不設實體分行的純數碼銀行可能面對更多網絡安全挑戰,包括如何爲客戶驗證身份,確保他們不是由犯罪分子假冒,或是觸犯任何制裁禁令。
新加坡銀行公會網絡安全常務委員會主席沈耘軒昨天接受媒體訪問時,呼籲數碼銀行業者加強網絡安全監管,降低這一新型營運模式的潛在風險。
沈耘軒指出,純數碼銀行面對的挑戰之一,就是如何在見不到客戶本人的情況下驗證他們的身份。雖然已有一些銀行試行以攝像頭或生物特征識別方式驗證客戶身份,但這類技術尚未普及。“數碼銀行的驗證過程一旦被濫用,可能引發身份欺詐,讓網絡犯罪分子借機假扮顧客開設銀行戶頭。”
此外,傳統銀行也有一套方法識別客戶是否面對特定禁令或制裁,因而不能獲得特定服務。沈耘軒說,獲發數碼銀行執照的業者可能並非來自金融業,在這方面缺乏應對經驗。爲此,他呼籲業者遵照新加坡金融管理局的網絡安全指引,加強對客戶身份的驗證。
金管局今年8月發出網絡衛生(cyber hygiene)通知,要求本地金融機構業者采取六項網安措施,包括加強身份驗證和及時解決系統安全漏洞等。
沈耘軒也歡迎數碼銀行業者加入金融業網安合作網絡,分享他們在數據保護方面的經驗。他說,不同業者可通過共享資訊和知識,更好地應對網絡安全威脅,並防範潛在網絡風險。
金管局昨天召開網絡安全咨詢委員會會議,召集來自世界各地的業內人士和網安專家,探討與金融業相關的網絡安全課題和應對策略。
金管局助理局長(科技)黎日臣爲大會做開幕演講時指出,金管局從完善監管、促進行業合作互助、與國內外機構密切合作、共享信息和加強消費者教育五方面著手,加強本地金融業應對網絡安全風險的能力。他希望爲期兩天的會議能幫助業界了解新型風險,並共同找出應對之道。
委員會在會議上指出,本地銀行的資訊科技(IT)供應鏈越來越常受到網絡犯罪分子攻擊和利用。金融機構應進行源代碼(source code)審查,測試系統完整性和網絡異常狀況,以減輕風險。
此外,建立起良好的網絡風險管理文化,也是防禦IT供應鏈網絡安全威脅的有效方法。委員會觀察到,不良風險文化往往是網絡安全事故的導因,他們建議金融機構的董事會及管理層爲網絡風險文化設立明確期待,並監督和評估機構中風險管理文化的運作狀況。
沈耘軒說,隨著越來越多金融機構使用雲端服務,業者面對的網絡威脅日益趨同。“考慮到雲端服務的特性,業者不能只考慮保護自己,更要維護整個行業生態系統,才能提升應對網絡風險的能力。”
咨詢委員會由10名全球各地的金融及網絡安全專家組成,每名委員的任期是兩年。