近日，香港人工智能與機器人學會（HKSAIR）副理事長鄭松巖做客HKSAIR《AI金融》系列線上講座，以“香港金融業(yè)網(wǎng)絡安全和個人隱私數(shù)據(jù)保護”為主題進行分享。

以下為鄭松巖演講全文，雷鋒網(wǎng)做了不改變原意的整理：

大家好，我是鄭松巖，我今天跟大家分享一下香港金融業(yè)網(wǎng)絡安全跟個人隱私數(shù)據(jù)保護的情況跟做法。

香港金融主要還是銀行、證券、保險，但三個細分行業(yè)監(jiān)管的嚴謹程度存在較大的差異。銀行監(jiān)管最嚴謹，所以我們講的主要是銀行相關(guān)的部分。

銀行業(yè)“水深火熱”的網(wǎng)絡安全現(xiàn)狀

2018-2019這兩年出現(xiàn)很多資料被盜的案例，不過不是在金融行業(yè)，而是在其他行業(yè)。

2018年10月，國泰航空公司總共有900多萬的客戶資料被泄露。其實國泰內(nèi)部早在2018年4月份就發(fā)現(xiàn)問題，只是延后公布。

新加坡醫(yī)療集團Sing Health則丟失了150萬病人的資料，這與國泰事件發(fā)生時間很接近，但兩者處理事件的方式大不相同。

Sing Health在出現(xiàn)問題的時候，政府監(jiān)管馬上跟進，幾個月后公布調(diào)查報告并供公眾查閱。

萬豪旗下的喜來登酒店也曾經(jīng)丟失超過3億用戶的個人資料。Facebook更是頻頻通過心理測試或者各種游戲，竊取用戶個人資料。Facebook近年不斷出現(xiàn)一些系統(tǒng)漏洞，很多用戶的個人電話、郵箱、信用卡或身份證資料都暴露了。

這些案例看似與金融業(yè)務無關(guān)，但這些被泄露的客戶資料有信用卡號碼、身份證號碼，都可能被盜用。將來用戶在銀行申請開戶、貸款，這對客戶本人就會產(chǎn)生危害。

2019年也出現(xiàn)了很多泄露事件，比如新加坡另外一間醫(yī)療機構(gòu)HSA，發(fā)現(xiàn)很多客戶資料被掛在黑網(wǎng)上售賣。同時，像Instagram等社交媒體，都有很多信息外泄情況。

還有第一資本也丟失了客戶資料，它本身就是金融機構(gòu)，丟失資料更容易導致客戶信息被盜用，引起金融方面的損失。

再往前看，2016-2017這兩年，是全球銀行經(jīng)歷最多線上劫案的時候。線上劫案，也就是網(wǎng)絡攻擊。

Swift是跨國家或地區(qū)的一種匯款轉(zhuǎn)賬方式，該機構(gòu)在各銀行安裝轉(zhuǎn)賬終端機器。孟加拉央行被黑客進入，通過Swift被盜取8100萬美金。香港很多網(wǎng)上銀行用戶個人資料丟失后，被黑客冒用做股票交易進行現(xiàn)金套現(xiàn)。

臺灣第一銀行ATM服務器被攻破，導致很多不同地區(qū)的ATM某天自動吐錢。泰國也出現(xiàn)過ATM被盜，是在機構(gòu)更新ATM程序時趁虛而入。

實際上，現(xiàn)在很多地下黑網(wǎng)都會給這種網(wǎng)絡攻擊明碼標價，盜取的店面數(shù)量、賬戶總值都可以在網(wǎng)上看到。

• 釣魚工具典型案例之孟加拉央行

這種盜取很多資金攻擊，是不是很復雜？這里以孟加拉銀行為例做出解釋。

黑客并不是直接攻擊銀行數(shù)據(jù)中心，因為數(shù)據(jù)中心的服務器比較復雜，而是利用釣魚郵件，比如假裝成求職簡歷，郵件發(fā)送到央行人事部門，部門人員點進去就中招。這樣，接收文件的那臺個人電腦就被黑客入侵了。

除了用戶自身操作以外，很多系統(tǒng)管理人員也在這臺電腦安裝過軟件或是日常維護，黑客也就順勢拿到系統(tǒng)管理人員的密碼，就可以嘗試通過網(wǎng)絡控制其他服務器。再利用服務器，安裝一個能夠獲取用戶鍵盤輸入信息的程序。

如果此時這臺電腦是給用戶用Swift做匯款操作的，那黑客就能獲取Swift匯款的ID和信息，遠程操控這臺機器。

這樣的操作，一直持續(xù)了39天，央行一直不知情，直到有一次黑客打錯收款人姓名，交易被中斷。銀行內(nèi)部做檢查，發(fā)現(xiàn)這不是內(nèi)部人員所為，才追蹤發(fā)現(xiàn)這件事情。

這就是從終端電腦開始慢慢安裝軟件，潛伏，通過網(wǎng)絡搜尋獲取更高權(quán)限，層層遞進，最終發(fā)動攻擊。

• 釣魚工具典型案例之臺灣第一銀行

而入侵臺灣第一銀行的程序，實際上它是從倫敦的一個終端機上進入的，通過網(wǎng)絡掌控到傳真式服務器。

傳真經(jīng)常會和總部有資料往來，他們之間有連接。黑客通過傳真式服務器、倫敦的服務器，再進入到臺灣本部的服務器，一層層操作后掌控自動柜員機的服務器，黑客可以操作指定區(qū)域的ATM機器，給出取錢指令，直接得到現(xiàn)金。

我們的慣性思維會認為，網(wǎng)絡攻擊就是攻擊服務器、數(shù)據(jù)中心，但這是從技術(shù)層面來講。釣魚軟件則是一種從終端用戶切入的攻擊，低成本高效益，操作更容易，也不容易被追蹤。

對用戶來說，網(wǎng)上銀行要輸入ID，同時還有短信之類的雙重認證。

黑客用釣魚軟件，程序很簡單，比如給用戶發(fā)鏈接，點進去之后顯示的銀行登陸界面需要輸入ID、密碼、驗證碼，用戶更容易信以為真。但這個彈出的網(wǎng)上銀行界面，其實是黑客電腦上的，不是真正網(wǎng)銀界面。

用戶在不知情的情況下，輸入自己的ID、密碼，被黑客獲取，去真正網(wǎng)銀上輸入用戶的賬密，用戶收到輔助驗證的短信。一旦用戶沒有發(fā)現(xiàn)端疑，按照指示操作，黑客就能拿到短信完成雙重認證，從而進行更多操作和交易。

金融業(yè)的網(wǎng)絡安全治理之道

金融業(yè)的網(wǎng)絡安全管制，不只是技術(shù)層面的。各業(yè)務部門和用戶，全部都要有網(wǎng)絡安全意識，無論是在哪個機構(gòu)、哪個國家或地區(qū)都是如此。

另外，不同銀行的管控能力都不同，網(wǎng)絡安全的治理跟管理要并行，這一點要分清楚。

管理是日常的網(wǎng)絡安全計劃，采取一定措施監(jiān)控和運行系統(tǒng)都是屬于日常管理。但治理更重要，它處于更高層次，金融機構(gòu)必須定出一種方向，去思考：

1、對網(wǎng)絡安全的容忍度有多少？

2、網(wǎng)絡安全在機構(gòu)里，屬于最高優(yōu)先級嗎？

這些問題的答案，直接與機構(gòu)對網(wǎng)絡安全的重視程度掛鉤，包括投入的資源、人才跟資金，因為要建構(gòu)很多不同的措施，包括檢查機構(gòu)網(wǎng)絡安全的水準是否達到一個水平。

在座有不少朋友負責網(wǎng)絡安全，或者從事科技行業(yè)，我想請問大家：當你的管理層或董事會問你，你覺得自家機構(gòu)的網(wǎng)絡安全與業(yè)界同行相比是什么水平？有多少差距？這個問題你會怎么來回答呢？

網(wǎng)絡安全是一件由上到下、遍及全民的要事。香港金管局就明確規(guī)定，保障銀行的網(wǎng)絡安全是機構(gòu)董事會成員的責任，由董事會負最終責任。管理層必須根據(jù)董事會定下的網(wǎng)絡安全優(yōu)先級，去保證所有的資源架構(gòu)配套能夠到位。

• 管理層監(jiān)督
  

管理層的下一級是科技或風險管理部門，甚至是一些前線。管理層要保證計劃都能夠執(zhí)行到位，再具體到技術(shù)人員。

只有管理層乃至機構(gòu)董事會了解到整體安全保障情況，把它列入日常議程，整個機構(gòu)的網(wǎng)絡安全資源跟能力才能持續(xù)下去。

網(wǎng)絡安全永遠沒有“做到最好”這個說法，不是監(jiān)管要求或者稽查就做一下，無人違紀就停止了，而是要持續(xù)執(zhí)行下去。

管理層監(jiān)督的對象，就是有關(guān)網(wǎng)絡安全的部門、科技部門，包括用戶。有關(guān)部門應該收集報告，定期向高層管理、董事會匯報安全情況。

現(xiàn)在很多培訓，只面向科技人員，這不夠。要把培訓遍及到董事會跟高層管理，他們也充分了解當前網(wǎng)絡安全整體趨勢，才能引起足夠重視。基層同事也要知道網(wǎng)絡安全各方面保護，不斷宣傳，讓所有的終端用戶都有這種意識。

除了全民意識，在技術(shù)層面可以有很多的手段，比如在電腦上安裝不同防護工具、加密工具或監(jiān)控工具。實際上不同機構(gòu)都會不斷互相學習，然后引進技術(shù)手段，輻射到終端用戶和高層管理的培訓。

香港金融管理局（下稱“金管局”）對科技的風險監(jiān)管有不同的規(guī)范，以科技管制和技術(shù)措施為主。

持續(xù)性業(yè)務，又稱TM-G2，是指業(yè)務整體都要持續(xù)有留存?zhèn)浞?，不只是科技中心的備份，還有業(yè)務操作備份、演練規(guī)劃。演練包括技術(shù)和業(yè)務層面，應急啟動等，都有很多不同規(guī)范。電子銀行因為變化得很快，所以有專門的管理規(guī)范和相關(guān)指引。

香港民眾對個人隱私的保護意識很強，是好事，當然也沒那么快接受新鮮事物。香港有專門的隱私條例，大概有6個原則：

1. 個人資料的收集、目的及方式。社會上不同的機構(gòu)，像銀行、商店要收集客戶資料，就必須講清楚收集資料的目的跟使用方式。

2. 個人資料的準確及保留期。講清楚目的后，還有使用期限，多久之內(nèi)必須要刪除，資料不再留存。

3. 個人資料的使用。在使用的過程中，要遵循告知用戶使用的方式且只能用于此事，用戶一旦發(fā)現(xiàn)不妥，可以投訴。

4. 個人資料的保護。即是資料在處理中、傳輸中、存放中的保護。

5. 資訊需在一般情況下可以提供。

6. 查閱、修改個人資料的權(quán)利。

根據(jù)隱私條例規(guī)定，用戶可以隨時要求查詢收集記錄的資料，也有權(quán)要求修改和刪除。

• 網(wǎng)絡安全管理指引四大重點

網(wǎng)絡安保方面，金管局曾給出過銀行指引，重點如下：

1、董事會和高級管理層的監(jiān)督

銀行網(wǎng)絡安全的風險擁有人就是董事會，信息一旦泄漏就可能讓黑客容易進入一些科技系統(tǒng)，因此必須建立科技跟業(yè)務并行的風險管理整體措施。

風險出現(xiàn)時，我們要面對監(jiān)管、客戶、民眾、媒體。所以這一系列活動中，業(yè)務部門、企業(yè)職能部門都是要并行運作的。風險管控的措施不只是科技，同時要保證多數(shù)人有網(wǎng)絡安全措施跟意識，董事會跟高級管理層有責任建立這一種文化。

2、定期評估及監(jiān)察

銀行網(wǎng)絡安全要建立一種控制基準，包括治理層面。類似的國際基準有CSC20，通過標準比對，找出差距，不斷修改補充。

2015年時金管局提問各個銀行：網(wǎng)絡安全團隊有多少人？需要配備足夠的人員及人才，足夠的財務投入，才能把網(wǎng)絡安保做好，定期向董事會匯報。

3、業(yè)界合作及應急規(guī)劃

金融機構(gòu)要跟其他行業(yè)機構(gòu)、警方互相合作，共享一些網(wǎng)絡信息；同行業(yè)間互相分享不同的安保信息。做好應變測試，確保能夠及時處理。這里的應變測試是指整個機構(gòu)面對問題的時候的應變處理。

4、定期獨立評估及測試

足夠的網(wǎng)絡安保專業(yè)人才跟知識是衡量機構(gòu)的標準。另外，要請有資質(zhì)的顧問公司對機構(gòu)進行獨立評估，這也是監(jiān)管要求之一。

• 網(wǎng)絡防衛(wèi)評估框架

金管局推出了「網(wǎng)絡防衛(wèi)評估框架」，近幾年還在繼續(xù)完善跟運作。

評估框架要求：銀行根據(jù)自身交易量、提供交易服務的復雜程度和自身規(guī)模，進行自我評估，判斷固有風險的高中低程度。銀行的規(guī)模越大、業(yè)務越復雜、提供的產(chǎn)品越多，固有風險就越高。

還有網(wǎng)絡安防成熟度的要求。固有風險越高，成熟度要求就越高，通過獨立的顧問公司評估銀行，逐項判斷是否滿足要求。再根據(jù)評估結(jié)果找出差距，銀行必須優(yōu)化改進。

每個銀行的評估結(jié)果最終都要上報，金管局根據(jù)結(jié)果提出意見，銀行再根據(jù)意見和評估結(jié)果制定修訂的計劃進行整改。金管局還要求提供修訂報告，獨立顧問公司對銀行做審查，評估整改的方案跟措施。

半年后，會要求銀行找顧問公司再做一次評估，確認方案是否仍然有效。全部做完后，再要求各個銀行去找顧問公司，找出不同的場景在機構(gòu)里測試，然后從端對端中看能否找出漏洞。

• 網(wǎng)絡評估的要素

成熟度評估包括7個領(lǐng)域，水平分為基本、中級、高級，總共有366項，具體看是否完成，服務程度等。獨立顧問公司幫忙審核，列出不符合的項目。

其中，風險識別這一點是指如何保護系統(tǒng)，如何偵測到分別來自內(nèi)部和外部的攻擊活動，如何去法院處理，同時恢復服務，這就是風險意識。

最后一點是第三方的風險管理。近年來，各國對第三方的風險管理要求趨嚴，相信接下來會有更多第三方服務商（相關(guān)條例出現(xiàn)）。比如銀行將呼叫中心業(yè)務外發(fā)給第三方供應商去做，必須監(jiān)控供應商是否存在漏洞，以免影響服務質(zhì)量。還包括關(guān)鍵的硬件供應商，需要有替代方案應對突發(fā)問題。

第三方擴展會越來越多，因為現(xiàn)在的銀行講究效率——傳統(tǒng)銀行要求客戶到分行，或用專門手機銀行做金融交易，但現(xiàn)在有Open API開放這些應用的接口，越來越趨向于B2B方式。

B2B2C模式是銀行跟其他非銀機構(gòu)合作提供服務，共同經(jīng)營雙方客戶。在這種模式下，用戶可以通過一些像網(wǎng)商或航空公司等非銀機構(gòu)，在他們的網(wǎng)站直接享受銀行服務，例如開戶、轉(zhuǎn)賬。

同樣，銀行也可以建立這種平臺，提供像汽車銷售、旅游計劃等商業(yè)合作。當?shù)谌焦揪W(wǎng)站出現(xiàn)問題，銀行必須采取行動，及時判斷這些機構(gòu)存在的問題，判斷其可信資質(zhì)。

最近金管局對銀行又提出關(guān)于人工智能的一些要求，指明如果銀行采用AI產(chǎn)品，或與機構(gòu)服務商合作，董事局跟高層管理也必須負責AI引起的結(jié)果。這就要求使用者對應用程序要有足夠的專業(yè)知識，和對人工智能的認知。

AI要用數(shù)據(jù)訓練模型，因此也對數(shù)據(jù)質(zhì)量有所要求。AI模型還要做好核實，包括模型的可審計性。如果采用外部機構(gòu)的AI產(chǎn)品，比如NLP，涉及的編制也需核實。

外部AI或服務如何管控，如何確定變更過的模型準確性不變，如何檢測程序中是否有惡意部分……這些對銀行來說都是不小的挑戰(zhàn)。

云在內(nèi)地銀行應用較廣泛，香港銀行相對較少，這與監(jiān)管不無關(guān)系。如果銀行使用外部云，（在香港）它會被當成是技術(shù)外包，那技術(shù)外包也有自己的條例，包括全程監(jiān)控，可審計等。云計算上的復雜狀況不一定完全符合監(jiān)管要求，要明確監(jiān)管條例，銀行才能啟用云。

銀行用云也分為很多情況。比如銀行內(nèi)部出于成本效益考慮，選擇自建云。有些銀行是跨國且有很多子公司，它需要讓一些企業(yè)客戶跟銀行IT系統(tǒng)有連接，比如銀企直聯(lián)，企業(yè)的ERP也能夠連到銀行，在處理賬務或資金調(diào)撥時更方便。

• 歐盟GDPR VS 香港個人私隱條例

1、香港私隱條例列出6大原則，基本是原則性條文。而歐盟在2018年推出的資料保護條例叫GDPR，羅列了99條具體細則，它比香港的條例更嚴格。

2、香港把身份證、電話號碼等算在隱私范疇，而GDPR則將生物特征、車牌號、相片、IP地址、色情網(wǎng)絡記錄等等都全部列進去。

3、GDPR條例會覆蓋到其他的國家和地區(qū)，比如別國網(wǎng)站的產(chǎn)品，如果銷售對象是歐洲地區(qū)的客戶，或是銷售中用到歐洲語言，會被計入GDPR。

4、如果有出現(xiàn)問題，你一定要72小時內(nèi)上報到某一個機構(gòu)。

5、很多地區(qū)的私隱條例只講了原則，沒有具體的違規(guī)處罰方式。歐盟就規(guī)定很清楚，說最高可處以2000萬歐元的罰款或者全球營業(yè)額的4%。

如何持續(xù)優(yōu)化一個金融機構(gòu)的網(wǎng)絡安全能力？

第一，定期外聘一個具認受性的顧問公司對機構(gòu)的網(wǎng)絡安全做成熟度評估。

這是多維度的考察，并不只是檢查技術(shù)上的防護。比如畢馬威的成熟度評估模型，總共分了6個維度，評估管制跟領(lǐng)導、整體信息風險管理、法律合規(guī)方面機制等；運作與科技只占一項，還有業(yè)務持續(xù)性、人員素質(zhì)……每個維度又分成5個層次，從初始級到優(yōu)化級，定出一個最適合自己的標準。

金融機構(gòu)如果期望更好的效果，就應該通過各個維度找出差距并整改補齊。 整改時要對措施的有效性進行評估，整改后再對措施的持續(xù)性作評估。

由于不同的顧問公司的評估模型稍有差異，因而找不同的公司作評估，可以從更多的方位找出改善的地方。

第二，不斷演練。

機構(gòu)應事先制定好不同的場景，像網(wǎng)絡攻擊、阻斷式攻擊、釣魚等，并制定好每年演練場景的數(shù)量、所需時間，按照規(guī)劃完成。從高級管理層到終端用戶、科技人員、科技系統(tǒng)等全都會加入。另外也可以聘請外部機構(gòu)進行網(wǎng)絡安保方面的攻防演練，找出漏洞并修補。

系統(tǒng)中的補丁，也是很多機構(gòu)容易疏忽的一點。一個中大型的機構(gòu)，比如服務器、網(wǎng)絡設備、終端機等，時而有補丁可更改，但也要分析實際作用再做定奪。而且要及時知道新的補丁上線時間，這要跟供應商保持溝通，確定補丁需要的時間、風險優(yōu)先級等。

有沒有出現(xiàn)過沒按規(guī)定打補丁的事件？早幾年的Wanna Cry（永恒之藍）就是，它個病毒會鎖掉所有檔案資料，黑客收取比特幣之后才能解鎖。當時全球很多地方都中招了，如果及時打上Microsoft Shop的OS補丁，是可以避免的。

第三，人員意識培訓。負責網(wǎng)絡安保的人員是否具備專業(yè)知識跟能力？這必須由專業(yè)人才進行培訓。很多人認為，有充分的實戰(zhàn)經(jīng)驗就行了，但還是必須要求有專業(yè)認證。

因為經(jīng)驗會隨人員流動，有專業(yè)認證起碼能保證網(wǎng)絡安保人員認知的水平在同一水平線。像科技風險管理或者網(wǎng)絡安保之類的認證人員數(shù)量，至少要占團隊90%以上。同時經(jīng)常舉辦不同的網(wǎng)絡安保培訓活動。另外也可以通過攻防演練、座談會、網(wǎng)絡學習、釣魚測試等培養(yǎng)安全意識。

• 引入智能化分析工具

很多機構(gòu)有不同工具，例如防病毒、防攻擊、防侵入等，在服務器上有防脆弱、防檔案更改的工具，網(wǎng)絡有一些像DDOS防阻塞式攻擊的工具。

監(jiān)控，其實都是監(jiān)控到不同前中后臺、終端或是服務器網(wǎng)絡設備日志。日志單獨查看可能很難看出問題，需要引入智能化分析工具，像Cyber Security Analytic，把不同設備的訪問日志以及一些來自外部的訪問IP的信息聚合在一起通過工具進行關(guān)聯(lián)性分析，找出較為隠蔽的問題。 

例如有些服務器或應用系統(tǒng)正常運行，但某時段有一個IP在極短時間內(nèi)出現(xiàn)不合理的交易數(shù)量，便可藉此提示是否有使用機器人進行操作的可能。

實際上，近兩年病毒或DDOS類型的攻擊反而較少，更危險的是APT攻擊（Advanced Persistent Threat，高級持續(xù)性威脅）。它是在一個位置記錄搜尋漏洞，找到更重要的一個設備，再在設備上找新漏洞，找到它認為合適的時候才發(fā)起攻擊，手段非常隱蔽，攻擊讓人措手不及。這就需要建構(gòu)大數(shù)據(jù)網(wǎng)絡安保分析平臺來應對。

實際上，網(wǎng)絡安全、信息安全是政府、企業(yè)跟個人的共同責任。政府要做好立法和執(zhí)法。企業(yè)方面，各個企業(yè)的網(wǎng)絡安控水準跟意識各不相同，有些中小型企業(yè)沒有資金跟人才去部署，怎么保證他們都有這樣一種安全意識也是問題所在。

同時，個人也要提高安全防范意識，注意個人ID密碼被盜，釣魚郵件，WiFi安全性等等。甚至平時你填的表格信息，也要考慮到信息用途，說不定很多信息因此就丟失。

即將啟幕

CCF-GAIR 全球人工智能與機器人峰會———AI金融專場

歷屆 CCF-GAIR 已匯聚多位諾獎、圖靈獎得主，28位海內(nèi)外院士，21位世界A類頂會主席，103位Fellow，400多位知名企業(yè)家以及100余位VC創(chuàng)始人出席。

8月7日-9日，《AI金融評論》將在第五屆CCF-GAIR中舉辦「AI金融專場」，目前統(tǒng)計學“諾貝爾”— COPSS總統(tǒng)獎得主，摩根大通執(zhí)行董事，世界頂級學會主席，金融巨頭首席科學家、首席風控官，已確認出席。

會議詳情與合作，可聯(lián)系專場負責人周蕾，微信：LorraineSummer

更多會議安排點擊https://gair.leiphone.com/gair/gair2020查看。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。