曼昆研究 香港证监会发布网络安全报告Web3持牌公司必看!
根据慢雾安全团队的数据,2025年1月,因为安全事件和钓鱼事件造成的损失就近1亿美金,而这仅仅是行业损失的冰山一角。每年因为网络安全问题导致的项目和个人用户损失,多则几十亿,少则十几亿美金。
,其中指出:对持牌公司而言,认识到网络安全不仅仅是信息技术部门的责任至关重要。实际上,持牌公司的高层管理人员在监督和实施强有力的网络安全措施方面扮演了关键角色,以保护其组织免受不断演变的威胁。
那么,Web3持牌公司应该如何应对网络安全问题?本篇文章,曼昆律师就来拆解香港证监会的这篇报告,为大家画画重点的同时,也提供一些参考策略。
在以往,我们常常会将项目/产品的安全问题归咎于公司的IT团队,认为他们才是主要负责人。
持牌公司的高层管理层不仅是企业战略决策的核心,更是网络安全合规的第一责任人
SFC明确指出,以下所有人员均属于高层管理层范畴,并需承担网络安全监管职责:
香港SFC强调,网络安全不仅仅是IT部门的责任,而是公司治理的重要组成部分。因此,高层管理层必须确保公司建立和维护强有力的网络安全管控体系,并在战略层面监督安全措施的执行。这一责任不仅要求管理层具备对网络安全风险的认知,还需要他们确保企业采取适当的措施来降低这些风险,并符合SFC的监管要求。
此外,网络安全的合规要求不仅限于技术管控,更涉及企业文化的塑造。企业管理层应当积极推动安全意识培训、建立安全责任制度,并在企业内部营造“网络安全优先”的文化。只有当管理层真正将网络安全视为企业风险管理的重要组成部分,Web3持牌公司才能在复杂且多变的网络威胁环境中保持安全稳健的运营。
Web3行业的安全事件层出不穷,然而在这之中,许多攻击的根源并非黑客手法高超,而是持牌公司自身的安全管理缺陷。
香港证监会(SFC)在报告中指出,许多持牌公司在网络安全管理上仍然存在2大关键漏洞。而这些漏洞往往成为黑客攻击的突破口,直接威胁客户数据、交易安全,甚至引发合规风险。
Web3持牌公司持续使用已过期的软件,是香港证监会报告中重点关注的一大网络安全漏洞。
由于这些软件不再接收来自供应商的安全更新、补丁或技术支持,因此,新发现的漏洞也不会被修复,这就给到了网络犯罪分子的可乘之机——他们可以利用这些弱点发起恶意软件攻击,导致数据泄露和系统侵入。
为了降低这一风险,Web3公司必须实施结构化的软件生命周期管理过程,并由管理层直接负责软件资产的风险评估。对此,在适用的情况下,公司可以考虑在其业务运营中采取以下措施:
建立软件更新机制。维护公司内所有软件和操作系统的更新清单,提前识别即将过期的软件,并设定定期评估流程。
在供应商正式结束支持前,主动计划升级或更换,以确保业务连续性,避免临时中断。
持牌公司可以建立持续的安全监测机制,确保软件风险能够被及时识别和处理。
另外,Web3公司高级管理层应确保IT团队拥有足够的资源,以便可以有效地管理软件生命周期,防止因未能升级关键系统,造成客户数据和金融资产面临不必要的风险。
加密算法是保护客户数据、保障交易安全以及符合监管要求的核心防线。然而,香港证监会(SFC)在报告中指出,部分持牌公司仍然依赖过时或弱加密算法,导致敏感的财务信息和个人数据面临极高的网络安全风险,比如数据泄露、账户未授权访问。
如MD5、SHA-1或旧版RSA实现,这些算法容易受到现代密码攻击的威胁。
例如RSA密钥低于2048位或AES密钥低于128位,使得暴力破解更为可行。
如在多个环境中重复使用密钥、未定期轮换密钥或在不安全的地点存储加密密钥。
为了降低这些风险,Web3持牌公司可以实施符合行业标准的加密协议,以增强数据保护能力,并确保符合SFC的监管要求,包括:
如高级加密标准AES-256,确保静态存储数据和传输数据都受到高强度保护。
例如利用椭圆曲线密码学ECC作为RSA的替代方案,在提供更高安全性的同时,降低密钥长度需求,提高计算效率。
避免多个环境使用同一密钥,定期更换密钥,并确保密钥存储符合最高安全标准(如硬件安全模块HSM)。
至少每年进行一次加密合规审查,确保所有加密措施符合最新的行业标准和监管要求。
从合规角度来看,弱加密不仅是技术管理的疏漏,更可能引发严重的监管风险。在香港,《个人数据(隐私)条例》等法规对金融机构的数据保护责任提出了严格要求,而全球范围内的数据安全标准(如ISO 27001、NIST)也不断提升加密技术的合规门槛。
因此,如果Web3持牌公司未能实施足够强度的加密措施,一旦发生数据泄露或未经授权访问,可能将面临法律责任、客户信任危机,甚至监管处罚。同时,作为公司高级管理层,也必须将加密安全视为企业核心合规工作的一部分,确保加密策略能够随行业安全标准和新兴网络威胁不断优化,并有效执行,以保障客户数据安全和企业的长期合规运营。
除了自身漏洞外,Web3外部安全危险更是屡见不鲜,最常见的就是钓鱼网站和空投骗局。
因此,香港证监会(SFC)在报告中强调,持牌公司必须采取更加主动的安全策略,以应对不断升级的网络攻击威胁。特别是在Web3业务环境下,由于资金、合约和数字资产的高度数字化,传统金融机构面临的网络安全挑战在Web3公司中被进一步放大。
对于Web3公司而言,网络钓鱼不仅仅是一个简单的欺诈行为,更可能是黑客发动更大规模攻击的入口。特别是在Web3领域,网络钓鱼往往是资金被盗、智能合约漏洞利用、恶意授权甚至私钥泄露的前奏。黑客通过伪造交易网站、发送欺诈性dApp链接或冒充官方团队,诱导用户在毫无察觉的情况下泄露敏感信息,最终导致严重的资金损失和安全危机。
为了缓解这些威胁,Web3公司必须超越基本的意识培训,建议采纳多层防御策略,包括:
传统的邮件过滤器已无法应对日益复杂的钓鱼攻击。SFC指出,持牌公司部署高级电子邮件安全网关(SEG),以检测和阻断钓鱼邮件攻击。比如,建议部署AI驱动的邮件安全解决方案,以检测伪造域名、可疑附件、恶意链接。这些工具也应整合实时威胁情报,以阻止新兴的网络钓鱼活动。。
由于网络钓鱼主要针对登录凭据,因此,Web3企业应在所有关键系统中强制执行多因素认证(MFA),特别是在涉及交易平台、私钥管理、热钱包访问和合规系统的环境中。同时,应尽量减少用户账户的权限,采用最小权限原则(PoLP),限制钓鱼攻击可能造成的影响。
员工是第一道防线,但单纯的安全培训往往难以改变员工的惯性行为。因此,建议Web3公司可以进行两步,(1)对员工进行针对金融服务和数字资产特定风险的持续网络安全意识培训,确保员工能够识别和报告复杂的网络钓鱼尝试;(2)定期进行模拟钓鱼练习,并以此分析、评估员工的安全意识和反应,进而改进事件响应协议。
Web3公司应建立标准化的网络钓鱼尝试报告程序,确保迅速采取行动调查和缓解威胁,以免情况升级。比如,发生钓鱼事件时,企业应迅速隔离受影响的账户或系统,并立即启动应急响应流程,包括撤销恶意合约批准、冻结受影响资金,同时通知相关监管机构和客户。另外,任何成功的网络钓鱼入侵都应触发取证审查和内部安全政策的更新。
在Web3场景下,恶意网站和dApp(去中心化应用)可能诱导用户签署恶意智能合约。因此,企业应实施安全交易确认机制,例如在钱包交易界面提供详细的智能合约权限说明,并鼓励用户在授权前使用模拟运行工具验证交易行为。
对于处理虚拟资产交易、代币化资产以及DeFi类型的Web3公司而言,网络钓鱼的风险已经远远超出传统电子邮件诈骗。黑客不再局限于发送恶意邮件或钓鱼网站,而是利用更具欺骗性的社会工程学手段,如伪造官方通信、诱导用户批准恶意智能合约,甚至伪造钱包签名请求,进而绕开常规安全防护,直接获取用户虚拟资产的控制权。
对此,Web3公司的防钓鱼策略不能仅停留在基础的安全意识培训,更应该涵盖钱包安全管理、智能合约交互审查,以及严格的交易验证机制,最大程度降低潜在风险。
远程办公已成为Web3企业的常态,但同时也增加了网络攻击的攻击面。如果远程访问管理不当,黑客可以通过弱凭据、未加密的连接或被攻破的设备访问核心系统,带来严重安全隐患。
使用第三方 IT 服务提供商引入了额外的网络安全考虑因素。企业必须进行彻底的尽职调查以评估供应商的安全态势。这包括审查他们的安全政策、了解他们的事件响应程序,并确保他们遵守相关监管要求。建立关于数据保护的明确合同义务和定期的安全评估可以进一步减轻与第三方提供商相关的风险。
许多Web3企业依赖第三方服务商提供云存储、身份验证、智能合约审计和支付处理等服务。然而,如果供应商本身存在安全漏洞,可能会成为黑客攻击的突破口。
评估供应商的网络安全水平、数据处理政策、事件响应程序和合规性认证(如ISO 27001或SOC 2)等。
比如要求供应商提供最新的安全报告,并进行渗透测试,以确保其基础设施没有重大漏洞。
云计算已经成为Web3企业的核心基础设施,然而,误配置的云存储、未加密的数据和过度开放的访问权限,可能会让黑客轻松窃取敏感信息。
SFC的报告再次强调,网络安全不仅是技术问题,更是持牌公司合规运营的核心环节。无论是管理层的直接责任,还是内部安全防护与外部威胁应对,Web3持牌企业都必须建立长期稳健的网络安全策略,以满足监管要求,保护客户资产安全。
更值得关注的是,2月7日,SFC宣布,计划在2025年全面审查现有的网络安全要求和预期标准,并制定一个全行业的网络安全框架,为所有Web3持牌公司提供更明确的合规指引,助其更有效地管理网络安全风险。
因此,Web3持牌公司更应提前做好准备,以确保在监管要求升级时能够迅速适应。同时,曼昆律师建议无论是否持牌,Web3企业都应主动评估现有的网络安全架构,完善内部治理机制,并加强合规对接,以降低未来合规调整带来的运营风险,并提升市场竞争力。
