平台已陸續於2016年底起開始實施,而網路防衛評估框架則分為兩階段實施,台資銀行關注的第二階段則需於2018年底前完成。
網路防衞評估框架C-RAF
香港金管局所發布之C-RAF係融合美國聯邦金融機構檢查委員會(FFIEC)所提出之網路安全評估工具(Cybersecurity Assessment Tool)及英國註冊道德安全測試員理事會(CBEST)所提出之情報主導的網路攻擊測試(Intelligence-led Cyber Attack Simulation Testing,iCAST)架構而形成的一套以「風險為基礎」的網路安全風險評估框架,其中FFIEC Cybersecurity Assessment Tool自2015年起已於全美銀行業全面實施,而CBEST iCAST則為英國英格蘭銀行所採用。
建議因應作法
香港金管局採用階段性方法推行網路安全風險評估框架(C-RAF),可由銀行評估自身之固有風險胃納程度,並據此發展改善網路安全改善計畫。第一階段挑選主要零售銀行、部分全球銀行與小型銀行等約30個香港當地金融機構作為優先適用對象,相關機構在今年9月前應完成網路固有風險及成熟度評估(如下圖二所示),其他金融機構則需要2018年底前完成。此外,固有風險評估結果為中或高之金融機構需依據iCAST之執行要求(如下圖三所示),利用情報主導的網路攻擊情境評估其對網路攻擊的識別和回應的能力,於期限內完成測試。
勤業眾信從協助台資銀行的經驗中歸納下列實施重點:
- 依據香港分行營運型態及業務發展複雜性,評估固有風險胃納程度,反映銀行對網路防衛之成熟度需求。
- 評估香港分行網路安全管理成熟度,從治理與內、外部環境之七大關鍵領域針對管理現況進行流程成熟度分析。
- 強化香港分行網路安全管理能力,以達與風險相符的管理水準。
香港網絡防衛計劃明確展現香港金管局提昇金融機構網路安全管理水準之決心,面對此項變革,台資銀行若未及早因應,不僅會面臨網路安全合規風險,也將影響業務發展,台資銀行千萬不可輕忽,董事會及高階管理人員更應重視風險管理議題,採取適當措施及投入必要資源以持續提昇管理成熟度,確保台資銀行海外業務的健全發展。