原创 周启发&许志中 2024-12-31 08:45 中国香港
保护银行系统的稳健性和香港金融市场的完整性
香港网络安全风险评估框架发展背景
「网络安全风险评估框架」是香港金融管理局(HKMA)网络安全防卫计划(Cybersecurity Fortification Initiative, CFI)的一部份。这个框架是源于美国银行间普遍实施的美国联邦金融机构检查委员会(FFIEC)网络安全评估工具(Cybersecurity Assessment Tool, CAT),及欧洲多个银行采用、由英国注册道德安全测试员理事会(CREST)提出的情报主导网络攻击测试框架(CBEST)而形成的一套网络安全风险评估框架。
全球网络安全环境日渐复杂,香港金融管理局希望透过网络安全防卫计划全面提升香港银行体系的整体网络安全防护水平,巩固香港作为亚洲国际金融中心之地位,防范不法分子入侵银行网络盗取数据、破坏银行系统、窃取财产。同时作为银行监管机构,透过网络安全防卫计划的实施,能够确保银行已进行有效的网络保安风险管理,提升银行体系应对及抵御网络攻击的能力。
网络安全风险评估框架的构成
网络安全防卫计划(Cybersecurity Fortification Initiative, CFI)的核心由C-RAF、PDP、CISP三大支柱所组成:
第一支柱:C-RAF (网络安全风险评估框架)
C-RAF网络安全风险评估框架是整个网络安全防卫计划的重点,是一套以风险为本的风险评估框架。评估框架的设计目的是让银行作为评估依据,以评估银行自身的网络安全风险状况,定出适当的网络防卫安保水平及应对网络攻击所需要采取的防御措施。
C-RAF评估框架包含三个部分:
一、「固有风险程度」评估(Inherent risk assessment,IRA)
依据多个因素评估自身的网络风险状况,然后以「高」、「中」或「低」三个级别显示银行经营自身业务需要面对的网络安全风险程度。
二、「成熟程度」评估(Maturity assessment,MA)
评估银行网络防卫能力的成熟程度,及相关风险控制措施能否与其固有风险程度互相对应。
三、情报信息主导的模拟网络攻防测试(iCAST)
在传统的漏洞扫描、渗透测试、红蓝对抗的基础上,额外加入威胁情报信息主导的模拟网络攻防测试。
第二支柱:PDP(专业培训计划)
PDP是一个网络安全从业员的本地认证和培训计划。计划的目标是透过系统化的专业培训,培育专业的本地网络安全从业员,并藉此加强他们网络安全的专业性,提高他们对网络风险评估的能力,和进行模拟测试的技术水平。
网络安全防卫计划2.0版本香港金融管理局响应了银行业界的要求,采纳了由本地资讯安全专业协会、主流银行及大学代表组成的专家小组推荐的专业资格清单,增加认可的等效专业资格,对应本地实际的人才供应情况。这些专业资格被等同于 PDP 下提供的认证,让持有等效专业资格的专业人员可以执行网络安全风险评估框架定义的相关评估和测试。
第三支柱:CISP (网络风险信息共享平台)
CISP是一个提供予银行安全分享网络攻击信息的共享平台。CISP设立目的是希望银行之间能够在共享平台安全地分享网络攻击信息,让其它银行及时收到提示或警告,有助银行就可能出现的网络攻击作好准备及应对。
网络安全防卫计划的实施
网络安全防卫计划1.0版经过3个月的咨询后于2016年12月发布,首批约30家固有风险评定为高的主流零售银行需于2017年9月完成实施C-RAF及2018年6月完成iCAST。第二批约60家较高固有风险的银行于2018年底完成实施C-RAF及2019年9月完成iCAST。最后一批余下约90家银行的要求完成时间为2019年底及2020年中。
实施网络安全风险评估框架,首先需要进行固有风险评估(IRA)以了解银行经营自身业务所面对的网络安全风险程度。固有风险评估依据包括银行业务营运型态及复杂性、银行提供的服务渠道及相关风险、银行采用的科技、银行受网络攻击的风险等多个因素进行评估,并以「高」、「中」或「低」三个级别显示银行经营自身业务需要面对的网络安全风险程度,三个固有风险级别分别对应「Advanced」、「Intermediate」、「Baseline」三个级别所需的成熟度。
进行固有风险评估了解银行自身的固有风险及所需的成熟度后,便需要进行网络防卫成熟度评估(MA)。成熟度评估以7大关键领域划分480余项评估点评估及判断银行实际的网络防卫能力及成熟程度,及相关风险控制措施能否与其固有风险互相对应。订出适当的网络攻击防御措施及改善计划,并采用阶段性方法提升以达到与风险相符的网络安全成熟度管理水平。
被评估为「中等」或「高等」固有风险水平的银行必须在合理时间内进行iCAST模拟网络攻防测试。攻防测试需要设定模拟攻击的场境,并采用最新的情报信息来模拟可能出现的网络攻击,以评估银行对实际网络攻击的识别和响应能力。
网络安全防卫计划2.0版本
香港金融管理局在1.0版本完成实施后对网络安全防卫计划进行了全面检讨,考虑过去几年所获得的经验、业界调查、海外最新发展和实践、以及最新的技术趋势(例如云端技术和虚拟化安全)后,于2020年1月发布了2.0版本的咨询文件,并同年举办了两场研讨会收集香港银行公会成员的意见。随后于2020年11月发布网络安全防卫计划2.0版本并于2021年1月生效。
修订后的网络安全风险评估框架简化了整体评估的过程,同时保持与最新技术对应的有效控制。而且银行可更灵活、有弹性地整合及使用银行集团或总部进行的网络评估结果。iCAST模拟网络攻防测试的部份引入蓝队(防守队)的要求,用以衡量银行于侦测、响应和复原的有效性。认证和培训的部份扩大了人才供给,扩展了可接受的专业资格列表,鼓励网络威胁情报共享。
网络安全防卫计划2.0版本沿用1.0版本分批实施的做法 — 首批固有风险为高的主流零售银行、及被选中的海外银行香港分行、加上新成立且并未实施1.0版本的银行将于2021年9月完成实施C-RAF及2022年6月完成iCAST。第二批较高固有风险的银行于2022年6月及2023年底完成实施。最后一批余下的银行于2023年3月及2023年底完成实施。
C-RAF网络安全风险评估跟一般IT审计不一样
C-RAF 网络安全风险评估和IT审计在银行的网络风险管理和香港金融管理局的监督中发挥着关键作用,但它们在评估关注点、目标、评估方法和结果的影响上有着显着的差异。
网络安全风险评估框架实施的疼点
本地专才不足
香港金融管理局要求有关评估应由具备专业知识的合资格人员进行。网络安全风险评估框架(C-RAF)本身参照英国的CBEST网络攻击测试框架,所以沿用非常严格的认证制度,并根据专业培训计划所认可的证书判断是否具备相关专业知识。当中C-RAF 评估必须由合资格的C-RAF Assessor执行、 iCAST部份必须由合资格的iCAST Manager管理,并由合资格的 iCAST Specialist 或 iCAST Tester 进行测试。
幸好C-RAF 2.0 版本其中一个更新是为每个相关角色增加认可的等效专业资格,例如考获OSCE 或OSEE等专业资格可等同于 CREST的CCSAM 资质以担任 iCAST Manager;考获GPEN、GXPN等专业资格可等同于 CREST的CCSAS 资质以担任 iCAST Specialist;获OSCP、OSWE等专业资格可等同于 CREST的CCT 资质以担任 iCAST Tester,大大纾缓银行业本地专才不足的问题。
红蓝合作及情报主导是攻防测试的重点
iCAST情报主导模拟网络攻防测试不是单以攻击队(红队,Red Team)单向模拟攻击为主导,而是鼓励防守队(蓝队,Blue Team)同步进行防御及记录相关攻击详细过程,这种需要红蓝合作的紫队(Purple Team )模拟对抗概念可以令银行更全面了解自身网络风险的抗压能力。
另外,iCAST模拟网络攻防测试在传统的红蓝对抗的基础上,额外加入威胁情报信息主导的模拟网络攻防测试,所以攻击队必需采用最新的情报信息来设定模拟攻击的场境,模拟可能出现的网络攻击,以能全面评估银行对实际网络攻击的识别和响应能力。
高固有风险的成因
一般人大多认为某一家银行的固有风险评定为高,它一定经常受到网络攻击,因为网络安全风险的源头来自网络攻击,实际上网络安全风险是来自银行提供什么服务,以及提供多少的服务渠道 —— 服务风险最大程度影响固有风险评估的结果。
高风险的银行基本都能满足大多数的管控要求,一般较能达到所需的成熟度;反而中风险或低风险的银行倾向未能达到相关管控所需之成熟度需求,主要成因可能由于心态上高风险的银行需要落实所有领域的管控,所以大多会乖乖落实所有的管控措施。反观中风险或低风险的银行倾向以「达标」的形式落实最低的管控要求,所以控制措施的执行反而未如理想。
明确要求银行董事局及高级管理层的参与
落实网络安全风险评估框架(C-RAF)的其中一个重点是香港金融管理局在网络安全风险评估框架中明确要求银行的董事会和高级管理层的参与,以确保银行的网络安全计划得到有效执行。这一个要求强调了他们在网络安全风险管理中的管治责任,需要妥善管理以达到符合其风险状况的网络防卫水平。下面列举数个较重要的董事会和高级管理层相关管控要求:
1. 设立网络安全风险管理文化和意识
高级管理层必须扮演核心和领导角色,在银行内部推广网络安全风险意识的企业文化,包括通过培训、沟通和规范行为来强化网络安全的理念,确保所有员工都意识到网络安全的重要性。
2. 确保网络安全策略的执行
董事会需要制定正式流程,确保高级管理层能够采取适当的行动来解决任何重大网络风险,包括将网络安全风险加进管理委员会的会议议程、分配足够的预算及资源并定期进行预算审视。
3. 董事会和高级管理层的监督
董事会需定期审视和评估网络安全风险管理框架的有效性,包括制定及审批网络风险偏好、审批网络安全计划、监控管理层在网络安全风险管理的表现、审阅内外审计意见、持续改进网络安全监督流程,确保日常运营不会超出银行的网络安全风险承受能力。
4. 沟通与报告
高级管理层至少每季度向董事会提供有关网络安全总体状况的书面报告,以确保董事会能有效对网络风险态势进行监督,最大程度地减少网络安全风险。
结语
银行业是网络犯罪份子的主要目标,网络攻击及应变处理之间的攻防战愈演愈烈。香港网络安全防卫计划明确展现香港金融管理局作为银行业监管机构去提升银行网络安全管理的水平及决心,透过网络安全防卫计划的实施全面提升香港银行体系的整体网络安全防护水平,确保银行已进行有效的网络保安风险管理,提升银行体系应对及抵御网络攻击的能力,进而保护银行系统的稳健性和香港金融市场的完整性。
作者介绍
周启发 Frank:专业资讯保安协会(PISA) 副会长
20+年金融和服务提供商行业经验,曾在多家金融机构担任网络安全和信息风险管理的管理职位,获得香港网络安全专业人士奖、ISC2亚太信息安全领导奖和BCI亚洲专业人士奖。
许志中 Patrick:中银国际 科技风险管理团队骨干
18+年科技风险管理经验,香港网络安全精英嘉许计划CSPA Award 2023金奖获奖人,ISC2香港分会执行委员(主责专业发展)。
关于 大湾区金融安全专刊
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
专刊获取方式
本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!
