银行的网络安全——第二代监管方法（英）

金融稳定 Institute FSI见解 关于政策执行 No50 银行的网络安全-a 第二代监管方法 作者：JuanCarlosCrisanto,JeffersonUmebaraPelegrini和JermyPrenio 2023年6月 果冻分类：G21、G28、O33 关键词：网络风险，网络安全，网络弹性、运营弹性 FSIInsights由国际银行金融稳定研究所（FSI）的成员撰写 Settlements(BIS),oftenincollaborationwithstafffromsupervisoryagenciesandcentralbanks.Thepapers 旨在为一系列当代监管和监督的国际讨论做出贡献金融部门当局面临的政策问题和实施挑战。 它们完全是作者的，不一定反映国际清算银行或基于巴塞尔的委员会。 由FSI主席FernandoRestoy授权。 本出版物可在国际清算银行网站(www.bis.org)上查阅。联系国际清算银行媒体和公众关系团队，请发送电子邮件至press@bis.org。您可以在以下位置注册电子邮件提醒www.bis.org/emailalerts.htm. ©国际清算银行2023年。保留所有权利。简短摘录可转载或翻译提供的来源说明。 ISSN2522-249X（在线） ISBN978-92-9259-663-7(online) Contents Executive摘要4 Section1–Introduction.6 Section2–International监管倡议8 Section3–Designof网络复原力法规11 Section4–钥匙监管requirementsfor网络复原力………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………………………… ……………… Cyber安全战略and治理14 Cyber突发事件响应and恢复16 Cyber突发事件reportingand威胁情报共享………………………………………………………………………………………… ……………………………………………………………………………………………………………………17 Cyber复原力测试18 Cyber卫生20 第三方依赖关系20 Cyber安全cultureand意识23 结论24 SectioCnyb5e–r安全劳动力23 Cyber复原力指标24 参考26 银行的网络安全——第二代监管 approaches1 执行摘要 网络弹性仍然是金融服务业的首要任务，也是 引起金融当局的注意。这并不奇怪，因为网络事件构成了重大的威胁到金融体系和全球经济的稳定。金融体系表现出 支持实体经济的关键活动数量(例如，吸收存款、放贷、支付和 结算服务)。网络事件可能会破坏信息和通信技术，这些技术支持这些活动，并可能导致滥用和滥用这些技术处理的数据或 store.Thisiscomplicatedbythefactthatthecyberthreatlandscapekeepsevolvingandbecomingmore 在持续数字化、第三方依赖增加和地缘政治紧张局势中，情况非常复杂。此外，多年来，网络事件的成本持续且显着增加。 本文更新了Crisanto和Prenio(2017)，重新审视了 该文件所涵盖的司法管辖区，以及审查在其他司法管辖区发布的司法管辖区。Aside来自香港特别行政区、新加坡、英国和美国的网络法规，这些法规 在2017年的论文中，本文研究了澳大利亚、巴西、欧盟、 以色列、肯尼亚、墨西哥、秘鲁、菲律宾、卢旺达、沙特阿拉伯和南非。司法管辖区为选择反映发达经济体(AE)和新兴市场的网络法规，以及 发展中经济体(EMDE)。这突显了自2017年以来几个司法管辖区-包括 EMDE-已经制定了网络法规。 监管银行的网络弹性仍然有两种主要方法：第一个利用现有的相关法规，第二个涉及发布全面的规。第一种方法以操作风险、信息 securityetcandaddcyber-specificelementstothem.Here,cyberriskisviewedasanyotherriskandthus 风险管理的一般要求，以及对信息安全和 operationalrisks,alsoapply.ThisapproachismorecommonlyobservedinjurisdictionsthatalreadyhaveTheserelatedregulationsfirmlyestablished.Thesecondapproachtocoverallaspectsof 网络安全，从治理安排到操作程序，在一个全面的 regulation.Inbothapproaches,tocountertherisksthatmightresultfromhavingtoomuch 在网络法规中，一些法规将广泛的网络弹性原则与 一套基线要求。无论采取何种监管方法，比例原则都是在应用网络弹性框架时给予了适当的考虑。 无论是作为相关法规的一部分还是单独的综合性法规，最近的网络安全策略已经演变，可以说是“第二代”网络法规。 主要在AEs中发布的“第一代”网络法规侧重于建立网络 风险管理方法和控制。在过去的几年里，当局，包括那些在EMDE，已经发布了新的或额外的网络法规。这些第二代法规有更多 嵌入的“假设违约”心态，因此更符合运营弹性概念。 因此，他们专注于提高网络弹性，并为金融机构和当局提供具体的工具来实现这一点。 1国际银行JuanCarlosCrisanto(Juan-Carlos.Crisanto@bis.org)和JermyPrenio(Jermy.Prenio@bis.org) Settlements,JeffersonUmebaraPelegrini(jefferson.pelegrini@bcb.gov.br),CentralBankofBrazil.WearegratefultoKasparKöchli和JatinTaneja提供研究帮助，并向MarkusGrimpe和有关当局的工作人员提供有益的意见。 EstherKünzi和TheodoraMapfumo提供了宝贵的行政支持。 “第二代”法规利用现有的政策方法来提供 额外的具体指导，以提高网络弹性。网络安全策略，网络事件报告、威胁情报共享和网络弹性测试仍然是较新的 管理与第三方服务提供商的连接可能产生的网络风险 成为“第二代”网络安全框架的关键要素。此外，现在有对网络事件响应和恢复以及事件的更具体的监管要求 报告和网络弹性测试框架。此外，监管要求或期望 与网络弹性指标和适当的网络安全专业知识的可用性等问题有关在一些司法管辖区已经引入了银行。 EMDE中的主管部门在其网络法规中往往更具规范性。网络安全战略、治理安排-包括角色和责任-以及性质和频率 网络弹性测试是EMDE当局提供规范性的一些领域 requirements.Thisisapproachseemstobeconnectedtotheneedtostrengthenthecyberresilience 整个金融部门的文化、资源限制和/或缺乏足够的网络安全专业知识 在这些司法管辖区。因此，EMDE当局可能认为有必要在他们的期望中更加明确确保银行董事会和高级管理层投资于网络安全，银行员工确切知道 他们需要做什么。 国际工作导致了网络弹性法规和 金融领域的期望，但在某些领域可以做得更多。G7网络的工作专家组(CEG)和全球网络弹性标准制定机构(SSB)促进了 跨辖区金融监管和监管期望的一致性。鉴于这是必要的 网络犯罪的无国界性及其对全球金融稳定的潜在影响。另一个领域可能存在趋同空间的地方是当局评估网络弹性的方式 受监管的机构。例如，这可以包括调整对一家公司的充足性的评估 网络安全治理、劳动力和网络弹性指标。最后，可能有需要考虑的范围一个针对关键第三方提供商的国际框架，特别是云提供商，考虑到其中一家提供商发生网络事件的潜在跨境影响。 第1节-介绍 1.网络风险2是对金融体系和全球稳定的重大威胁经济。金融体系执行一系列支持实体经济的关键活动(例如存款和贷款、支付和结算服务)。网络事件3已被证明 通过影响信息和通信技术(ICT)来扰乱这些活动 firmsextensivelyrelyonandthedatatheyprocess.Withinthefinancialsector,bankstypicallyhavethemostpublic-facingproductsandservices.Theirmultiplepointsofcontactwithoutsidepartiesresultin网络攻击的重大漏洞，并可能被用作攻击的入口点，这些攻击可能最终导致 金融系统的相关中断。 2.网络威胁格局不断演变，并在持续的过程中变得更加复杂 数字化、第三方依赖增加和地缘政治紧张局势。国际刑警组织（2022年）报告勒索软件，网络钓鱼，在线诈骗和计算机黑客是最高的网络犯罪威胁 此外，由于强烈的影响，网络威胁格局的复杂性有所增加 地缘政治对网络行动的影响，特别是自俄罗斯-乌克兰战争开始以来，分布式否认服务(DDoS)被用作网络战工具.5黑客主义也在死灰复燃， 技术成熟和国家支持，以及深度伪造欺诈的增加6 金融系统的更大部分对云提供商的依赖性日益增加，CrowdStrike(2023) 报告“电子犯罪和民族国家行为者采用知识和贸易手段的更大趋势越来越多地利用云环境。“ 3.网络威胁格局的特征还在于， 网络事件的成本。Statista(2023)估计2022年全球网络犯罪成本为8.4万亿美元 并预计到2023年这将超过11万亿美元。这反映了每年增加30%的成本 2021-23年期间的网络犯罪7此外，2020年至2020年期间数据泄露的平均成本 2022年增长13%，金融业的平均成本排名第二，仅次于医疗保健 根据Chainalysis(2022)的数据，2022年是加密黑客有史以来最大的一年，加密货币业务被盗38亿美元。网络保险需求继续超过供应 在以保费上涨为特征的市场中，网络保护差距似乎正在扩大，覆盖范围缩小和更严格的承保标准9 4.鉴于上述发展，网络弹性10继续存在也就不足为奇了 成为金融服务业的重中之重。根据EY-IIF(2023)，大多数首席风险官 (CRO)认为网络风险是银行业面临的最大威胁，“最有可能导致危机” 2FSB（2018）将网络风险定义为网络事件发生的可能性及其影响的组合。 3FSB（2018）将网络事件定义为：（i）危害 信息系统或系统处理、存储或传输的信息的机密性、完整性和可用性；或(ii)违反安全政策、安全程序或可接受的使用政策。 4国际刑警组织（2022）还报告说，这些类型的网络犯罪预计将在未来三到五年内增加。网络钓鱼与加密货币相关的攻击同比增长了250%以上。参见InterisleConsultingGroup(2022)。 5参见ENISA(2022)。 6参见穆迪投资者服务公司(2022)。 7诚然，与2019-21年期间在全球大流行和封锁。 8参见IBM(2022)。 9IAIS（2023）。 10根据FSB(2018)的定义，网络弹性是指一个组织通过以下方式继续履行其使命的能力预测和适应网络威胁以及环境中的其他相关变化，并通过承受、遏制和 迅速从网络事件. 或重大运营中断。“。尽管在增强网络弹性方面投入了大量资源， CRO强调了与有效管理网络风险相关的两个主要挑战：(I) 在日常运营中以及在广泛的合作伙伴、供应商和 银行日益依赖的服务提供商；以及(Ii)黑客行为日益复杂 工具和技术。因此，CRO预计在未来12个月内将最关注网络风险并将其视为未来三年的首要战略风险