金管局發出8個虛擬銀行牌照，本港進一步邁向金融科技的時代。

　　不過，有專家指出，不少金融科技公司將工序外判，埋下資訊安全重大風險，部分黑客更潛伏多時才發動攻擊，建議企業應將資訊安全（Information Security，IS）與資訊科技（Information Technology，IT）部門分家，由上而下提升企業的安全意識。

黑客潛伏 摸清運作才攻擊

資訊安全專家劉偉經認為，資訊安全涉及營商策略，會影響品牌聲譽。

　　各式各樣的金融科技產品冒起，平台是否值得用家信賴成為重要課題。加密貨幣支付平台Crypto.com首席信息安全總監劉偉經表示，常見的風險在於員工開啟釣魚電郵、公司沒有定時轉換密碼、連接雲端的過程或方法欠缺保障等。他特別提到一點，很多金融科技公司起用第三方開發者或服務商，負責如編程等工序，外判得愈多，風險也愈大。

　　從前資訊安全的工作講求要有「假設會被駭」的意識，後來演變成「何時會被駭」，但他認為現在就要「假定已被駭」，因為部分黑客入侵後潛伏300多天，摸清企業的運作模式才發動攻擊，而非電影橋段一瞬間盜走資料。他提醒，如果企業加強自身的網絡安全，黑客入侵的成本和難度增加，自然就會放棄，轉移入侵保安較弱的公司。

　　他指出，部分金融科技公司為盡快將產品推出市場，而忽略保安考慮，其實開發產品時應同步考慮保安功能的生命周期。他建議企業可從4方面做起，包括：（1）進行外部滲透測試、（2）引入數碼安全指引作為管理策略、（3）聘用「有牌黑客」等合資格的保安專家、（4）管理層需開設首席信息安全總監（CISO）崗位。

倘資訊不安全 損品牌聲譽

　　他特別提到一點，並非每間公司都有CISO，又或會納入為IT部門。他認為資訊安全不是技術的問題，反而跟企業策略、營商議題有關，出事時不止金錢被盜，也會影響品牌聲譽，對上市公司而言更會影響股價，CISO應直接向行政總裁滙報，管理層的支援對資訊安全工作尤為重要。