从狂野西部的银行劫匪到勒索软件即服务 (RaaS),多年来,世界金融生态系统面临的威胁已发生了显著变化。从现金交易到数字钱包、嵌入式金融和开放式银行,技术进步推动了金融业的快速发展。但同时,技术进步也使复杂的技术工具平民化,威胁行为者可以更便宜、更容易地获取这些工具。
对于金融企业来说,新兴威胁领域充满了巨大的活力。面对自然灾害、地缘政治变化和公众信心缺失,我们已经忙得不可开交,还要确保业务弹性。
现在,任何人只要心怀怨恨或怀有某种目的,就能轻易接触到犯罪 "服务提供商",从而搞垮一家企业,甚至危及整个行业。他们甚至不需要专业技术,只需支付象征性的费用,就能利用 "即服务 "提供商,以工厂生产线的效率实施攻击。
在此背景下,世界各地的金融监管机构都在强调必须建立运营弹性,以维护金融业的稳定。欧盟的《数字运营弹性法案》(DORA),英国英格兰银行(BoE)、英国审慎监管局(PRA)和英国金融行为监管局(FCA)制定的运营弹性框架,以及新加坡金融管理局(MAS)更新的业务连续性指南,都明显体现了这一点。
那么,金融业如何确保运营弹性,即在意外发生时应对、继续运营、恢复和学习的能力?归根结底就是要采取主动而非被动的方法。
为什么要采用积极主动的安全方法?运营弹性不仅仅是在发生中断时通过减轻中断来确保业务连续性。无论威胁事件的严重程度如何,恢复能力都需要采取积极主动的方法来维护稳定可靠的数字系统。金融系统的这种 "银行性"(恕我直言)对于维护公众对全球金融体系的信任和信心至关重要。
鉴于金融公司与外部第三方的相互关联性,任何业务弹性计划都需要解决多条通信线路、自动交互和信息共享系统以及不断增长的攻击面等问题。
以下是制定积极主动弹性计划的步骤。
识别潜在风险
首先映射您在整个行业中的足迹,包括您的相互联系、信息流、连续性要求以及当前网络安全战略中的差距。了解您的内部和外部依赖关系。确定关键业务可接受的中断水平,以全面了解您抵御、适应、吸收和/或从威胁中恢复的能力。
创建响应计划
与内部和外部各方建立高效的沟通渠道。确保每个相关人员都能随时随地轻松获取相关信息。在零信任第三方连接的基础上制定应对计划,确保供应商有时限、有限制地访问。
从过去的威胁和演习中吸取经验教训,了解所需的程序标准。在企业内部确定执行计划的人员和团队,并明确规定他们在破坏性事件中的角色和责任。
随着金融企业越来越依赖第三方应用程序和软件,我们预计软件物料清单 (SBOM) 将成为安全不可或缺的一部分。事实上,据 Gartner 预计,到 2025 年,全球 45% 的组织的软件供应链将遭受攻击,比 2021 年增加三倍。
随时准备行动
参加演习,通过建立肌肉记忆来加强应对准备。演习有助于培训您的团队如何执行应变计划,以便在事件发生时能够立即部署。这种肌肉记忆有助于减少恐慌、缩短响应时间、防止临时决策并提高危机期间的响应效率。
与外部合作伙伴(包括政府机构)合作开展演习,以测试应对准备情况,突出内部和外部联系,并找出政策和程序中的漏洞。
预计意外情况金融行业对电信和能源行业的依赖以及该行业日益全球化的性质意味着,运营弹性演练不仅需要跨国界,还需要跨行业。如今,国家甚至全球层面的威胁已成为现实,这就强调了将政府合作伙伴纳入演习的必要性。毕竟,保护重要的私人基础设施是国家金融稳定的保障。
演习也可以在不同层面进行--部门、组织、部门、跨部门(包括公共/私营合作伙伴)和跨境。此外,它们还可以是不同类型的。桌面演练有助于讨论和敲定积极计划的关键步骤,而需要实际技术模拟的键盘实践演练则可以培养上文提到的肌肉记忆。
全球各国军队组织的演习是实践演习的一个突出例子。在这些演习中模拟的威胁来自现实生活中的情景。最近的威胁被用来预测它们将来如何升级或转化为合法的风险事件。2022 年 北约组织的军演包括来自 33 个国家金融部门的公共和私营实体,模拟了对一个假冒国家的大规模网络攻击。演习加强了抵御此类攻击的能力,而这在俄罗斯入侵乌克兰后已成为现实。
演习强调了金融部门如何成为破坏国家应对危机能力的目标。演习还有助于建立积极主动的战略,支持政府和金融企业抵御未来的威胁,同时确保在重大事件发生时,沟通和协调渠道能够无缝运作。操作风险不再受地域限制。当威胁行动者通过复杂的供应链开展工作时,我们的防御也需要同样具有全球性。这可以通过跨境情报共享和演练来实现,从而使金融组织有能力制定全面的运营弹性战略。
