文 / 许佳龙教授

香港金融管理局近日推出的「网络安全防卫计划」（Cybersecurity Fortification Initiative，CFI），其中「网络防卫评估架构」（Cyber Resilience Assessment Framework，C-RAF）的成效和所发挥的作用。我们通过全面检视银行在C-RAF框架下应对风险的现状或不足之处，即有助提高公众对网络安全问题的认识。

C-RAF关于网络安全在7个领域上的「成熟度评估」规则，无疑为银行应对和防御网络安全威胁，提供了一个清晰简洁的指引方针；我们再进一步，通过检查风险和成熟度之间的关系，以进行更深入的观察和研究。

在一般情况下，高风险银行需要投入更多网络安全的努力和工作，在这个前提下，我们当然希望看到，银行的风险与其成熟度成正比关系，因为这意味着银行对于某一领域的风险，有做到足够的管控措施；若低风险的银行能够达到较高的成熟度水平，则自然更理想。

银行风险评分 与网安成熟度成正比

我们的研究发现，银行的固有风险评分，与其成熟度之间存在正相关（Positive correlation），这是令人欣慰的，说明银行认真应对网络安全风险的威胁。为了更好地了解银行是否投入足够的资源，解决其面临的各种风险，我们根据银行固有风险和成熟度评估的领域，通过散点图（Scatterplots）显示变量之间的关系，从中进行观察和分析。

我们首先检查银行在「技术」（Technology）和「网络安全威胁纪录」（Tracked Record on Cyber Threats）风险，与C-RAF「成熟度评估」领域中的「风险识别」（Identification）、「保护」（Protection）、「侦测」（Detection）和「第三方管理」（Third-Party Risk Management）4个领域成熟度之间的关系。

我们特别关注这4个领域，因为这4个领域被认为是网络安全风险管理的传统或典型因素，例如在美国国家标准与技术研究院（NIST）的安全框架等网络安全风险管理框架，就看到其身影。

中风险银行 对应措施未臻理想

研究结果显示，高风险银行通常在各个领域的成熟度表现更好；有趣的是，我们还观察到，尽管中风险银行在网络安全威胁方面有更好的纪录，但在上述4个领域中，其成熟度不及高风险银行。这项发现反映，银行在某些领域面对低度的风险，没有做到适当的对应措施，对低风险似乎掉以轻心，这是值得注意的。

接着，我们通过将银行的「产品及技术服务」（Products and Technology Services）和「机构特性」（Organization Characteristics），与它们在「治理」（Governance）和「态势感知」（Situation Awareness）领域的成熟度水平进行对比，从而识别出机构的组织与规划所引起之银行风险，以及在组织层面采取措施的情况。

机构特性蕴含潜在风险 须留意

研究结果显示，高风险和中等风险银行在「产品和技术服务」风险领域的平均得分相同，而两者在「治理」和「态势感知」成熟度领域采取了更多控制措施，不过在「机构特性」风险的评分较低，反映来自银行员工和客户数目、分行数目多寡等机构特性可能蕴含的潜在风险，都需要加以考虑。

此外，我们对「应变与恢复」（Response and Recovery）领域进行分析，欲知银行在如何最大限度地减少或减轻潜在网络安全事故造成损失的表现。结果显示，高风险银行在「应变和恢复」领域取得高分数，表明它们很好地应对网络安全缺陷或漏洞；很显然，对网络安全事件作出不当反应，可能会招致更大的损失。

总结这方面的研究和观察，我们的研究发现，银行的固有风险评分，与其网络安全成熟度之间存在正相关关系，但中低风险银行的表现并不理想，其中大多数中低风险银行未能达到7个成熟度领域中每个领域所需的成熟度水平，这是值得注意的。

我们的《Cybersecurity For Financial Industry：An Analysis of the Cyber Resilience Assessment Framework》研究报告最后一个重要研究成果，是笔者和研究团队成员把C-RAF的评估，对应我们在外界公开搜集到有关银行提供服务时所采用SSL电子证书的安全性进行对比，让我们了解银行在自我评估之外的实际网络安全成熟度水平。虽然采用SSL证书只是银行所应该采取大量措施的一小部分，但我们认为，此举反映了银行实施网络安全基本措施的意识和意愿。

顺笔解释一下，所谓SSL证书，其实是电子凭证，SSL全名为Secure Sockets Layer，是一个网页访问者的浏览器，与网站托管服务器之间的网络安全协议，通过采用数码凭证，起到资料加密和身份认证的功能。

减用次级SSL证书 持续改善网安

SSL建立在传输层，为浏览器和服务器建立起一个点到点的安全连接，如若网页浏览者使用一个不安全的或没有加密的连接（HTTP），发送一些隐私资料或密码到一个网站，发送者的数据可能在传输过程中，让网络供应商、黑客等看到或截取到；如浏览者是通过一个加密连接（HTTPS）发送，数据就会被加密，而且只有服务器才能解密。当涉及到一些敏感信息，如提交信用卡资料，这时候就需要使用SSL，以确保网络传输安全。

在这个研究部分，我们探讨了银行采用不同电子证书的问题，例如采用一些运算方式相对弱的电子证书，或者一些自己签署的电子证书，一般人认为信任度没有那么高。我们通过「时间轴」，对这种做法进行观察和分析，发现自金管局推出C-RAF后，银行进行这类行为有所减少，反映银行在这方面的确不断进步，减少采用不太安全的电子证书（见图）。虽然我们不敢绝对肯定，这是C-RAF推出后直接造成的影响，但至少我们相对地看到银行正不断致力改善、提升网络保安的趋势。

银行采用次级SSL证书有所减少，反映银行正不断致力改善、提升网络保安的趋势。

（资料图片）

值得一提的是，我们的研究还发现，在采用这些不太安全、或用相对弱的哈希算法（Hash）运算方式之电子证书、甚至是自行签发的电子证书方面，高风险银行比较少，反而中风险银行较多，而低风险银行就更多，反映C-RAF的内部评估，对银行本身的操作有一定的预测性。

总括来说，自我评估通常用于网络安全风险管理，而C-RAF是一个经深思熟虑的自我评估框架，将风险与管控措施的评估相结合，以协助银行评估其风险，洞悉风险与防护方面之间的落差。我们的《Cybersecurity For Financial Industry：An Analysis of the Cyber Resilience Assessment Framework》研究报告，综合了对22家银行的调研结果，以全面了解香港金融业的网络安全状况，并为银行和组织提供有关网络安全状况的信息，期待同时能提高公众对解决网络安全漏洞重要性的意识。

*本文为许佳龙教授2022年4月28日发表于香港经济日报[评论·世情]的文章，原标题为“‍善用科技拓新价值 经营致胜关键银行查找网安漏洞 提高公众风险意识“。

许佳龙教授简介

许佳龙教授，艾礼文家族教授席，工商管理学院副院长(研究)，资讯、商业统计及管理学系副主任及讲座教授，商业及社会数据分析中心主任，风险管理及商业智能学课程主任，科技及管理学双学位课程主任，他的研究重点为日益迫切的社会问题，包括网络犯罪、网络私隐和资讯保安。许教授亦担任多份着名学术期刊的编委，如《资讯系统研究》。他在教研及服务的贡献为他带来多个奖项。

由香港科技大学主理出品的【教授专栏】，汇集来自不同领域教授的学术成果、前沿论断及知识科普，用最新鲜的视角解读社会动态，以最前沿的角度解释科技奥秘。期待通过香港科技大学的平台，聚合更多新锐观点，打造出一期又一期生动又深刻的【教授专栏】！

-end-