虛銀爆安全隱患 業界提醒須加強遙距認證
撰文:經一編輯部| 圖片:Unsplash、iStock、手機截圖
業界認為,遙距認證技術及處理客戶數據資料,將會是虛擬銀行持續要完善的安全問題。 平安壹賬通銀行回覆傳媒查詢,承認在開業首日下午約5時,其手機App遇上分散式阻斷服務(DDoS)攻擊,拖慢程式運作速度,但強調至今客戶資料並沒有受到影響及外洩。
該行稱,網絡及數據安全是其首要考慮,正採用全球大型網絡商戶、銀行及證券商最常使用的加密技術之一的傳輸層安全協議加密技術(TLS),客戶與銀行之間的網絡來往將被加密保護,有效保護客戶的資料不會被第三方獲取。 在處理個人資料方面,平安壹賬通銀行表示在個人資料處理上(例如收集、使用、存儲和刪除),將確保符合相關法例的要求,會採用安全系統,以保護客戶的個人資料,免遭未經授權的使用。
除了遭受黑客攻擊外,有指平安壹賬通銀行的電子化認識你的客戶(eKYC)亦曾出現故障,客戶輸入地址後,系統未能識別出現錯誤的地址。
Mox月結單出錯
此外,渣打香港牽頭成立的Mox的月結單出錯,有用戶9月份月結單顯示了其他人的姓名和交易資料,該行一度需要暫停查閱月結單功能。
Mox指出,在準備9月份的月結單時發覺出現了技術問題,並已徹底調查,是次事故只與月結單顯示相關,客戶戶口結餘、交易動態、交易執行及紀錄均不受影響。 為防止類似事件再次發生,Mox續稱,已在後台流程中加強驗證月結單的準確性。而該行的月結單檢視功能亦已經恢復正常。
網絡保安業界人士表示,虛擬銀行在香港為全新事物,開業後的保安系統出事無可避免。目前虛擬銀行有兩大保安難題,包括遙距認證技術及處理客戶數據資料。
業界建議虛擬銀行在處理高風險交易上,必須要使用雙重認證技術,例如要求客戶每次交易時,都必須使用兩組完全不同的登入方式,其中一重密碼可以是生物認證。
同時,虛擬銀行可以利用人工智能(AI)偵查可疑交易,假如戶口於海外登入或交易量突然大增時,便應該即時向客戶發出保安通知。 在保護及處理客戶資料方面,業界表示,根據外國虛擬銀行例子,虛擬銀行有機會與第三方雲端供應商合作,便要留意資料外洩風險。
金管局要求提交報告
金管局在最初發出指引,邀請虛擬銀行申請人入標時,便提到虛擬銀行與傳統銀行均須遵守同一套監管規定。 因應虛擬銀行的商業模式,科技相關風險對虛擬銀行非常重要,尤其資訊保安、系統穩定性及業務須持續管理。
據金管局公布的《虛擬銀行的認可》指引,大原則是銀行備有的保安及科技相關管控措施應「 適切需要」,虛擬銀行申請人須聘用合資格的獨立專家,獨立評估其計劃中的科技管治及系統是否足夠。 而虛擬銀行在開業前,須就其電腦硬件、系統、保安、程序及管控措施作更詳細的獨立評估。
此外,虛擬銀行應制定程序定期檢討保安及科技相關安排,確保在科技持續發展的情況下,有關安排仍然合適。
如今面對虛擬銀行出現系統事故,金管局作為監管機構有責任確保虛擬銀行就事故作出檢討和改善。 就Mox月結單出現錯誤,金管局發言人回應傳媒查詢指,已收到Mox的通報,有客戶查詢月結單功能出現故障,部分交易的收款人或發款人名字與真實紀錄不符。銀行正調查事件,並會向金管局提交報告。
最後一家虛銀富融試業
本港八家虛擬銀行中唯獨富融銀行(Fusion Bank)尚未開業,該行在9月底終宣布試業,稱邀請1,000名特選客戶使用個人銀行服務。
富融銀行由騰訊控股(00700)、工銀亞洲和港交所(00388)等合資組成,目前在金管局的金融科技監管沙盒進行試業。 除了基本的存款功能外,富融銀行在試業期間也會提供外滙買賣服務,貨幣種類包括港元、人民幣及美元,是首家設有外滙買賣的虛擬銀行。
該行在試業期間提供限時高息定存優惠,包括港元三個月定存年利率5厘,上限10萬元,以10萬元計算,期滿後最多可賺息1,250元;另在指定限期內,亦可免手續費提前取回定期存款。 至於活期存款則分別提供港元、人民幣與美元儲蓄,在推廣期內,三種貨幣都可享1厘活期存款利率。
富融銀行行政總裁岑志豪透露,目前正與內地和海外多個合作夥伴進行洽談,期望在世界各地為客戶提供更多的服務,讓用戶在生活各範疇都更輕鬆自在。
銀行界人士估計,富融銀行下一步很有可能與WeChat Pay HK進行合作,該行可以借助騰訊在互聯網方面的優勢,滿足客戶需求。 由於WeChat Pay在中、港兩地都有龐大的個人和商戶網絡,若富融銀行跟WeChat Pay在港達成合作,相信可為雙方的客戶提供支付、財富管理等更多增值服務。