2019-06-05
金融科企外判 資訊安全有風險
金管局發出8個虛擬銀行牌照,本港進一步邁向金融科技的時代。
不過,有專家指出,不少金融科技公司將工序外判,埋下資訊安全重大風險,部分黑客更潛伏多時才發動攻擊,建議企業應將資訊安全(Information Security,IS)與資訊科技(Information Technology,IT)部門分家,由上而下提升企業的安全意識。
黑客潛伏 摸清運作才攻擊
資訊安全專家劉偉經認為,資訊安全涉及營商策略,會影響品牌聲譽。
各式各樣的金融科技產品冒起,平台是否值得用家信賴成為重要課題。加密貨幣支付平台Crypto.com首席信息安全總監劉偉經表示,常見的風險在於員工開啟釣魚電郵、公司沒有定時轉換密碼、連接雲端的過程或方法欠缺保障等。他特別提到一點,很多金融科技公司起用第三方開發者或服務商,負責如編程等工序,外判得愈多,風險也愈大。
從前資訊安全的工作講求要有「假設會被駭」的意識,後來演變成「何時會被駭」,但他認為現在就要「假定已被駭」,因為部分黑客入侵後潛伏300多天,摸清企業的運作模式才發動攻擊,而非電影橋段一瞬間盜走資料。他提醒,如果企業加強自身的網絡安全,黑客入侵的成本和難度增加,自然就會放棄,轉移入侵保安較弱的公司。
他指出,部分金融科技公司為盡快將產品推出市場,而忽略保安考慮,其實開發產品時應同步考慮保安功能的生命周期。他建議企業可從4方面做起,包括:(1)進行外部滲透測試、(2)引入數碼安全指引作為管理策略、(3)聘用「有牌黑客」等合資格的保安專家、(4)管理層需開設首席信息安全總監(CISO)崗位。
倘資訊不安全 損品牌聲譽
他特別提到一點,並非每間公司都有CISO,又或會納入為IT部門。他認為資訊安全不是技術的問題,反而跟企業策略、營商議題有關,出事時不止金錢被盜,也會影響品牌聲譽,對上市公司而言更會影響股價,CISO應直接向行政總裁滙報,管理層的支援對資訊安全工作尤為重要。
Source: 香港經濟日報
第九屆「傳媒轉型大獎」請投etnet經濟通一票! ► 立即行動