“FINTECH - Reshaping the Future of Finance Services”

248 249 換句話說，強制性執行高安全標準，有機會加劇公司網絡保安上的損 失。由此來看，強制性安全標準的成果其實並不理想。主要原因是，企 業除了外包給 MSSP 設立這個安全標準外，公司內部的資訊保安水平並 沒有真正提高，中間還是有不少紕漏，成為黑客入侵的方便之門。事實 上，安全標準愈高，除了給網絡安全服務供應商帶來更多生意外，全面 性的安全保護利益未必提高，因而強制性安全高標準的政策並不可取。 與此同時，當所有公司都使用同一安全標準時，會提高系統之間的相互 依賴風險，黑客只要成功攻擊一個系統，其他公司的網絡系統安全也可 以遭攻陷。很顯然，當大家同一時間接受了這個安全標準，卻又沒有做 好自身內部系統的安全，所冒黑客入侵的風險反而更大。 總體來說，個人資料的保護，企業如何做到事前防備、事發因應、事後 補救當然很重要，但資訊安全的效率得以提高，必須建立在牽涉其中各 持份者共同努力和貢獻的基礎上，企業獨力維護孤掌難鳴，大家也要明 白「第三方」的存在和隱性破壞力，這無疑是近日多宗個人資料外洩所 給予我們的啟迪和教誨。 相關聯的機構，包括商家、服務供應商、收單機構 (Acquirer) 及發卡 機構 (Issuer) 都必須符合該標準。 這些參與 PCIDSS 的公司都聲稱有做足安全標準的要求，而顧客和 政府亦相信公司有跟從了這個標準，但最後出現了問題，才發覺還有 些地方沒有完全跟足。筆者一篇研究論文便深入分析了相關問題（有 興 趣 的 讀 者 可 參 看 Information Security Outsourcing with System Interdependency and Mandatory Security Requirement, Journal of Management Information Systems ， Winter 2012–13, Vol. 29, No. 3, pp. 117–155 )。 安全標準愈高效果愈少 筆者的研究發現，為了滿足政府的網絡安全標準，業界定了安全標 準後，很多公司外包給網絡安全供應商 (Managed Security Service Provider，簡稱 MSSP) 去協助設立保安措施以迎合這些安全標準。論 文深入分析發現，強制性的安全要求，使 MSSP 的生意愈來愈興隆， 而且更不斷激勵它們為更多客戶提供服務，雖則有更多客戶可以得到 MSSP 的保護，但也導致隱含更多系統相互依賴風險。如果強制性要求 很高，反而有機會提高來自第三方的網絡安全風險。 網絡保安與個人私隱保障