新聞及推廣

香港保險業監管局（IA）在2019年發佈《網絡安全指引》（GL20），一直用以監管保險業界，在網絡安全上需採取的最低標準安全措施，以減低保險公司面對的網絡安全威脅，同時保障保單持有人的資料安全。GL20亦是保監局在評估保險公司網絡安全框架有效性時所用的指導原則。

為應對日益嚴峻的網絡安全形勢，IA 將於 2024 年推出經修訂的 GL20，引入更詳細的指引及更嚴格的風險評估方法，包括威脅情報為基礎的模擬攻擊 (TIBAS)，為保險公司提供更精準的網絡風險管理方向，以下是新版本GL20關於風險評估的要求 (所有評估需由第三方進行)：

固有風險評估（Inherent Risk Assessment，IRA）

保險公司固有風險評估（IRA），評估其在網絡攻擊下的應變和恢復能力，將風險等級劃分為低、中、高三級，全面分析其網絡安全狀況。

成熟度評估（Maturity Assessment，MA）

評估保險公司在整體網絡安全態勢(Security Posture)—即管理、防護、偵測、修復等方面的實際成熟度，要求制定和實施改進方案，以達到預期的安全水準。

網絡攻擊模擬測試（Threat Intelligence Based Attack Simulation，TIBAS）

IRA結果為中等或以上需要進行TIBAS，中等風險的保險公司模擬網絡攻擊測試需至少涵蓋三個攻擊場景；對於高風險公司，則需涵蓋五個場景。測試還包括評估網絡安全系統、人員和流程，而且模擬攻擊需要是根據威脅情報 (Threat Intelligence) 真實發生及和保險業高度相關的網絡攻擊。

BAS 模擬攻擊平台：您應對 GL20 TIBAS 的最佳夥伴

面對新版 GL20 更高的要求，保險公司需要採取更積極主動的網絡安全策略。 市面上的自動化模擬攻擊平台(Breach and Attack Simulateion BAS)，可以幫助您持續性地自我評估風險並找出現布安全缺口，服務供應商亦可利用其基於全球威脅情報的真實攻擊模型，作為進行TIBAS的工具。BAS方案可以：

• 自動化模擬真實攻擊: 模擬各種真實世界的網絡攻擊，包括勒索軟件、數據洩露和 APT 攻擊等，全面檢測網絡安全漏洞。
• 驗證安全控制措施: 驗證現有安全工具和策略的有效性，識別潛在的安全漏洞並提供修復建議。
• 提升團隊安全意識: 通過模擬攻擊，提升團隊的安全意識和應急響應能力。

新版 GL20 計劃於2024內正式發佈，保險公司需於9 個月內提交評估結果，並在此後每三年提交一次。如有需要可聯繫我們，瞭解更多BAS及我們的服務夥伴如何幫助您滿足 GL20 TIBAS 要求，構建更強大的網絡安全防禦體系！