金融系统或受潜在“黑天鹅”事件影响金融网络安全形势严峻 各国加紧防范
2016-09-21■文/安生
■ 文 / 安 生
金融系统或受潜在“黑天鹅”事件影响金融网络安全形势严峻 各国加紧防范
■ 文 / 安 生
网络安全事件具有系统性影响,将会是潜在的“黑天鹅”事件,对金融系统具有非常重要的影响。
网络安全事件具有系统性影响,将会是潜在的“黑天鹅事件”,对金融系统具有非常重要的影响。
据英国广播公司3月20日报道,英国政府宣布新的网络安全中心成立,其首要任务将是与英国央行(Bank of England)合作,针对整个英国金融领域制定新的网络安全标准,包括处理应对可能会影响英国经济发展的网络威胁。
2015年英国总理曾宣布成立该部门,现已改名为国家网络安全中心。成立目的是为民众提供英国专业的网络知识。任命英国政府通讯总部的高级官员查兰·马丁(Ciaran Martin)为第一负责人,网络安全技术总监伊恩·利维博士(Ian Levy)将成为该部门技术总监。
“我们需要建立一个一站式的服务点供政府内外的人们咨询求助。”内阁办公室部长马修·汉考克(Matthew Hancock)向BBC新闻透露说他们将致力于成为英国信息安全方面的权威。
英国政府通讯总部是网络安全方面的领导机构,但因为它是位于切尔滕纳姆市的一个秘密情报服务中心,对外信息保密。新网络安全中心旨在解决这一信息不透明的问题,应对当前民众对于政府暗箱操作的质疑。
该中心不仅与监管机构如银行合作,为私营部门提供咨询服务。还将与其他政府部门,国家基础设施部门,商界以及公众合作。如果某部门或某项业务对国家来说具有潜在风险,信息安全中心更应涉身其中,这就是该中心的职能所在。在未来网络漏洞事件处理中,它将成为起到至关重要作用的关键部门。
该部门的工作人员强调他们的职能就是保护国家免受网络攻击,做好准备应对处理任何网络攻击,并将犯罪人员绳之以法。该部门总部设立在伦敦,今年10月面向公众开放。
面对如此严峻的金融网络安全形势,世界各国都在积极地采取防范及应对措施,以保障经济的稳定发展。
金融网络安全受到各国重视
2013年,韩国计划对金融部门的网络安全系统进行彻底检查,保障这些部门在未来免受网络攻击的困扰,从而避免用户敏感信息泄露。
韩国金融监督管理局(FSS)和其监督管理机构韩国金融服务委员会(FSC),将为银行、保险公司以及其他金融行业机构的在线网络系统引入更为严格的监管规则。FSS和FSC计划于2013年6月发布综合措施,出台的新措施会特别加大对金融行业机构最高层管理人员的监管力度。
根据相关法律,这些金融机构应将5%的员工名额分配到IT部门,并将这5%的员工中的5%用于网络安全相关的工作岗位。同时,金融公司应将预算的7%用于在线网络安全建设。韩国政府认为,金融机构普遍不遵守上述法律要求的原因是支出成本高昂。
2015年,外汇行业连续遭遇了几起网络攻击事件。10月初,据相关媒体报道,美国领先外汇经纪商福汇(FXCM)成功处置了一起黑客攻击事件,澳大利亚外汇经纪商IC Markets中招。接连的网络安全问题让投资者不安,对此,美国金融监管机构为提高信息系统安全发布了新监管规定。
美国全国期货委员会(NFA)宣布将收紧所有成员,包括期货佣金商、掉期交易商、介绍经纪商、外汇交易商成员、商品池运营商和商品交易顾问等的网络安全要求。美国商品期货交易委员会(CFTC)已经同意了NFA提交的信息系统安全项目(ISSP)。新规于2016年3月1日正式生效。
NFA列出了ISSP的部分要求如:使用复杂密码和防火墙,安装反病毒和反恶意程序的软件等。新规要求,NFA成员必须采用并执行书面政策和流程,以确保客户数据安全。书面ISSP政策必须获得公司执行高管同意,其中要包括安全和风险分析、对已识别威胁和漏洞采取的保护措施、对安全性能的评估流程、对相关适用员工的信息系统安全教育和培训工作等等。NFA还要求成员定期对信息系统安全进行监管和评审,以确保ISSP的有效性。
NFA表示,部分成员在2016年3月1日开始执行ISSP会感到很大的压力,因此NFA将提供如额外的指导等资源上的帮助,以帮助成员尽快建立并实施ISSP。
2016年3月,针对互联网快速突破带动金融科技发展的现状,中国香港金管局总裁陈德霖表示,网络安全是金融科技发展的基石,中国香港金管局为此新成立“金融科技促进办公室”,未来工作重点将包括为银行制定网络风险框架及模型、从业员培训认证计划,还将与银行合作建立全新的情报共享平台,同时推动有关“区块链” (Block Chain)的技术应用研究。他强调,希望金融科技促进办公室可推动业界发掘金融科技的应用潜力及风险,并将扮演业界与监管机构的沟通平台,按照“风险为本,科技中立”的原则推动发展。
金融网络安全是当前金融行业非常核心重要的问题。
陈德霖指出,随着网络科技的迅速发展,金融服务的方式发生了改变,例如:银行服务由过去在分行内变为网络银行甚至手机的移动银行,众筹平台甚至取代了银行的中介角色,为小企业提供融资,不过,一再发生通过众筹集资的公司清盘或不当使用资金,这表明面对金融科技发展,不能凡事都“管到尽”或“完全 不管”,必须有适当的监管。
2016年3月19日,中国人民银行副行长易纲在“中国发展高层论坛2016年会”上,透露了G20国际金融架构工作组一致同意推进的五项改革内容,其中一项就是完善全球的金融安全网;包括各国在外汇储备、双边互换、区域安排、全球安排四个层面加强协调,降低金融风险事件发生。
国内外金融机构主要面临的网络攻击威胁
一是拒绝服务攻击。这种攻击使金融行业的门户网站、交易网站无法为客户提供正常服务,造成经济损失,同时也使行业形象受到损害。
二是黑客入侵。一般是攻击者利用黑客技术非法侵入机构的网络系统,窃取、篡改各种数据、破坏系统运行,或进行有目的的金融犯罪活动。常见的攻击场景举例如下,(1)黑客利用对网站影响较大的漏洞,如,Stuts2命令执行漏洞,轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料。(2)机构平台受到大规模钓鱼攻击,大量客户诱骗录入用户名、账号、转账密码等敏感信息造成资金损失。
三是蠕虫、病毒攻击。蠕虫、病毒泛滥可能导致机构重要信息遭到损坏,或者导致机构网络和信息系统瘫痪。以移动智能终端病毒为例,典型的攻击场景举例如下:(1)手机支付病毒植入机构手机客户端再通过二次打包的方式把恶意代码嵌入机构的APP程序,一旦被该病毒感染,会不经用户允许私自下载软件并安装,危及用户的帐号安全。(2) 攻击者欺骗买家或卖家在手机上扫描二维码查看订单详情或者打折优惠,被植入“验证码”大盗病毒,攻击者会通过“验证码”大盗病毒截获某些电商官方发送的相关验证码信息,通过重置电商支付帐号密码,盗取资金。
金融网络安全不容忽视,各部门要不断加强在金融网络方面的联合审查和协同管理,从而保障广大用户的切身利益,推动金融行业以及全球经济的健康有序发展。