网络安全

随着全球金融服务业数字化转型的加速，网络安全正从纯粹的运营问题演变为一大核心战略要点。对于香港和全球的银行而言，网络威胁的复杂程度和强度都在不断增加，必须从根本上重新思考如何治理、管理和缓解网络风险。

在过去12个月里，网络攻击的数量、速度和复杂程度都在大幅上升。犯罪分子正通过部署包括人工智能和自动化在内的先进技术，以更高的精度和速度利用各种安全漏洞展开攻击。如今，金融机构面临着更频繁、更复杂的攻击，这些攻击往往较难察觉和抵御。

与此同时，银行还担负着数字化进程提速的压力。从企业银行到零售银行都在进行整体技术投资，其速度之快往往使安全团队难以及时在其中嵌入控制措施，这使得创新和安全之间在战略层面产生矛盾，银行必须在不增加风险的情况下找到更快速的发展之道。为了应对这一挑战，首席信息安全官应重点关注以下方面：

1. 确保在企业整体嵌入身份和访问管理等能够自动执行的基础控制
2. 构建统一威胁情报平台和自动反应功能以强化安全运营中心能力
3. 加强事件应对和韧性规划，以便能够随时处理相关复杂网络事件
4. 将安全考量纳入敏捷和云原生开发环境之中

如今，自动化应被视为一种必备的能力，它不仅可以提高效率，还能帮助银行跟上威胁和业务需求的变化速度。通过将身份治理、补丁管理、威胁检测和事件响应自动化，银行可以缩短问题处理时间，进一步使整体安全措施协调一致。

在盯紧全球网络犯罪趋势的同时，香港银行还必须应对本地存在的一些与其网络安全和主要风险息息相关的问题。其中，最紧迫的挑战之一当属第三方风险管理。随着银行业对包括云平台和金融科技合作伙伴等外部服务提供商的依赖日益增加，监管机构对他们在监督和问责方面的期望也水涨船高。如今，银行必须端到端展示其供应商生态系统的透明度，并制定明确的治理框架和应急计划以把控服务中断和数据泄露风险。金管局和其他监管机构已就外包和第三方风险定期发布指导意见，以强调有效尽职调查和持续监控的必要性。

持续发展的数字资产监管框架，尤其是与稳定币有关的监管框架，是另一个必须重视的领域。5月，香港立法会通过了《稳定币条例》，该条例将为公众和投资者提供更好的保护。在新的制度之下，发行法币挂钩稳定币或为法币挂钩稳定币交易提供便利的实体，均须获得金管局颁发的牌照并受其监管。

对于银行而言，这种明确的监管要求使稳定币价值链向种类更多的潜在参与者敞开了大门，包括托管人、结算代理、分销商甚至发行人。然而，此类机遇将导致网络风险的增加。稳定币基础设施——尤其是在公共或私有区块链上部署时——会形成新的攻击面，包括智能合约漏洞、钱包安全问题以及未经授权发行代币或操纵代币风险。平台的去中心化特点使事件响应和补救更为复杂。

尝试涉足稳定币生态系统的银行应从一开始就重点考虑网络安全治理，以确保面向客户的应用程序免受欺诈和滥用。此外，还应做好向监管机构证明其数字资产活动得到充分保护，且符合反洗钱和反恐怖融资要求的准备。

随着银行用于识别和预防欺诈的先进技术被越来越多犯罪分子所利用，金融犯罪威胁可能会变得更加复杂严峻。为抵御威胁，银行应将重点放在战略技术投资、人工主动监督之上，并加强与监管机构以及更广泛的金融生态系统之间的合作。