官員說,香港金融管理局的網絡安全加固計劃2.0是旨在增強銀行和金融業網絡抗災能力的框架的更新版本,將於1月份正式推出並在未來兩年內實施。
官員們表示,雖然網絡安全框架的更新版本將於1月正式發布,但香港的銀行和金融機構將在2023年12月之前完成大部分所需的任務,包括風險和成熟度評估以及其他審計工作。
在香港金融管理局是香港的中央銀行機構負責確保香港的金融體系的穩定性和完整性。該機構於2016年啟動了其首個網絡安全設防倡議框架,以應對當時席捲整個亞太地區金融機構的越來越多的網絡威脅(請參閱:香港金融管理局:三管齊下的安全戰略)銀行)。
香港金融管理局副行政長官袁智達(Arthur Yuen)指出,更新版的《網絡安全設防倡議》反映了過去四年來銀行和網絡安全方面的趨勢。
Yuen說:“因此,我們加強了網絡安全防禦計劃,以反映技術的最新趨勢,並結合全球網絡實踐的最新發展。” “還進行了改進,以促進本地人才庫的發展,以更好地管理網絡安全風險。我們相信網絡安全設防倡議2.0將把銀行業的網絡彈性提高到更高的水平。”
三大支柱
在新框架內,原始網絡安全防禦倡議的三大支柱仍將保留。其中包括:網絡彈性評估框架(C-RAF),專業發展計劃(PDP)和網絡情報共享平台(CISP)。
這三個支柱對銀行和金融機構都有不同的要求:
- 《網絡彈性評估框架》旨在為銀行建立一個基於風險的通用框架,以評估其風險狀況並確定所需的防禦和彈性水平;
- 專業發展計劃在香港提供培訓和認證計劃,以增加合格的網絡安全專業人員的供應;
- 網絡情報共享平台允許銀行之間共享威脅情報以及其他協作。
同時,香港金融管理局對這三個支柱進行了其他修改。例如,已經更新了網絡彈性評估框架,以解決在應對網絡威脅時處理事件響應和恢復的新方法。同時,據官員稱,專業發展計劃現在擁有擴展的認證清單,其中包括來自主要海外司法管轄區的同等資格。
安全公司ESET的網絡安全專家傑克·摩爾說,通過這種方式,網絡安全設防計劃的更新版本可以在銀行和金融機構之間進行更多的數據和信息共享,並使這些組織比以前更輕鬆地共享威脅情報。
摩爾說:“共享最佳實踐和發展計劃對於持續保護銀行業至關重要。” “共享平台是學習和理解當前威脅以及如何緩解未來攻擊的理想方式。但是,不斷監視不斷發展的攻擊,可以通過彌補網絡安全技能的缺口來支持。”
分階段方法
銀行和其他金融機構將有近兩年的時間來實施“網絡安全設防倡議”的所有新方面。
組織將分為三個獨立的組。官員們說,第一組代表香港的主要零售銀行以及某些外國銀行分行和新的授權機構,這些機構以前沒有受到《網絡彈性評估框架》的要求。
公告稱,香港其他銀行和金融組織將根據其經營規模和網絡風險狀況分為第二組和第三組。