周文龍 報道
爲解決盜竊和濫用個人信息所引起的風險,本地銀行、保險公司和其他金融機構下來可能得采取更嚴格方式來驗證客戶身份。在使用電話或網絡銀行等非面對面服務時,它們將不允許使用通用個人信息如身份證號碼、居住地址和出生日期,作爲身份驗證的唯一方式。
新加坡金融管理局(MAS)昨天發表一份意見征詢書,探討涉及驗證個人身份所需的信息類型。
金管局表示,擬議修改身份驗證方式,是因爲冒名頂替的欺詐案件不斷上揚,該局因此提出修改,以解決盜竊和濫用個人信息所引起的風險。
根據意見征詢書,金管局要求金融機構進行非面對面的身份驗證時,必須使用四種類型信息的至少一種,這包括密碼或個人識別碼(PIN)、通過硬件或軟件密碼生成器産生的一次用密碼、識別個人身份的生物認證信息(Biometric information),以及僅個人和金融機構之間所知的信息,例如賬戶交易詳細信息。
金管局說,在進行客戶任何交易或要求前,金融機構都需要這些信息。
金管局首席網絡安全官陳耀勝表示,公衆在填寫一些申請表格等,不時須提供個人信息如身份證號碼和出生日期等。這類信息一旦落入不法之徒手中,將可用于冒充他人的欺詐行爲。
金管局籲金融機構
加強網絡安全
他說:“意見征詢書建議金融機構在非面對面的金融交易中,強制執行新的身份驗證方式,從而進一步提升消費者對金融機構的信心。”他也呼籲消費者不應把他們的網絡銀行身份認證信息泄露出去。
上述意見征詢書可在金管局網站上查詢,有意提供意見者可在12月9日或之前提交意見。
另一方面,鑒于冠病疫情帶動的遠程辦公模式,將産生與科技相關的更高風險,金管局網絡安全咨詢委員會敦促金融機構嚴格審查它們的安全管控措施。
金管局昨天文告指出,委員會上周四(11月5日)與金管局管理層舉行第四次年度會議上,提出了加強金融機構網絡安全的幾項建議。
其中一個建議是金融機構需要重新檢討網絡風險情況,以便了解迅速采用遠程操控技術和工作流程以後,網絡風險情況是否産生變化,從而確保各機構長期實施適當管控措施,減輕任何新的風險。
隨著金融機構對第三方供應商的依賴程度日益增加,委員會呼籲金融機構加強監管第三方對金融機構系統的遠程操控。
委員會還建議,金融機構應加強管控開源軟件(Open-source software)的使用。這是因爲開源軟件出現的漏洞往往會被網絡攻擊者作爲攻擊目標並加以利用。
金管局局長孟文能(Ravi Menon)說:“在冠病疫情下産生的新運營環境中,我國金融領域至今在網絡和運營韌性方面表現良好。但隨著形勢發展,網絡攻擊者將尋找新漏洞,令金融體系韌性承受更大壓力。金融機構必須保持警惕和隨機應變,繼續加強網絡防禦。”