香港保險業監管局(IA)在2019年發佈《網絡安全指引》(GL20),一直用以監管保險業界,在網絡安全上需採取的最低標準安全措施,以減低保險公司面對的網絡安全威脅,同時保障保單持有人的資料安全。GL20亦是保監局在評估保險公司網絡安全框架有效性時所用的指導原則。
為應對日益嚴峻的網絡安全形勢,IA 將於 2024 年推出經修訂的 GL20,引入更詳細的指引及更嚴格的風險評估方法,包括 威脅情報為基礎的模擬攻擊 (TIBAS),為保險公司提供更精準的網絡風險管理方向,以下是新版本GL20關於風險評估的要求 (所有評估需由第三方進行):
固有風險評估(Inherent Risk Assessment,IRA)
保險公司固有風險評估(IRA),評估其在網絡攻擊下的應變和恢復能力,將風險等級劃分為低、中、高三級,全面分析其網絡安全狀況。
成熟度評估(Maturity Assessment,MA)
評估保險公司在整體網絡安全態勢(Security Posture)—即管理、防護、偵測、修復等方面的實際成熟度,要求制定和實施改進方案,以達到預期的安全水準。
網絡攻擊模擬測試(Threat Intelligence Based Attack Simulation,TIBAS)
IRA結果為中等或以上需要進行TIBAS,中等風險的保險公司模擬網絡攻擊測試需至少涵蓋三個攻擊場景;對於高風險公司,則需涵蓋五個場景。測試還包括評估網絡安全系統、人員和流程,而且模擬攻擊需要是根據威脅情報 (Threat Intelligence) 真實發生及和保險業高度相關的網絡攻擊。
BAS 模擬攻擊平台:您應對 GL20 TIBAS 的最佳夥伴
面對新版 GL20 更高的要求,保險公司需要採取更積極主動的網絡安全策略。 市面上的自動化模擬攻擊平台(Breach and Attack Simulateion BAS),可以幫助您持續性地自我評估風險並找出現布安全缺口,服務供應商亦可利用其基於全球威脅情報的真實攻擊模型,作為進行TIBAS的工具。BAS方案可以:
- 自動化模擬真實攻擊: 模擬各種真實世界的網絡攻擊,包括勒索軟件、數據洩露和 APT 攻擊等,全面檢測網絡安全漏洞。
- 驗證安全控制措施: 驗證現有安全工具和策略的有效性,識別潛在的安全漏洞並提供修復建議。
- 提升團隊安全意識: 通過模擬攻擊,提升團隊的安全意識和應急響應能力。
新版 GL20 計劃於2024內正式發佈,保險公司需於9 個月內提交評估結果,並在此後每三年提交一次。如有需要可聯繫我們,瞭解更多BAS及我們的服務夥伴如何幫助您滿足 GL20 TIBAS 要求,構建更強大的網絡安全防禦體系!