呂愛麗 報道
爲了應付日益嚴峻的網絡安全風險,本地金融機構今後必須定期測試系統的因應與恢複能力。
這是新加坡金融管理局(MAS)昨天(1月18日)推出修訂版的科技風險管理指導原則(Technology Risk Management Guidelines)所聚焦的其中一個部分。
除了要求金融機構定期根據不同情況,例如“釣魚”(phishing)、身份盜竊和垃圾郵件等進行安全演習,指導原則也要求金融機構模擬敵人發動攻擊,以測試系統的防禦和回應是否有效。
金管局在文告中指出,金融機構越來越常使用雲端科技、應用編程接口(API)技術以及快速應用程序開發。經過修訂的指導原則,主要因應這些應用所帶來的科技和網絡安全風險問題。
金管局說,最近一系列針對供應鏈的網絡攻擊,清楚顯示了網絡威脅日益嚴重。修訂後的指導原則進一步強調了金融機構在進行技術開發以及部署的過程中,必須將安全監控視爲重要的一環。
金融機構同時必須建立一個健全的流程,能及時分析以及跟整個金融生態系統分享網絡威脅的信息。
金管局首席網絡安全官陳耀勝說:“科技已經成爲大部分金融服務的基礎。金融機構不僅采用新科技,也越來越依賴第三方服務供應商。修訂後的指導原則清楚列明了金管局對金融機構在科技風險治理以及安全監控方面的期望。”
修訂版指導原則也爲金融機構的董事會和高級管理層提供更多指引。董事會和管理層必須確保企業內部委任一名擁有相關經驗和技術能力的首席信息官(CIO)和一名首席信息安全官(Chief Information Security Officer),負責管理科技和網絡安全風險。
董事會也必須擁有相關知識的成員,提供有效監督。
星展銀行首席信息官黃惠錦在回應《聯合早報》詢問時說:“金管局的修訂來得正是時候,許多新興科技在新加坡金融體系中將扮演更重要的角色。”
黃惠錦指出,星展銀行已有減緩網絡安全風險的策略,包括清晰的風險治理和管理框架,以及保護數據機密和完整的系統。“我們將與監管機構和整個金融業緊密合作,加強我們的網絡安全韌性,尤其在銀行業日益數碼化的時代,讓客戶繼續對我們具有信心。”
修訂版的指導原則納入了金管局于2019年展開公衆咨詢所獲得的反饋。金管局期望金融機構遵守該准則,當局對金融機構進行風險評估時將予以考慮。