新加坡银行公会网络安全常务委员会主席沈耘轩昨天接受媒体访问时,呼吁数码银行业者加强网络安全监管,降低这一新型营运模式的潜在风险。
咨询委员会由10名全球各地的金融及网络安全专家组成,每名委员的任期是两年。
此外,传统银行也有一套方法识别客户是否面对特定禁令或制裁,因而不能获得特定服务。沈耘轩说,获发数码银行执照的业者可能并非来自金融业,在这方面缺乏应对经验。为此,他呼吁业者遵照新加坡金融管理局的网络安全指引,加强对客户身份的验证。
此外,建立起良好的网络风险管理文化,也是防御IT供应链网络安全威胁的有效方法。委员会观察到,不良风险文化往往是网络安全事故的导因,他们建议金融机构的董事会及管理层为网络风险文化设立明确期待,并监督和评估机构中风险管理文化的运作状况。
金管局助理局长(科技)黎日臣为大会做开幕演讲时指出,金管局从完善监管、促进行业合作互助、与国内外机构密切合作、共享信息和加强消费者教育五方面着手,加强本地金融业应对网络安全风险的能力。他希望为期两天的会议能帮助业界了解新型风险,并共同找出应对之道。
金管局今年8月发出网络卫生(cyber hygiene)通知,要求本地金融机构业者采取六项网安措施,包括加强身份验证和及时解决系统安全漏洞等。
沈耘轩指出,纯数码银行面对的挑战之一,就是如何在见不到客户本人的情况下验证他们的身份。虽然已有一些银行试行以摄像头或生物特征识别方式验证客户身份,但这类技术尚未普及。“数码银行的验证过程一旦被滥用,可能引发身份欺诈,让网络犯罪分子借机假扮顾客开设银行户头。”
金管局昨天召开网络安全咨询委员会会议,召集来自世界各地的业内人士和网安专家,探讨与金融业相关的网络安全课题和应对策略。
委员会在会议上指出,本地银行的资讯科技(IT)供应链越来越常受到网络犯罪分子攻击和利用。金融机构应进行源代码(source code)审查,测试系统完整性和网络异常状况,以减轻风险。
沈耘轩说,随着越来越多金融机构使用云端服务,业者面对的网络威胁日益趋同。“考虑到云端服务的特性,业者不能只考虑保护自己,更要维护整个行业生态系统,才能提升应对网络风险的能力。”
沈耘轩也欢迎数码银行业者加入金融业网安合作网络,分享他们在数据保护方面的经验。他说,不同业者可通过共享资讯和知识,更好地应对网络安全威胁,并防范潜在网络风险。
不设实体分行的纯数码银行可能面对更多网络安全挑战,包括如何为客户验证身份,确保他们不是由犯罪分子假冒,或是触犯任何制裁禁令。
