首頁 » 新聞資料室 » 新聞稿 » EDS亞洲金融服務八大重點: 最低安全風險的銀行營運模式

新聞發佈日期: 2007年3月26日

EDS亞洲金融服務八大重點: 最低安全風險的銀行營運模式


香港:EDS發現區內金融機構正面對的八大安全風險。由於法規要求提高、內部安全風險增加、資料安全受破壞的個案增加等不同因素,安全和營運風險管理都顯得更加重要。

現在,金融機構從三個不同層面管理客戶和企業安全:金融機構本身(包括網路、基礎架構乃至可存取資料的員工和人員)、服務供應商(委外服務仍須包括金融機構本身的管理工作),以及客戶(由於網際網路和無線網絡在亞洲急劇發展,消費者終端設備漏洞對金融機構安全的潛在破壞力更是前所未見)。一般金融機構只能直接控制上述一個或兩個層面,而急速發展變化的環境正改變有關機構的安全和營運風險管理方式。EDS列舉出亞洲金融機構必須知道的八大安全風險,以盡量避免危害到客戶與企業的安全。

  1. 從機構外獲取資料 – 管理者要求將非公開性的個人資料備份,並在機構以外地方將有關資料儲存,安全風險問題亦由此而生。大型銀行並未具備相關基礎設施,以支援電子轉移全部資料的所須頻寬。倘若金融機構採用磁帶或其他可移除式媒體來儲存資料,在運送期間遺失資料或資料失竊的機會也會大增。在部份亞洲新興市場,儲存設施和程序或許仍屬起步階段。因此,將所有須轉移至機構以外的資料加以編碼尤為重要,而且所有可攜性終端設備,例如手提電腦、掌上電腦,以及其他可移除式媒體內的資料,均應強制性編碼。
  2. 服務夥伴的安全及私隱控制程序 – 私隱及安全條例規定,金融機構必須對其服務夥伴的行為負責。因此,另一項關鍵性的風險管理工作,正是要確保本地及海外服務供應商提供充份的安全及私隱管理程序,以監察、預防任何違反客戶資料保密性和完整性的情況。
  3. 內部風險 – 雖然金融機構已採取適當措施,預防外在風險因素,但一般相信,現在大部分資料遺失的問題,均來自內在的因素。僱員或承包商有權存取重要的個人和機密資料,往往成為遺失資料的原因。不過,系統性問題和僱員的無心之失,才是潛在資料遺失問題的最常見原因。金融機構實在有必要考慮採用預防資料遺失的工具,因為這些工具不但可監察和選擇性中斷任何對外的敏感通訊模式,亦可確保各個可輕易進行存取的共用磁碟機或網絡伺服器沒有儲存個人或機密資料。現在,不少工具均可嚴密控制終端設備,並選擇性防止將個人或機密資料複製及貼上、或抄寫至可移除式媒體上。然而,亞洲大部份地區的金融機構在有關先進工具的配置上,均落後於其歐美同業。
  4. 無線災難 – 無線設備和無線網絡對金融服務業來說,儘管仍相對新鮮,但由於無線網際網絡已開始大規模建設,無線設備和無線網絡勢將日趨普及。台灣正是有關方面的先驅,而香港亦獲撥款2,700萬港元,於未來兩年在所有政府場所內提供WiFi網絡。在中國、印度等發展中國家,無線網絡的數目已超越固網的數目。由於保障無線網絡安全的難度更高,危機亦由此而生。無線存取方式日漸普及,成為了另一個安全問題,因為高速頻寬網絡、電腦技術急速發展、PDA設備、Wi-Fi和WiMax網絡等因素,均讓駭客和入侵者可利用愈形複雜的介面,進行襲擊。無線設備固然可提升生產力,提高業務的靈活性和降低成本,但同時亦有必要確保流動個人資料的安全。流動設備的問題尤為嚴重,因為有關設備易於遺失或被竊,但同時又可儲存大量非公開性的客戶和企業資料。僱員或客戶使用未受保障之機場、酒店或其他公眾無線網絡所導致的安全問題愈見嚴重,金融機構實在有必要為所有流動員工和承包商提供安全的通訊機制,將所有無線通訊加密。那麼,即使無線設施未受保障,通訊資料的安全仍得以確保。
  5. 犯罪計劃不斷改良 – 為求領先罪犯,金融機構必須對資料安全採取主動而非被動的態度,並即時評估和提升安全度。機構必須定期評估企業政策和程序的優缺和針對消費者的安全措施,以便適當地調整措施,採納最新科技,緊貼犯罪和安全趨勢。IDG估計,在未來兩年,接近三分之二的亞洲大型和中型企業將採用服務主導的架構,網絡應用程式亦因此而不可或缺。不過,網絡應用程式因多個原因而變得特別容易受到破壞,包括:粗劣編碼;PHP和shell script等均可用於進行攻擊;搜尋器不僅成為駭客襲擊工具,亦成為仿冒詐騙(phishing)的工具。事實上,金融機構目前面對的最大威脅之一,正是仿冒詐騙攻擊。最初的仿冒詐騙攻擊本來十分簡單,但近期的攔截式攻擊(man-in-the-middle attack)已變得十分複雜。透過參與「反仿冒詐騙工作小組」(Anti Phishing Working Group,APWG)等團體,金融機構可與其他機構合作找出和移除仿冒詐騙網站。
  6. 身份及存取管理 – 現在機構面對的最大挑戰之一,是身份與存取管理。確保系統和應用程式只限於所須人士使用,正是其中一項挑戰。針對有關問題,其實可以透過結合人力資源系統和存取控制系統解決。此外,單一登入(single sign-on)和多重認證等方面的發展亦十分急速,令金融機構的基本架構,對外對內皆更為安全。聯合身份管理系統亦有助解決金融機構為商業夥伴存取系統和應用程式所帶來的問題。
  7. 消費者 – 消費者使用簡單密碼、遺失提款卡、寫下密碼等疏忽行為,均會導致他人未經授權存取資料,以及導致詐騙行為。韓國和日本目前正領先3G應用程式的發展,令市場對於可處理更多資料和電腦作業之智慧型手機的需求增加,但與此同時,資料被盜的機會亦因而增加。智慧型手機,以及隨之而來的威脅,亦開始在台灣和香港普及。消費者一般不會具備足夠的安全工具,或是更新其個人設備的安全工具,故在使用其金融機構的網頁時,安全亦因此受威脅。由於消費者知道金融機構會負責詐騙交易的成本,故他們對安全的警覺性亦變得較低。消費者持續受到騙局或仿冒詐騙所害,亞洲金融機構實在有必要不斷教導消費者採取安全措施,除了保護自己外,同時亦降低金融機構面對的風險。
  8. 法規條例 – 由於各地情況不同,金融機構面對的安全風險亦有差異。在北美,廣為人知的資料安全破壞個案,以及法規條例的變動,均特別針對銀行的資料安全問題。近期在美國的條例變動,促使了歐洲機構加強保護消費者的資料安全,因為他們預期不久後歐洲亦會就此備受關注的問題而立法。巴塞爾協定(Basel II)最終會要求所有亞洲和全球的金融機構改善營運風險管理和收緊紓緩政策及程序。最重要的是,已於36個州頒佈的身份盜竊告知法對金融機構的影響最為深遠,每個受影響記錄的平均成本高達182美元。此外,資料處理條例亦可導致安全受到威脅,但如果採用新技術,例如新資料收集方式,讓客戶開設一個文件永不會離開視線範圍的帳戶,則可將安全受威脅的程度減至最低。


目前,EDS的25,000名員工為遍佈30個國家約200名客戶,包括ABN Amro、Aon, 加拿大銀行、昆士蘭銀行、la Caixa、CIBC、CIMB Group、Commonwealth Bank Group、富邦銀行、KBC、Korea First Bank、Lloyds TSB、蘇格蘭皇家銀行、Société Générale、Visa 及Westpac,處理多個金融相關計劃。

關於 EDS

EDS (NYSE:EDS) 是全球資訊服務業領導者之一,協助全球客戶提高企業的營運績效。40多年前,EDS創立了資訊科技委外產業。今日,EDS為全球的客戶提供全方位的資訊科技與業務流程委外服務,其客戶遍佈於製造、金融服務、保健、通訊、能源、運輸、消費性及零售產業和政府機構等多個行業。如需了解更多EDS相關訊息,請上網eds.com.

Note: EDS news releases are archived on this Web site for historical purposes. Information in the stories is accurate at the time of release. However, service offerings and availability, relationships, contacts and other specified information may change over time. Information as stated in the release may or may not be in effect after the date on the release. For assistance, contact us.