FinTech外判工序埋風險 黑客或潛伏300日再攻擊

科技 08:00 2019/06/05

分享:

資訊安全專家劉偉經認為,資訊安全涉及營商策略,會影響品牌聲譽。(張凱傑攝)

金管局發出8個虛擬銀行牌照,本港進一步邁向金融科技的時代。不過有專家指出,不少金融科技公司將工序外判,埋下資訊安全重大風險,部分黑客更潛伏多時才發動攻擊,建議企業應將資訊安全(IS)與資訊科技(IT)部門分家,由上而下提升企業的安全意識。

各式各樣的金融科技產品冒起,平台是否值得用家信賴成為重要課題。加密貨幣支付平台Crypto.com首席信息安全總監劉偉經指出,常見的風險在於員工開啟釣魚電郵、公司沒有定時轉換密碼、連接雲端的過程或方法欠缺保障等。他指出,很多金融科技公司起用第三方開發者或服務商,負責如編程等工序,外判得愈多,風險也愈大。

從前資訊安全的工作講求要有「假設會被駭」的意識,後來演變成「何時會被駭」,但他認為現在就要「假定已被駭」,因為部分黑客入侵後潛伏300多日,摸清企業的運作模式才發動攻擊,而非電影橋段一瞬間盜走資料。他提醒,如果企業加強自身的網絡安全,黑客入侵的成本和難度增加,自然就會放棄,轉移入侵保安較弱的公司。

專家倡資訊安全與科技部門分家

他指出,部分金融科技公司為盡快將產品推出市場,而忽略保安考慮,但其實開發產品時應同步考慮保安功能的生命周期。他建議企業可從4方面做起,包括進行外部滲透測試、引入數碼安全指引作為管理策略、聘用「有牌黑客」等合資格的保安專家、管理層需開設首席資訊安全總監(CISO)的崗位。

他特別提到,並非間間公司都有 CISO,又或會納入為IT部門,但他認為資訊安全不是技術的問題,反而跟企業策略、營商議題有關,出事時不只被盜取金錢,也會影響品牌聲譽,對上市公司而言更會影響股價,CISO應直接向行政總裁匯報,管理層的支援對資訊安全工作尤為重要。

撰文 : 張凱傑 記者

緊貼財經時事新聞分析,讚好hket Facebook 專版