有網絡安全公司指出,多達九成一的網絡攻擊由電郵開始,原因很簡單,因為這是最容易、成本最低、攻擊範圍最大,成功率也最高的方法。 互聯網電郵最初的設計,是沒有太多網絡安全考慮的。而電郵一般有以下風險。 垃圾電郵:是指一些不請自來,漁翁撒網式的電郵,例如一些賣藥的、增強身體機能的。這些電郵賣的貨品良莠不齊,更可能是非法的。這些電郵都沒有提供不接收訊息的選項。雖然我們只要不理會這些垃圾電郵就是,但如每一天收很多這些電郵,要花時間清除它們也是不勝其煩。 有害電郵:有一些電郵內附有害的附件,可能是一個執行檔或普通文件。收件人如不虞有詐打開了附件,電腦就可能中毒。 釣魚電郵:電郵內會有一些連接到有害網站的超連結。這些網站常常假扮成一些常見網站,例如PayPal、O365、銀行網站等,幾可亂真,騙取用家的個人資料。 CEO詐騙:俗語有云:「橋唔怕舊,最緊要受」。這不是甚麼高科技的技術,只是回歸最基本,電郵假扮公司的CEO或高層,欺騙收件人轉錢,或只是代為購買價值一百幾十元的儲值卡。這些看似很低水平的詐騙,但現實還是會有人上當,甚至損失數百萬元。 其實電郵詐騙,來來去去都是這幾度板斧,通常都會假扮與收件人有往來的發件者和連結的網站,然後內容就說很緊急,要收件者立即行動;又或以利益如很大的折扣,來引誘收件人點擊或回覆。 我有時想,為何黑客的伎倆十年如一日,也不改變一下呢?我想主要有兩原因,一就是如這些方法仍然有效,根本不需要改變;二是黑客的目標,根本就是一些保安意識最低的一群人。欺騙這群人的成功率最高,成本也最低,黑客不想花心神時間,在一些比較難欺騙的對象上。同樣道理,這就是我們今天仍不時收到「你有一份急件」的詐騙電話一樣。 一些電郵保安系統,可有效過濾這些惡意電郵,但用家仍要保持警覺。在收到一些可疑電郵,在打開附件或按下連結之前,停一停,想一想:發件者是誰?我認識的嗎?我應該收到這電郵嗎?連結的網站是聲稱的網站嗎?這些都不是一些很難掌握的事,只要我們有網絡安全的意識,就做得到。 葉曼春 香港電腦學會網絡安全專家小組委員會成員
Author: Toni
全球數碼貨幣發展提速
即使投資者沒有買賣比特幣(Bitcoin)、狗狗幣等,也可能聽過它們的價值屢創新高,或有大型企業因投資虛擬貨幣獲利不少,甚至接受以比特幣購買貨品等。 由於這些虛擬貨幣的啟發和挑戰,各國紛推出自己的數碼貨幣。與比特幣這類由私人推出的虛擬貨幣不同,各地推出的是由國家央行推出、具有法定貨幣地位的電子貨幣。事實上,目前約有80個國家有興趣或已在探討推出央行數碼貨幣(CBDC)。 烏拉圭數碼披索已獲認可 令人意外的是,最早的CBDC竟然出現於2014年,由厄瓜多爾央行推出的實驗計劃;主要是建基於手機使用,並沒有使用區塊鏈技術。直到2018年,計劃因市民的使用率低而終止。 CBDC最早由英倫銀行貨幣政策副總監BenBroadbent在2016年提出;同年瑞典央行提出「數碼克朗」計劃,並於2020年開始進行概念證明。 值得留意是,推出CBDC還有烏拉圭。在2017年烏拉圭央行宣布推出「數碼披索」計劃,並於2018年中成功完成,而國際貨幣基金組織(IMF)更在2019年發表的年報中確認其成功。可是,烏拉圭央行其後並沒公布下一步的計劃。有專家認為,烏拉圭可能是想視乎其他國家如何實施,才進行下一步計劃。 在2019年東加勒比中央銀行,推出世界首個基於區塊鏈的CBDC。該計劃使用於東加勒比貨幣聯盟,該聯盟由安圭拉、安提瓜和巴布達、多明尼加、格林納達、蒙特塞拉特、聖基茨和尼維斯、聖盧西亞、聖文森特及格林納丁斯組成,計劃目標是在2025年前,減少一半的現金使用。 在歐元區,當西班牙央行前行長Miguel Angel Fernandez Ordoñez在2018年提出發展數碼歐元時,歐洲央行表示是不可能的。可是在2019年,歐央行表示會探討推出CBDC的成本效益。到2020年,歐央行的態度更積極,除發表報告提議發展數碼歐元,啟動相關實驗項目外,亦提出在2021年中,決定繼續發展還是擱置相關專案。 2020年巴哈馬央行推出「沙元」,作為電子版的巴哈馬元。在2021年第一季度,沙元正式向巴哈馬公眾推出使用。到了今年美國宣布將推出5個先導計劃,用來測試數碼美元。 內地擬明年冬奧廣泛試行 亞洲方面,在2014年,中國人民銀行已推出數碼人民幣(DCEP)專案,以測試其作為法定貨幣的可行性。2020年人行在深圳、蘇州、雄安新區和成都等推出DCEP作為測試。按內地的一貫方式,人行應會在一段時間後,總結實施的情況和發現的問題,來進行下一步計劃。畢竟內地人口眾多,不實行先行先試,發現問題才制訂對策,影響可能很大,甚至降低居民和國際社會對人民幣的信任。據說,人行打算在2022年冬季奧運時,在全國推出使用數碼人民幣,這樣可以讓更多遊客體驗,同時可引導國際傳媒的焦點,以更好的方式推廣數碼人民幣。 由此可見,由2014年厄瓜多爾開始,到今天也只不過7年,央行數碼貨幣的發展非常快速,參與的國家也非常多。對於全球CBDC發展迅速,人行今年3月在國際清算銀行會議上,提出多項國際間央行數碼貨幣的規定,以便利各國央行電子貨幣的協作及換算等運作機制。 香港電腦學會金融科技專家小組執行委員會成員 黃振昌
雲端保安 人才需求熾熱
近年雲端發展非常迅速,我們的生活已跟雲端形影不離。手機上大大小小的Apps背後,也利用了雲端供應商提供的服務;而網上課堂、在家工作,甚至網購、叫外賣等,通通是雲端服務的應用例子。 疫情加快了各行業數碼轉型,而數碼轉型需要大量雲端服務支援,令服務需求飆升,也間接令雲端人才供不應求。 在未有雲端前,一般只有大公司有能力購買大量伺服器,或建構大型網站或數碼服務。如今,只要有一張信用卡,便能即時享用與大公司媲美的基礎建設和雲端延伸服務,加上「Pay as you go」方案,大大降低起步門檻,加強科創營商環境。 此外,雲端服務可涵蓋世界各地、不受地域限制,令雲端市場發展迅速,而雲端人才和技術也是全球適用,因此不妨修讀雲端相關技術的課程,開創事業。 基本上,所有行業對雲端需求也非常大,尤其金融、保險和零售業,更是急速增長。由於雲端服務發展成熟,在保安方面的要求也相對嚴格,同時要符合這些行業法規上的要求。再者,社會數碼轉型急速,令更多的數碼應用在雲端上發生。 雖然如此,雲端上出現資訊保安的漏洞,亦時有所聞。很多人以為,將伺服器搬上雲端便能加強保安;而事實上,網絡和軟件設計上的保安工作,跟以往沒雲端時分別不大,這些工作仍需繼續進行。雲端只提供一個平台,但保安工作仍要由企業自行負責,因而帶動雲端保安人才也非常「搶手」。 近年市場上已有一些國際雲端保安的認可資格,可供IT從業員考取。不同的IT從業員,也可乘勢進修轉型,加入專業雲端保安的行列,賺取非常可觀的收入。 筆者認為,如企業未能聘請雲端人才,可加強IT部門對整體雲端和資訊保安的訓練,也要提升公司員工對資訊保安的意識。 另也要留意,使用公共雲服務時,要時常檢查敏感資訊是否妥當儲存和加密、保護儲存的位置,以及會否與第三方分享等。另外亦要注意,若觸犯一些國際標準,如歐盟資訊保安法,會帶來相當的罰款和刑責。 文:陳俊偉 香港電腦學會新興數碼技術總監及企業架構專家小組召集人
產業剖析:科技專才宜把握虛銀機遇
香港8間虛擬銀行逐步投入市場,憑藉流暢客戶體驗、豐富的優惠和個別創新產品,給市場帶來耳目一新的感覺,亦將加劇市場競爭。報道指,虛擬銀行目前仍處於投資期,需要在激烈的競爭環境中,探索如何確立自身定位及盈利模式,未來前途及發展方向仍有待觀察和探索。 虛擬銀行並非新鮮事,美國於1995年由3家當地銀行聯合成立了全球首家脫離銀行實體網點運營的網上銀行,開業半年就錄得近千萬人次瀏覽量,正式啟動了虛擬銀行的發展道路。兩年後,荷蘭ING集團成立ING DIRECT Bank,創新採用業務操作的網上化加諮詢服務「咖啡店化」等模式,於遠程網上服務客戶的基礎上,又極大提高了用戶對網上銀行的接受程度。 當時的網上銀行主要是由傳統銀行投資建立,被稱為「直銷銀行」。其後,隨着互聯網和通訊技術迅速發展、智能手機普及,催生了新的客戶行為和行業,給網上銀行帶來更多發展空間,虛擬銀行迎來發展爆發期。此時,互聯網企業及多樣化背景的虛擬銀行逐漸成為主流。 監管政策也給金融創新提供了更加可靠的發展環境。例如歐盟支付服務指令、單一歐元支付區域政策、英國開放銀行政策,以及香港新加坡等地鼓勵金融科技發展等,都激勵當地虛擬銀行發展。 全球現有四十多家虛擬銀行,大部分開設存款業務,亦有很多開設貸款業務,反映存貸業務仍是虛擬銀行基礎,亦是重要收入來源。而ING DIRECT、台灣王道銀行和印度DigiBank等,除存貸業務外,還設有信用卡、保險和理財等多項業務。 疫情改變客戶行為 特色業務方面,如早年ING DIRECT通過咖啡店諮詢的方式,建立客戶對新型銀行的認知與信任;歐洲的Yolt則利用開放應用程式介面(API),形成首家「開放式銀行,為客戶提供查看多家銀行的帳戶餘額、優化資金管理等功能,成功打破銀行間的關係;英國Monzo則針對現代人頻繁出遊的需求,為客戶提供20多個國家的換匯服務和便捷出遊配套金融服務。 去年全球出現新冠肺炎疫情,改變了客戶行為,更多地追求遠程虛擬化服務,這有利於虛擬銀行的發展。香港屬於成熟的城市,更是世界級的金融中心,金融科技人才大可透過創新及獨特的虛銀市場定位,在市場中脫穎而出。 林肇業 香港電腦學會金融科技專家小組召集人
產業分析:用「常識」訓練AI效果顯著
雖然我們知道襯衫應放在衣櫃,但人工智能(AI)曉得嗎?未必。 我們可藉虛擬的環境,讓AI學習並了解真實的世界。「強化學習」(Reinforcement Learning) 是AI中的一個技術領域,會使用獎罰機制來訓練。當AI做出正確行為便會得到獎勵;反之,做錯將受到懲罰。因此,AI就會避免犯錯,繼而遵循正確的行為,最終達到最大化的預期效益。 現實中,「強化學習」常用作改善決策系統,在許多行業中都有廣泛的應用。典型的例子包括自動駕駛技術、遙控機械人、圍棋博弈、統計學等。 在現階段,「強化學習」進入了新的領域,除了涉及獎罰的機制之外,研究員正加入「常識」(Common Sense)來訓練AI;將「常識」以「眾包文本」(Crowdsourced Text)的形式,注入AI模型中。藉着「眾包文本」,我們希望AI系統懂得普遍的常識。 為了測試AI在家居層面的應用,研究員參照普通住宅製造一個虛擬場景,其中包括廚房、浴室、睡房等。另外,研究員將「人工智能代理人」(AI Agent)放在虛擬單位中,其任務是要將凌亂的物件放回正確的位置。例如水果要存放在雪櫃內、襯衫應放在衣櫃等。 模仿人類思考模式 研究員發現,經過「常識」訓練的AI代理人表現好過沒有經過訓練的,並可用較少的頻率活動,準確性亦更高;主因「常識」訓練能收窄隨機選擇的範圍,從而更快地幫助AI代理人可將凌亂的物件放回正確位置。另外,「常識」訓練能夠讓AI代理人模仿人類思考模式,在未知領域和現有知識之間找到平衡。 戴劍寒 香港電腦學會人工智能專家小組執行委員會成員
屋宇工程中的「啤酒與尿片」
市場學上曾經有這樣的一個經典案例──「啤酒與尿片」。雜貨零售店通過數據挖掘,發現逢星期五晚,尿片和啤酒的銷量具有關聯性。後來,發現這種關聯性,源於男士下班後,往往會被要求順路購買尿片回家,而男士又會順便為自己採購啤酒,於是令兩者出現關連性。 儘管這只是一個市場學的舊故事,但其啟發性和影響力,仍常出現於很多數據密集型行業的應用程式設計上。例如,今時今日的屋宇工程系統,為我們提供了大量關於裝置、設備和設施日常運作的數據。收集適當的數據後,進行分析,就可識別出屋宇系統的運作模式,例如耗電、人流、承重、熱舒適度水平和裝備的維修保養等。 要為屋宇工程作出明智決策,必先了解每個工程部分,均非由孤立的系統集合而成,而是一個相互聯繫的生態系統,當中每個部分,都以獨特的方式進行互動。行業專家們會根據每個案例,累積自己的一套經驗;然而,要了解一個更為龐大的生態系統中,每個子部分間極為巨大的互連關係,對於人類而言,即使並非近乎不可能,但必然耗力極巨。 電梯電纜出現異常,就是一個有趣的例子。從行業專家的角度來看,如果電梯電纜突然跳動,顯示問題與電梯本身有關,例如是發動機或制動器故障。但是,如果在同一個地區,所有電梯電纜都同時出現同一事故,就表明可能發生了一個連行業專家都沒有經驗過的問題。透過數據查核,可能會發現問題源於區內電力故障;但這類問題已非屋宇本身可以自行解決,更絕非行業專家能力所及。只有通過數據主導的方法,找出並解釋各種數據之間的關聯性,才能及時發現問題並予以即時處理。 數據主導的方法,不僅適用於屋宇維修保養,更可用於許多其他方面,例如評估節能功效、提升用戶體驗,以及開拓超出行業專家經驗以外的機會。 然而,即使這種方法明顯易於執行,但從不同系統收集的數據,卻很少能完全解讀及應用;意思非指我們在培訓上或行業內,數據科學家的數量不足,而是在現實中,理解和解讀屋宇系統數據的技術,其障礙非常高。關於數據及其彼此間關係的定義,尚未有被廣泛執行的統一標準;而業內所常用的專門術語,亦非廣為數據科學家所熟悉。數據的質量低,加上缺乏解讀特定行業大數據集的有效方法,就成為了兩個普遍存在的問題。 為解決這些問題,應該開發一種通用的語義模式,能表述出屋宇設備系統及其子系統、組件和零件間如何彼此互動。 現時已有一些大學的屋宇工程學系和業內組織,正積極研究此一主題,希望不久之後,我們將能看到類似市場學中,解讀「啤酒和尿片」相互關係的經典案例,在屋宇工程行業的數據解讀中出現。 戴劍寒 香港電腦學會人工智能專家小組執行委員會成員
網絡保安加入人工智能 主動找出漏洞保企業平安
甚麼是網絡保安?根據美國網絡保安和基礎設施安全局的解釋,網絡保安是保護網絡、設備和數據,免遭未經授權的訪問或犯罪使用的技術,並且確保資訊的機密性(Confidentiality),完整性(Integrity)和可用性(Availability)。 人工智能(Artificial intelligence;AI)已在多種網絡保安領域中使用,以增加任務自動化,並允許企業通過做出更好的預測,以便主動解決問題,包括漏洞管理。 「漏洞」主要是指軟件中的漏洞,攻擊者可利用這些漏洞,在系統中執行未經授權的操作。它們可能是由軟件編程錯誤引起的。攻擊者或黑客藉機利用這些錯誤,使電腦感染惡意軟件(Malware),或執行其他惡意活動,例如竊取企業的機密資料等。 由於漏洞數量龐大,對於任何企業而言,管理漏洞並確定優先次序非常困難。考慮到每家企業平均需要 1 或多個月的時間修補 1 個鍵漏洞,目前企業比以往任何時候更需要工具來幫助,在「漏洞」被發現之前,找出來並作出適當處理。 其實,現時企業已可以使用人工智能主動找出並解決漏洞問題。開發人員使用 AI 來自動執行編碼審查,識別其應用程序中,最昂貴的編碼行,並獲得有關如何修復或改進其編碼的建議。就算是經驗最豐富的工程師,即使通過對等編碼審查和單元測試,也可能很難檢測到某些類型的編碼問題。可藉由 AI 幫助開發人員更快、更早地發現編碼問題,並提高應用程式性能。 企業還可以善用人工智能,透過關聯多個指標,包括在「暗網」(Dark Web)上的黑客討論、黑客的聲譽、供應商等,來準確預測可能發生的攻擊,以提高對可能在攻擊中所使用的漏洞的確定性。
數碼貨幣 機遇龐大
「只要兩部有數字錢包的手機碰一碰,連網絡也不需要,便能把一個人數字錢包裡的數字貨幣,轉給另一個人。」中國人民銀行數字貨幣研究所所長穆長春在今年8月這樣介紹。 「數字貨幣」是由中國人民銀行發行的數碼貨幣,指定機構參與營運,並向公眾兌換,支援銀行賬戶整合功能,與紙鈔和硬幣等價,為具有價值特徵、法償性和可控匿名的支付工具。它的價值與人民幣對等,是數碼經濟的重要基礎設施。 早前香港金融發展局表示,目前在中國內地以外使用人民幣,要面臨相關資產不足的問題,而數碼人民幣使用簡單,交易可追溯,香港可作為沙盒試行及研究。香港促進數碼人民幣在境外的研究和推廣使用非常重要,也為未來打下基礎。 香港金管局就央行數碼貨幣已開始進行研究,以深入認識其潛在優勢及挑戰。金管局與香港銀行同業結算有限公司、3間發鈔銀行及R3聯盟(企業區塊鏈技術公司)共同開發概念認證,評估發行央行數碼貨幣在技術層面的可行性,並研究對接債務工具中央結算系統,為代幣化債務證券,提供貨銀兩訖的結算服務。 於2019年第三季,金管局和泰國中央銀行,聯同8間泰國銀行及兩間香港銀行,共同開發跨境資金轉撥概念認證。央行數碼貨幣支持實時跨境資金轉撥,及減少結算過程中所涉及的中介和單位,實現提高效率、降低成本、減低結算風險、提高透明度和配合合規的要求。 以區塊鏈技術為基礎的數碼貨幣,與金融市場具有良好的融合性,將極大提高跨境結算的速度,其安全性也比傳統方法高得多。數碼貨幣及相關技術的出現,很有可能打破國際結算體系的傳統模式,所以市場對懂得相關技術的人員亦有極大需求。 無論你是即將畢業的學生或剛投身社會的新鮮人,如能掌握金融科技知識將大有可為,事業可配合數碼貨幣的推廣,針對商戶、企業及消費者需要,完善各類支付場景,並開發支付產品,推動實際應用。因此,不妨進修金融科技科目,掌握相關知識,在數碼貨幣上大展拳腳。 文:林肇業 香港電腦學會金融科技專家小組召集人
傳統銀行要打數碼硬仗
今年受新冠肺炎疫情影響下,許多生活及消費習慣正在改變,各個行業都需要透過數碼轉型拓展業務。這些改變對銀行界又有甚麼啟示呢? 在疫情影響下,金管局建議銀行客戶盡量使用網上或電話銀行、自動櫃員機或其他電子銀行服務。多間銀行透露,疫情下新登記的網上銀行用戶大幅增長,數碼活躍客戶滲透率比去年增加,透過信用卡進行網購的比例亦有所上升,可見疫情下推動了客戶更快適應銀行數碼化的進程,但亦代表客戶對銀行數碼服務的要求會愈來愈高。 同時,看準這些需求,多間虛擬銀行亦於今年陸續投入服務。開戶過程網上進行只需幾分鐘,使用轉數快等轉帳服務只需幾個步驟,比傳統銀行更快,而且可以全天候透過手機使用銀行服務。 虛擬銀行由於不設實體分行,減低營運成本,從而可提供更多存款借貸優惠,對客戶有一定吸引力。而且虛擬銀行的產品設計有彈性,可根據市場反應適時調整,同時活用金融科技,例如利用大數據模型,參考環聯信貸數據庫等數據,評估客戶的收入狀況及風險等,令貸款審批時間大大縮短。另外,有調查指出疫情造成的經濟影響,令客戶更願意追蹤支出狀況,部分虛擬銀行正正提供戶口支付分析工具,令客戶對該戶口消費一目了然。這些賣點令理財體驗更靈活,的確為傳統銀行帶來衝擊。 事實上,面對以上種種挑戰,多間傳統銀行現時亦已加速數碼化的進程,相繼推出遙距開戶的服務、手機提款等;而網上銀行手機銀行介面設計不斷提升,智能助理提供的資訊亦愈來愈多,更加方便客戶。 虛銀促進生態圈發展 而最令人期待的當然是開放應用程式介面(API)的發展,如何建立一個數碼生活圈,令銀行服務融入生活當中,會是提升客戶體驗的一大關鍵。而相較虛擬銀行,傳統銀行仍擁有建立了長期關係的客戶,以及龐大的分行網絡,線上線下加強分工互相配合,也是一個優勢。但傳統銀行亦必須積極持續開拓創新科技來完善產品設計及進一步改善客戶體驗,優化後台系統提升網上交易穩定性,同時提升網絡安全等來迎接挑戰。 疫情影響下,客戶對網上銀行服務需求大大提升,同時虛擬銀行增加良性競爭,加速整個銀行生態圈及金融科技發展,促成更多嶄新服務及產品出現,對整體皆有好處。 蘇明欣 香港電腦學會金融科技專家小組執行委員會成員
網絡安全人才 前景亮麗
網絡安全人才短缺,估計到2021年,全球會有350萬個空缺。隨著網絡攻擊愈來愈多,包括有組織的犯罪集團和國家級的黑客,數據洩露事故無日無之。另一方面,網絡安全的管制愈趨加強,歐盟國家的GDPR法規(General Data Protection Regulation)實施兩年,共收到9.8億港元的罰款。面對嚴峻的環境,機構對網絡安全求才若渴,但人才卻供不應求。 網絡安全是很專門的行業,對從業員的技術要求頗高,而且要掌握足夠的威脅情報(threat intelligence),才能更有效防禦網絡攻擊,因此。資源不足的中小企通常考慮外判這類工作予託管安全服務(managed security services)的供應商;大機構則可提供友善的工作環境、清晰的職業發展路線圖,以及適合的訓練以吸引人才。 在人才不足的情況下,留住員工至為重要,需知道重新培訓新員工並讓他們熟悉公司環境需時,因此企業皆重視留才,從業員的工作前景非常穩定。由於網絡安全會接觸到資訊科技的每個層面,不少機構亦會吸納一些有經驗的系統管理員、網絡工程師,甚至應用程式開發人員,轉到網絡安全這行業上發展。 若有意在網絡安全行業發展,可先裝備自己,考取大機構常見要求的CISSP、CISA、CISM和CEH等認證,這些認證亦可顯示你對行業的熱誠和投入,增加獲取錄或晉升的機會。網絡安全知識日新月異,從業員對行業富有熱誠和不斷進修極為重要。 投身這門專業,亦要具備良好的分析和解難能力。網絡安全的接觸層面很廣,面對的資訊很多,良好的分析能力能讓我們避免「見樹不見林」,從而作出正確的決定。在應對網絡安全事故時,也要像查案般在複雜的環境中抽絲剝繭,找出原因和對策,需要大膽假設,小心求證,過程中亦有很大的滿足感。 網絡安全非常複雜,對技術的要求也很高,對作業系統、網絡,甚至應用系統的開發也要有一定知識,所以從業員亦要有良好溝通能力,能將複雜深奧的問題,解釋得簡單易明,向老闆申請網絡安全預算時,更要深入淺出地說明。因此,網絡安全從業員可說是要「出得廳堂」懂得應付管理層,又要「入得廚房」解決錯綜複雜的技術問題,殊不簡單,但換來的,是光明的前景和工作上的滿足感。 葉曼春 香港電腦學會網絡安全專家小組執行委員會成員