冰岛 ： 金融部门评估计划 - 关于网络和运营弹性 ， 监督和监督的技术说明

2023年7 冰岛 金融行业评估计划 货币基金组织国家报告第23/280号 月关于网络和操作阻力、监督和监督的技术说明 这份关于冰岛的文件是由国际货币基金组织的一个工作人员小组编写的，作为与成员国定期协商的背景文件。它基于2023年6月21日完成时的现有信息。 本报告的副本可从以下位置向公众提供 国际货币基金组织出版服务邮政信箱92780华盛顿特区 20090电话：（202）623-7430传真：(202)623- 7201 E-mail:publications@imf.orgWeb:http://www.imf.orgPrice:$18.00perprintedcopy 国际货币基金组织华盛顿特区 ©2023国际货币基金组织 冰岛 金融行业评估计划 2023年6月21 日 技术说明 网络和运营阻力、监督和监督 本技术说明由NickStrange（国际货币基金组织外部专家）在由EtienneB.Yehoue领导的冰岛金融部门评估计划（FSAP ）任务中编写。它包含技术分析和支持FSAP发现和建议的详细信息。有关FSAP的更多信息，请访问http://www.imf.org/external/np/fsap/fssa.spaspx。 编制人 货币基金组织货币和资本市场部 CONTENTS 词汇表3 执行摘要4 介绍8 支付系统、方案和工具10 金融部门网络安全监督13 A.网络安全战略、合作与协调13 B.信息共享16 C.应急计划、事件管理和练习18 监督安排和实施19 A.法律和监管框架19 B.角色和职责20 C.监督方法和做法22 D.事件报告25 Figures 1.在销售点使用现金支付8 2.支付同业清算系统11 3.冰岛中央银行组织结构图21 TABLE 1.主要建议7 词汇表 BCBSBISCBI CERT-IS 委员会理事会CPMICSC CSODDoSDORAEBAECOIEEA eIDEIOPAESMAFMIFSAICTIMFIOSCO MoFMoHESI NBFINCIP NF-CERTPFMIPOSPSD2 RBRTGSSEPASREPSURF TIBER 巴塞尔银行监管委员会国际清算银行冰岛中央银行 计算机应急小组（冰岛）金融稳定委员会（CBI）金融稳定委员会 网络安全委员会支付和市场基础设施委员会首席安全官分布式拒绝服务数字运营弹 性法案欧洲银行管理局 冰岛欧洲经济区电子通讯办公室电子标识系统(AuCLKenni), 欧洲保险和职业养老金管理局欧洲证券和市场管理局金融市场基础设施 金融监管局（现为CBI的一部分）信息和通信技术国际货币基金组织 国际证券委员会组织 高等教育，科学和创新部（Háskóla-，iñna-ognísköpunarráléneytiñ）财政和经济事务部（Fjármála-ogefnahagsráuneytiñ） 非银行金融机构 冰岛国家警察专员北欧金融CERT CPMI-IOSCO金融市场基础设施销售点原则支付服务指令Reiknistofa bankanna 实时总结算单欧元支付区监督审查和评估过程 SamstarfsvettvangurUmRekstarorygiFjarmalainnvida（关于网络事务的公共/私人合作论坛）基于威胁的情报伦理红色团队 执行摘要 冰岛的金融系统是庞大的、集中的和相互关联的——银行和非银行金融机构（NBFI）——在国内和国际。共有 10家银行：4家商业银行和6家储蓄银行，但该系统仅由3家商业银行（Ariobai，51sladsbai和Ladsbai）主导 ，它们合计占银行资产的95％。现金使用占销售点（POS）交易的百分比正在下降，导致对电子支付手段的依赖日益增加。用于大多数零售交易的借记卡和信用卡依赖于与Visa和Mastercard的国际通信。 近年来，冰岛金融部门没有经历过严重的破坏性网络攻击或运营问题，但威胁正在增加。冰岛中央银行（CBI）将国内支付转移到新的核心支付系统已经接近完成，大大增强了其网络弹性。然而，与所有司法管辖区一样，冰岛金融机构的网络攻击水平越来越高，特别是分布式拒绝服务(DDoS)和社会工程(网络钓鱼等)。）攻击。冰岛一家主要 银行的网站被伪造，使欺诈者可以获取登录详细信息并提取资金。金融部门的应急计划，应急准备和响应必须注意到将来可能发生更广泛，更多样化和破坏性的攻击。 冰岛对借记卡和信用卡系统的国际连通性的依赖给支付系统带来了巨大的漏洞。在2008/9年冰岛银行业危机期间，冰岛借记卡在国内系统上运行。两个主要收购方（现称为Teya和Rapyd）依靠Visa和Mastercard处理借记卡的个人决定降低了冰岛金融体系的运营独立性。CBI和有关当局正在调查替代的国内零售支付解决方案，以便在信用卡和 借记卡系统出现重大中断时使用。由于现金是目前唯一可用的后备资源，CBI应与支付系统提供商和零售店合作，完善应急计划，并测试在危机情况下如何分配和使用现金。 金融部门没有专门的网络安全战略。高等教育，科学与创新部（MoHESI）负责集中的网络安全事务和跨部门协调，于2022年2月发布了经修订的冰岛国家网络安全战略，并于2022年11月发布了配套行动计划，但这不是特定行业。 此外，虽然每个当局和机构在网络安全方面的作用可能来自相关立法和/或其更广泛的作用，但没有中央文件规定如何保障金融部门的网络安全.明确阐明的战略将为采取更详细的行动提供指导和背景，以保持该部门的网络和运营弹性，确保财政和经济事务部（MoF），CBI和其他参与者的行动朝着共同目标保持一致。当局应共同努力，制定针对金融部门的网络安全战略，明确规定各方的角色和责任。 CBI的金融稳定委员会（“委员会”）拥有广泛的职权范围，这代表了在网络安全风险缓解方面在运营弹性方面发挥主导作用的机会。金融稳定委员会应考虑在金融稳定理事会的适当参与下，制定网络和运营风险议程，以支持其广泛的金融稳定目标。 在国际上，CBI参加了许多信息共享论坛，特别是在整个北欧地区，而国内安排仍在继续发展。冰岛计算机应急响应小组（CERT-IS）是冰岛电子通信办公室（ECOI）的一部分，该办公室是MoHESI行政范围内的独立机构 oCERT-IS最近获得了额外的资源和扩大的职权范围。MoHESI领导网络安全委员会，这是不同部委和机构（包括CBI和MoF）的信息共享论坛。 正在通过CBI的SURF（MoF和CERT-IS参与的关于网络和运营风险事务的公共/私人合作论坛），制定金融部门当局和私营部门之间在网络风险事务方面的正式合作与协调安排。我们鼓励冰岛当局继续巩固整个政府的网络安全努力和协调，并强调CERT-IS为所有部门，特别是金融部门提供的服务的重要性。 对于谁将领导金融部门应对重大网络或运营事件，存在一些困惑。金融稳定委员会（MoF和CBI）的任务是为金融部门提供正式的应急响应。中断时期的共同协调计划正在CBISURF专家级别进行集体修订。财政部和CBI应加快共同协调计划的制定和传播。应CBI和SURF的要求，CERT-IS最近领导了一项网络安全方案“桌面”演习，探索在勒索软件攻击事件中的协作与协调。参与其中的金融机构发现它非常有价值，并且有更多的欲望。我们还鼓励CBI， SURF和CERT-IS进一步定期安排网络安全场景演习，以加强合作与协调，扩大参与的金融机构和政府机构的范围 。 CBI的操作风险专家经验丰富，深受金融机构的重视，但需要更多的资源来充分覆盖这一日益重要的领域。CBI应逐步增加受监管公司对运营，ICT和网络风险进行专家监督的资源，并应使用任命外部审计师的权力来增加其有限的内部资源以进行网络风险审查。 对金融机构网络安全的监管高度依赖于受监管实体本身的自我评估和第三方进行的独立审查。缺乏现场访问和/或对第三方报告中的断言提出的有力挑战增加了遗漏弱点的风险。CBI应开始对受监管公司的运营，信息和通信技术（ICT）和网络风险进行现场检查，以获得更全面的网络准备情况，从具有系统重要性的机构开始，并在增加专家监督资源的情况下扩大覆盖范围。计划的介绍。 在冰岛进行威胁主导的基于情报的道德红色团队（TIBER）渗透测试将为网络风险漏洞提供有价值的额外见解。 冰岛金融监管局（FSA）发布的指南中总结了许多管理ICT系统的法规，但这些法规涵盖了2019年初的立法。信息和通信技术系统的监督准则应定期审查和更新，特别是在支付系统指令2、数字操作弹性法案(DORA)和操作弹性巴塞尔原则方面。 监管人员在2019年进行了一项演习，以确定关键运营和关键的第三方提供商。CBI应定期修订关键业务和关键服务提供商的清单，以供内部使用并提交给金融稳定委员会和金融稳定理事会。 没有创建正式的总结或趋势报告，总结网络和运营事件和趋势。鼓励CBI通过总结网络事件和检查趋势来增强其事件仪表板。 6国际货币基金 表1.冰岛：主要建议 # Recommendations 段落参考 Responsible 定时 支付系统、计划和工具 1. CBI将与支付服务提供商和零售店合作，完善应急计划，并测试在危机中如何分配和使用现金。 15 CBI I 金融部门网络安全监督 2. 财政部和CBI制定了针对金融部门的网络安全战略，明确规定了各方的角色和责任。 22 财政部/CBI I 3. 金融稳定委员会将考虑制定网络和运营风险议程，以支持其广泛的金融稳定目标，在金融稳定委员会的适当参与下。 22 CBI/财政部 I 4. 财政部和相关当局将继续巩固政府层面的网络安全努力和协调，并强调CERT-IS向所有部门提供的服务的重要性，以及特别是部门。 28 MOF ST 5. 财政部和CBI将在重大事件发生时加快修订金融部门共同协调计划。 36 CBI/财政部 I 6. CBI、SURF和CERT-IS将进一步定期安排网络安全情景演习，以加强合作与协调，扩大涉及的金融机构和政府机构的范围。 36 CBI/CERT-IS ST 监督安排和做法 7. 信通技术系统的监督准则将接受定期审查和更新。 38 CBI I 8. CBI将逐步增加受监管公司对运营、ICT和网络风险进行专家监督的资源，并应使用任命外部审计师来增加其有限的内部资源，用于网络风险审查。 42 CBI ST 9. CBI应开始对受监管公司的运营，ICT和网络风险进行现场检查，以更全面地了解网络准备情况，从具有系统重要性的机构开始，并在增加专家监督资源的情况下扩大覆盖范围。 52 CBI ST 10. CBI将定期修订关键运营和关键服务提供商列表，以供内部使用并提交给金融稳定金融稳定委员会。 52 CBI I 11. CBI被鼓励通过总结网络事件和检查来增强其事件仪表板趋势。 54 CBI I I立即（1年内）；ST短期（1-2年内）；MT中期（3-5年内） INTRODUCTION 1.冰岛的金融系统在国内和国际上都是庞大，集中和相互联系的-银行和NBFI。共有10家银行：4家商业银行和6家储蓄银行，但该系统仅由3家商业银行（Ariobai，51sladsbai和Ladsbai）主导，它们合计占银行资产的95％。它也依赖于互联网接入。虽然国内银行的跨境业务非常有限，但冰岛的借记卡和信用卡交易以及证券结算系统分别由Visa和Mastercard和NASDAQCSD在海外处理/运营。 2.冰岛的现金使用量正在下降，导致对电子支付手段的依赖日益增加。Gallp在2022年春季为CBI进行的一项调查显示，98%的受访者每周在销售点购物或更经常使用电子支付工具，比之前的调查有所增加。现金倾向于用于礼物和其他人对人的付款。CBI预计销售点的现金使用量将继续下降。然而，现金仍然被广泛使用，并被接受为一种 支付手段，只要公众对现金有需求，并且由于现金是支付系统危机中唯一的后备资金，CBI将继续提供现金。因此，在更广泛的背景下，冰岛消费者和冰岛社会严重依赖电子支付手段。这种增加的数字化扩大了