继国家银行在2022年4月底颁发5家数码银行执照后,这些新晋的数码银行已陆续投运并推出市场,吸睛的存款利率更吸引不少新用户。
不过,一如线上银行或其他支付应用程式,作为以应用程式(Apps)形式呈现的虚拟银行,数码银行也存在被攻击的隐忧。
随着数码银行的崛起和普遍化,业者应该如何在满足客户需求之际,也确保并提升应用的安全性?
根据2023年上半年的《大马网络安全威胁格局》报告,银行、政府、企业、电讯和教育等部门是面对最严重威胁与影响的行业之一。
会员独享好文 减少强制广告 即时派送好康 独家社群交流金融行业因处理大量敏感数据和交易,一直是网络攻击的温床。近年来,数码银行陆续问世,虽然更便利,但也存在被攻击的隐忧。
科技业者认为必须从两大方面对症下药,将有助于数码银行提升安全性,同时满足客户的需求。
美国上市公司Rackspace Technology公用云端业务部全球服务与解决方案高级副总裁桑迪接受《中国报》访问时指出,数码银行容易受到网络攻击的影响,不法分子一般通过钓鱼、社交工程和其他欺诈手段来针对数码银行。
他指出,恶意软件和勒索软件攻击是过去几年最危险的威胁之一。银行业中的钓鱼攻击是最常见的手段,骇客通过伪装的电子邮件或域名欺骗个人,诱使用户泄露个人可识别信息或下载恶意软件。
再者,人工智能(AI)的发达亦有利网络犯罪份子。桑迪说,犯罪份子利用人工智能创造AI加强版的恶意软件,能够自动发出攻击、创造更具说服力的钓鱼邮件,并开发能够适应和回避检测系统的恶意软件。
根据《大马网络安全威胁格局》报告,去年上半年有71%涉及客户数据和敏感数据遭泄露,而政府部门的数据泄露占各个部门泄露事件的22%。这些威胁可分为五大类,即勒索软件、数据泄露、钓鱼攻击、攻击表面和系统漏洞攻击。
网络攻击只是时间问题
桑迪说:“数码银行像所有连接到互联网的在线系统一样,也容易受到网络攻击的影响。问题不在于组织是否会被攻击,而是何时会被攻击。”
因此,他认为,数码银行应该加强数码免疫系统(digital immune system ),保护应用程式和服务免受潜在威胁的影响,如软件漏洞或安全问题,从而使系统更具弹性并减少停机时间。
市场研究公司顾能(Gartner)将数码免疫系统定义为一套软体设计、开发、运营和分析的实践和技术组合,旨在减少业务风险。
最脆弱的是人为因素
数码银行的安全,除了从软件下手,也不能忽略“人”这一环。就算数码银行防火墙再厉害,还是不能避免一些用户点开钓鱼邮件。
桑迪说,人类是最脆弱的一环,因此政府和银行才会持续教育消费者。政府也不断提醒民众,不要点击来路不明短讯中可疑的网址连结。
他建议银行,鼓励消费者通过官方来源验证与其银行户头相关的问题的真实性,且永远不要向任何人透露个人或网上银行详细信息,或一次性密码(OTP)。
他建议使用多因素认证(MFA)和生物识别等额外的安全层,以防止未经授权的系统访问。
他认为,银行也应该好好善用人工智能和物联网(IoT)等新科技,来提升用户的体验。
“将人工智能运用在数码银行系统能够提供客户客制化的银行助理服务,从而了解每个用户的财务习惯,并订制解决方案和建议。”
“物联网提供更加互联的银行体验,例如自动账单支付和可疑活动的即时通知,让用户的财务生活更加安全。”
他说,随着银行业的发展,监管法规也在不断演进,政府和执法机构正努力确保数码交易的安全合规,以在创新的同时,保障用户的利益。
国内3数码银行陆续面市
国家银行在2022年4月底公布了5家数码银行执照得主,目前市面上已有3家业者正式推出数码银行服务。
GXBank率先在2023年9月投入运作。GXBank是由Grab、新电讯(Singtel)及郭氏兄弟私人有限公司数码银行合设的数码银行。
至于由永旺金融服务(AEON Financial Service)与私人金融科技公司MoneyLion财团开设的永旺银行(Aeon Bank),是在今年5月正式推出。
亚通(AXIATA,6888,主要板通讯与媒体)旗下金融科技臂膀Boost Holdings与兴业银行(RHBBANK,1066,主要板金服)的Boost银行也在6月揭晓。
另外2家数码银行得主,即冬海集团(Sea Limited)和杨忠礼数码资本私人有限公司(YTL Digital Capital公司)所组成的财团,及KAF投资银行引领的财团则暂时未有公告最新进展。
改善数码免疫系统
桑迪认为,数码免疫系统有助于企业保护应用程式与服务,降低网络威胁的潜在风险,免受软件漏洞和安全缺陷的影响。
“从长远来看,这些银行将受益于增强的安全性,减少网络攻击的影响,并改善用户体验。”
顾能预计到了2025年,通过加强数码免疫系统来减少停机时间的企业,其客户的满意程度将提升,达到80%。
此外,桑迪认为,建立“了解你的客户”(KYC)倡议,以及培训员工识别可疑活动也有助于提升数码银行的网络安全。
他说,安全风险正在快速变化,目标是不断改进,但资讯科技团队却陷入了一种“被动反应模式”,即在出现情况时才做出反应,而非提前控制,这限制了团队前瞻性思考的能力。
“对于组织和员工来说,理解漏洞并找到正确的解决方案和资源来对抗潜在的网络威胁至关重要。”
然而,本地企业缺乏网络安全人才,这加剧网络安全的挑战。
他认为,忽略网络安全措施投资的数码银行可能面临客户信任损失、声誉损害以及对银行客户数据的影响。
“企业在采用现代技术时,须考虑在每个检查点采取安全措施,以防数据泄露和金融欺诈。”
