网络攻击者继续以金融部门为目标。当攻击导致一家银行或其他重要平台瘫痪,用户无法使用他们的账户时,会发生什么?
金融部门内部紧密的金融和技术互联可能会促使攻击在整个系统中快速传播,从而可能造成大范围的破坏和信心丧失。毫无疑问,网络安全会对金融稳定造成威胁。
(相关资料图)
国际货币基金组织(IMF)最近对51个国家的调查显示,在新兴市场和发展中经济体中,大多数金融监管机构都没有出台网络安全法规,也没有构建实施这些法规的资源。
调查还发现:
56%的中央银行或监管机构没有针对金融部门的国家网络战略。42%的监管机构缺乏专门的网络安全或技术风险管理法规,68%的监管机构没有设立专门的风险部门。64%的监管机构不要求测试和实施网络安全措施或提供进一步的指导。54%的监管机构缺乏专门的网络事件报告机制。48%的监管机构没有网络犯罪法规。与此同时,国际清算银行对29个管辖区的评估还发现了金融市场基础设施监督方面的缺陷。
然而,正如最近在华盛顿举行的全球网络安全研讨会上所讨论的那样,这些风险是可以防范的,包括准备和协调一致的监管行动。然而这并不容易,迫切需要全面的集体应对措施。
正如快速的技术进步为攻击者提供了更便宜、更容易使用的工具一样,这些变化也赋予了金融机构更大的挫败它们的能力。
即便如此,在一个日益数字化的世界中,仍然有可能出现更大的脆弱性。随着越来越多的系统和设备连接在一起,可能遭受攻击的目标也会激增。严重依赖新数字技术的金融科技公司可以提高金融业的效率和包容性,但也更容易受到网络风险的影响。
地缘政治紧张局势的升级也加剧了网络攻击。犯罪者及其动机往往不为人知,风险并不局限于冲突地区。历史表明,破坏性恶意软件的溢出会造成全球性破坏。例如,2017年首次淹没乌克兰组织IT系统的NotPetya恶意软件攻击迅速蔓延到其他几个国家,造成的损失估计超过100亿美元。
最后,对公共服务提供商的依赖意味着攻击更有可能产生系统性影响。云计算、托管安全服务和网络运营商等常用服务的风险集中可能会影响整个行业。损失可能很高,成为宏观危机。
尽管金融公司和监管者防范攻击的意识越来越强,准备也越来越充分,但审慎框架的缺口仍然很大。
金融机构和监管机构必须通过优先考虑以下五点,为正在加剧的网络威胁和潜在入侵做好准备:
中央银行、监管机构和金融公司必须制定网络安全战略。网络风险是一个多维度的问题,需要当局内部有健全的安全措施;通过监管和监督进行强有力的监督;市场内的集体行动;以及构建能力和专门知识的努力。金融监管机构和公司需要将重点从传统的业务连续性和灾难恢复规划转移到提供关键服务,即使在攻击中断正常运营时也是如此。恢复力需要公司和金融监管机构的最高领导人及其董事会成员的支持。企业需要为可能产生系统性影响的严重但可信的事件做好准备。监管者应该要求行业考虑这种不利的情况,并单独或集体测试他们的应急计划。金融监管者需要确保网络监管和监督能够有效促进业务复原力。虽然没有放之四海而皆准的方法,但许多元素是通用的。一种有效的监管方法可以平衡现场和场外活动,由安全专家和多面手监管人员共同执行,以均衡的方式实施监管。金融公司必须加强网络“卫生”、设计安全系统以及响应和恢复策略。虽然当今的许多攻击越来越复杂,并依靠社交工程让受害者提供敏感信息,但大多数成功的攻击都是日常失误的结果,例如未能部署补丁更新或进行正确的安全配置。在这种情况下,确保安全处理关键数据和保护网络的习惯做法至关重要。国际社会必须协调网络事件报告和有效的信息共享,以确保世界各地的当局能够有效地管理事件。金融稳定委员会正在开发的事故报告模型和通用词汇是向前迈出的重要一步。网络防御的强度取决于最薄弱的环节。随着世界各地的联系日益紧密,遏制风险需要国际社会共同努力。IMF将继续通过旨在设计和实施国际标准和最佳做法的能力发展倡议来帮助金融监管者,并将此作为一个紧迫的优先事项。