银行的网络安全 - 第二代监管方法

金融稳定研究所 FSI见解 论政策执行编号50 银行的网络安全-第二代监管方法 胡安·卡洛斯·克里桑托，杰斐逊·乌梅巴拉·佩莱格里尼和杰米·普雷尼奥 2023年6月 JEL分类:G21,G28,O33 关键词：网络风险、网络安全、网络弹性、操作弹性 FSIIsights由国际清算银行（BIS）金融稳定研究所（FSI）的成员撰写，通常与监管机构和中央银行的工作人员合作。这些文件旨在促进有关金融部门当局面临的一系列当代监管和监督政策问题以及实施挑战的国际讨论。其中表达的观点仅是作者的观点，不一定反映国际清算银行或基于巴塞尔的委员会的观点。 由FSI主席FernandoRestoy授权。 该出版物可在BIS网站（www.bis.org）上找到。要与BIS媒体和公共关系团队联系，请发送电子邮件至press@bis.org。您可以在www.bis.org/emailalerts.htm上注册电子邮件警报。 ©BankforInternationalSettlements2023.Allrightsreserved.Briefexcerptsmaybereplicatedortranslatedprovidedthesourceisstated. ISSN2522-249X(在线) ISBN978-92-9259-663-7（在线） Contents 第1节-介绍6 第2节-国际监管举措8 第3节-网络弹性法规的设计11 第4节-网络弹性的关键监管要求14 网络安全战略和治理14 网络事件响应和恢复16 网络事件报告和威胁情报共享17 网络弹性测试18 网络卫生20 第三方依赖关系20 网络安全文化和意识23 网络安全劳动力23 网络弹性指标24 第5节-结论24 参考文献26 银行的网络安全-第二代监管方法1 执行摘要 网络弹性仍然是金融服务业的首要任务，也是金融当局关注的重点领域。鉴于网络事件对金融体系和全球经济的稳定构成重大威胁，这并不奇怪。金融系统执行许多支持实体经济的关键活动（例如接受存款，贷款，支付和结算服务）。网络事件可能会破坏支持这些活动的信息和通信技术，并可能导致这些技术处理或存储的数据被滥用和滥用。在持续的数字化、第 三方依赖性增加和地缘政治紧张局势的背景下，网络威胁格局不断演变并变得更加复杂，这一点变得更加复杂。此外，多年来，网络事件的成本持续且显着增加。 本文更新了Crisanto和Prenio（2017），重新审视了该文件涵盖的司法管辖区的网络法规，并审查了其他司法管辖区发布的法规。除了2017年论文涵盖的香港特别行政区，新加坡，英国和美国的网络法规外，本文还研究了澳大利亚，巴西，欧盟，以色列，肯尼亚，墨西哥，秘鲁，菲律宾，卢旺达，沙特阿拉伯和南非的网络法规。选择司法管辖区以 反映发达经济体（AE）以及新兴市场和发展中经济体（EMDE）的网络法规。这凸显了一个事实，即自2017年以来，包括EMDE在内的几个司法管辖区已经制定了网络法规。 对银行网络弹性的监管仍有两种主要方法：第一种是利用现有的相关法规，第二种是发布全面的法规。第一种方法以运营风险，信息安全等方面的法规为起点，并向其中添加特定于网络的元素。在这里，网络风险被视为任何其他风险 ，因此风险管理的一般要求以及信息安全和运营风险的要求也适用。这种方法在已经牢固地建立了这些相关法规的司法管辖区中更为常见。第二种方法寻求在一个全面的法规中涵盖网络安全的所有方面，从治理安排到操作程序。在这两种方法中，为了应对网络法规中规定过多可能导致的风险，一些法规将广泛的网络弹性原则与一组基线要求相结合。无论采取何种监管方法，在网络弹性框架的应用中都应充分考虑相称性原则。 无论是作为相关法规的一部分还是单独的综合法规，最近的网络安全政策都在演变，可以描述为“第二代”网络法规。“第一代”网络法规主要在AE中发布，重点是建立网络风险管理方法和控制。在过去的几年中，当局，包括EMDE的当局，已经发布了新的或额外的网络法规。这些第二代法规具有更内嵌的“假设违约”心态，因此与运营弹性概念更加一 致。因此，他们专注于提高网络弹性，并为金融机构和当局提供实现这一目标的特定工具。 1胡安·卡洛斯·克里桑托（胡安·卡洛斯。Crisato@bis。org）和JermyPreio（Jermy。Preio@bis。org)，国际清算银行，杰斐逊·乌梅巴拉·佩莱格里尼(杰斐逊。pelegrii@bcb。政府。br)，巴西中央银行。我们感谢KasparKöchli和JatiTaeja的研究援助，并感谢MarsGrimpe和覆盖当局的工作人员提供有用的意见。EstherKüzi和TheodoraMapfmo提供了宝贵的行政支持。 “第二代”法规利用现有的政策方法来提供额外的具体指导，以提高网络弹性。网络安全战略，网络事件报告，威胁情报共享和网络弹性测试仍然是新法规的主要重点。管理与第三方服务提供商的连接可能产生的网络风险已成为“第二 代”网络安全框架的关键要素。此外，现在对网络事件响应和恢复以及事件报告和网络弹性测试框架有更具体的监管要求。此外，一些司法管辖区引入了与网络弹性指标和银行适当网络安全专业知识可用性等问题相关的监管要求或期望。 EMDE的当局在其网络法规中往往更具规定性。网络安全战略，治理安排（包括角色和责任）以及网络弹性测试的性质和频率是EMDE当局提供规范性要求的一些领域。这种方法似乎与需要加强整个金融部门的网络弹性文化，资源限 制和/或这些司法管辖区缺乏足够的网络安全专业知识有关。因此，EMDE当局可能会认为有必要更加明确自己的期望，以确保银行的董事会和高级管理层对网络安全进行投资，而银行的员工则确切地知道他们需要做什么。 国际工作已导致金融部门网络弹性法规和期望的趋同，但在某些领域还可以做更多的工作。G7网络专家组（ CEG）和全球标准制定机构（SSB）在网络弹性方面的工作促进了各司法管辖区金融监管和监督期望的一致性。鉴于网络 犯罪的无国界性质及其对全球金融稳定的潜在影响，这是必要的。另一个可能存在融合空间的领域是当局评估受监管机构的网络弹性的方式。例如，这可以包括对公司网络安全治理、劳动力和网络弹性指标的充分性进行评估。最后，考虑到关键第三方提供商，特别是云提供商的国际框架，考虑到这些提供商之一的网络事件的潜在跨境影响。 第1节-介绍 1.网络风险2是对金融体系和全球经济稳定的重大威胁。金融系统执行许多支持实体经济的关键活动（例如存款接收和贷款，支付和结算服务）。网络事件3已被证明通过影响金融公司广泛依赖的信息和通信技术（ICT）及其处理的数 据来破坏这些活动。在金融部门，银行通常拥有最面向公众的产品和服务。他们与外部各方的多个接触点导致网络攻击的重大漏洞，并可用作攻击的切入点，最终导致对金融系统的相关破坏。 2.在持续的数字化、第三方依赖性增加和地缘政治紧张局势的背景下，网络威胁格局不断演变并变得更加复杂。国际刑警组织（2022）将勒索软件，网络钓鱼，在线诈骗和计算机黑客列为全球最高的网络犯罪威胁。4此外，由于地缘政治对网络运营的强烈影响，网络威胁格局的复杂性增加了，特别是自俄罗斯-乌克兰战争开始以来，分布式拒绝服 务（DDoS）被用作网络战工具。5黑客主义的复兴也伴随着更高的技术复杂性和国家支持，以及深度伪造欺诈的增加。6关于金融系统的较大部分对云提供商的日益依赖，CrowdStrike（2023）报告称“电子犯罪和民族国家行为者采用知识和贸易手段来越来越多地利用云环境的更大趋势”。 3.网络威胁格局的特征还在于网络事件成本的显着和持续上升。Statista（2023）估计2022年全球网络犯罪成本为8.4万亿美元，预计2023年将超过11万亿美元，这反映了2021-23年期间网络犯罪成本的年增长率为30％。7此外 ，2020年至2022年间数据泄露的平均成本增加了13%，金融业的平均成本仅次于医疗保健，为600万美元。8根据 Chainalysis（2022）的数据，2022年是加密黑客有史以来最大的一年， 从加密货币业务中窃取的38亿美元。网络保险需求继续超过供应，在保费上涨，覆盖范围缩小和承保标准收紧的市场中 ，网络保护差距似乎正在扩大。9 4.鉴于上述发展，网络弹性不足为奇10继续成为金融服务业的重中之重。根据EY-IIF（2023）的说法，大多数首席风险官（CRO）认为网络风险是银行业的最大威胁，也是“最有可能导致危机的人”。 2FSB（2018）将网络风险定义为网络事件发生的概率及其影响的组合。 3FSB（2018）将网络事件定义为以下事件（无论是否由恶意活动引起）：（i）危害信息系统或系统处理，存储或传输的信息的机密性，完整性和可用性；或（ii）违反安全策略，安全程序或可接受的使用策略。 4国际刑警组织（2022）还报告说，这些类型的网络犯罪预计将在未来三到五年内增加。与加密货币相关的网络钓鱼攻击同比增长超过250％ 。请参阅InterisleConsultingGroup（2022）。 5参见ENISA(2022)。 6见穆迪投资者服务公司(2022)。 7诚然，与2019-21年全球大流行和封锁高峰期观察到的50-60%的增长相比，这一数字较低。 8参见IBM(2022)。 9IAIS（2023年）。 10根据FSB（2018）的定义，网络弹性是指组织通过预测和适应环境中的网络威胁和其他相关变化以及承受，遏制和迅速从网络事件中恢复来继续执行其任务的能力。 或重大运营中断。“尽管在增强网络弹性方面投入了大量资源，但CRO强调了与有效管理网络风险相关的两个主要挑战： （i）其在每个业务领域的固有存在，在日常运营中以及银行越来越依赖的合作伙伴，供应商和服务提供商的广泛网络中 ；（ii）黑客工具和技术的日益复杂。因此，CRO预计未来12个月将最关注网络风险，并将其视为未来三年的最高战略风险。业界强调的一个更普遍的愿望是在各个司法管辖区设计更加一致和协调的法规，以增强全球网络弹性并减少法规碎片化。11 5.加强网络抵御能力也是包括中央银行和监管当局在内的官方部门的重点。网络犯罪被广泛视为国防重点，一些司法管辖区已经制定了国家政策或框架来加强网络安全12关键部门和机构。13从央行自身网络风险管理的角度来看，自2020年以来，许多央行显著增加了与网络安全相关的投资，优先考虑技术安全控制和弹性，并在国际清算银行网络弹性协调 中心(CRCC)提供的框架内进行合作。14此外，中央银行正在开发分析框架，以了解网络风险从运营中断发展为系统性事件的渠道。15最后，越来越多的司法管辖区发布了针对金融部门的网络特定指南，并在全球标准制定机构（SSB）和其他国际机构的工作计划中突出显示了网络弹性功能（见第2节）。 6.网络安全被视为全球银行监管机构的首要任务在金融部门，银行当局特别积极地提出了监管和监督框架，以增强银行业对网络攻击的抵御能力。这反映了网络安全在发达经济体（AE）和新兴市场及发展中经济体（EMDE）的银行监管机构的工作计划中占有重要地位（见图1）。该图还表明，网络安全和运营弹性的首要任务更广泛地与金融体系数字化 的监管工作及其对银行业务模式的影响相关。例如，在欧洲，欧洲央行银行监管机构于2022年12月发布了2023-25年的监管重点，其中包括解决运营弹性框架中的缺陷，即IT外包和IT安全/网络风险。16 11见IIF(2023年)。 12根据FSB（2018），网络安全主要是指通过网络介质保留信息和/或信息系统的机密性，完整性和可用性。 13例如，新加坡的网络安全战略；加拿大的网络安全标准；美国国土安全部保护美国关键基础设施的不同举措；南非的国家网络安全政策框架（ NCPF）；以及法国的关键基础设施保护。 14见Doerr(2022)和国际清算银行2021年年度报告中对CRCC活动的描述。 15例如，欧洲央行在其《金融稳定评论》中的“迈向评