金融业网络安全面临新形势
近几年来,随着国内外网络安全复杂、严峻形势的演变,以及我国金融科技迅猛发展,我国金融业网络安全面临新的形势。
1.金融科技广泛应用,金融业网络安全迎来新挑战。互联网金融、移动金融、非接触式金融等金融新业态蓬勃发展,得益于金融科技的广泛应用。但并非所有的金融科技创新都建立了与其应用广度、深度等相匹配的风险防护措施。不成熟、有风险的金融科技创新及其应用,进一步加大了网络安全风险的扩散效应,金融业网络安全面临新的挑战。
2.“疫情”加速金融业数字化转型,对金融业网络安全保障提出新要求。后疫情时代,“非接触”等金融业务成为新常态,金融机构也已纷纷布局加快数字化转型。金融业数字化转型可能衍生出业务风险,在技术、数据等方面也可能产生新的风险。因此对制度设计、风险防范等金融业网络安全保障也提出了新的更高要求。
3.国际局势风云变幻,我国金融业网络安全风险管理面临新考验。近年来,中美贸易摩擦不断演化升级。疫情也给国际形势带来了更多的不确定因素,使全球面临更多的风险和挑战。我国遭受的网络攻击也日趋严重,金融业尤为突出。据中国信息通信研究院发布的《2020年上半年网络安全态势情况综述》显示,上半年以来我国公共互联网网络安全威胁数量总体上呈大幅上升趋势。针对我国关键信息基础设施的网络攻击中,有超过三分之一发生在金融领域。此外,依赖国外高端软硬件产品建立起的金融业技术体系,也风险重重。
金融业网络安全风险管理现状
当前,我国已初步建立了以行业监管部门为主,国家相关部门为辅的金融业网络安全管理架构。人民银行等监管部门基于现行法律和部门规章等,对金融业网络安全进行有效监管,金融业网络安全总体态势平稳。但随着金融科技广泛应用,金融业网络安全管理存在的一些问题也逐渐显现。
一方面,金融业网络安全目前以行业微观管理为主,尚存在一些缺陷。一是金融业务的高度关联性使银行、证券、保险、第三方支付等金融服务机构网络互联互通。在带来便捷、高效的同时,也为跨系统、跨机构、跨区域的网络攻击和风险传染,以及利用薄弱点为“跳板”进行风险渗透提供了路径。此类风险发生后,可能产生诸多连锁反应而对金融业形成冲击。分行业的微观管理无法解决跨机构、跨系统的风险传染,存在“盲区”。二是不同类型金融机构的网络安全发展水平不均衡,分业监管的力度也参差不齐,在数据安全等监管方面可能存在“洼地”。存在混业经营的金融机构仅从成本利润考虑,从而在行业、区域间等选择性开展业务,以规避监管。这种行为极大地增加了金融业整体数据安全风险,有损金融消费者权益,分业的微观监管难于覆盖,存在“漏洞”。三是网络安全脆弱性相比金融业务脆弱性更高,网络安全风险更易发生。尤其是APT网络攻击(高级持续性渗透攻击),威胁极大。某国外央行SWIFT木马事件,就表明这些网络攻击无孔不入、网络风险防不胜防。此外,网络安全事件的“蝴蝶效应”也屡见不鲜。仅关注金融机构个体的微观管理视野局限,难于面面俱到,技术手段等也难于全面适应、匹配。四是金融机构个体网络安全风险若发生在某些特定的金融运行环境之中时,成为诱因后(或是导火索、触发器),可能叠加其他风险而引发金融风险。如银行系统升级时偶发故障,导致柜台业务停顿,ATM无法取款,被外界猜测是钱荒。类似情况若不妥善处理,有可能引发其他金融风险。
另一方面,金融业网络安全宏观管理暂未形成完整体系。宏观管理的目的是防范系统性风险。金融业网络安全宏观管理主要目标是防范因网络安全风险而引发系统性金融风险。目前,人民银行等监管部门在宏观层面积极作为,如组织开展信息技术创新应用、IPv6规模部署等,都取得良好成效。但在法规制度、宏观政策工具以及监管指标体系等方面还有所欠缺,暂未形成完整体系。一是金融业网络安全宏观管理的法规制度有待健全。由于当前金融业分业监管,跨机构、跨系统的风险管理没有涉及,还未从金融体系整体层面建立全面的网络安全管理制度。二是金融业网络安全宏观管理的政策工具有待丰富。当前宏观层面主要政策工具包括金融业标准化、金融科技监管沙盒等。无论是在技术层面还是管理层面,宏观政策工具都很有限,难于适应金融业信息化、金融科技以及金融业数字化转型的快速发展。三是金融业网络安全宏观管理的指标体系有待建立。由于金融体系网络安全管理的复杂性,基于全局视角建立配套的宏观管理指标体系难度很大。但当前金融业网络安全面临的一些突出问题,如核心设备和技术的发展水平相对落后、技术趋同性可能产生“同频共振”风险,高关联性的关键金融基础设施遭受网络攻击受损后可能影响金融体系正常运行等等,需要建立相应的指标体系进行风险监测、评估并加以处置、防范,以防止发生金融业网络安全系统性风险。
加强网络安全风险管理的建议
1.建立健全微观和宏观管理相结合的新框架。鉴于上述金融业网络安全风险管理现状及存在的问题,首先需要建立健全微观管理和宏观管理相结合的监管新框架,既要防止金融机构发生重大网络安全事件,更要防范因网络安全风险引发系统性金融风险。当前,基于“一行两会”监管架构的金融业网络安全微观管理体系,对于防控金融机构个体或行业的网络安全风险,已相对比较完善,新框架侧重于宏观管理体系的构建,并注重二者的结合。
宏观管理体系主要包括以下方面的内容:一是金融体系网络安全风险监测与识别。采用宏观审慎视角对金融体系网络安全状况进行双向监测,以识别潜在或正在发生的风险。可从技术、管理以及关联性等维度,动态设置多层次的网络安全系统性监测指标体系框架,并根据我国金融业网络安全形势持续更新完善。通过定期或不定期内、外双向监测,对监测结果进行综合研判,以识别出金融体系潜在的,或已发生的网络安全风险。二是影响和风险评估。基于宏观视角,对识别出的网络安全风险于金融体系的影响进行综合分析评估,评估工具包括压力测试、敏感性分析等,或多种工具的组合应用。评估结果有两种情况:一种是网络安全风险已经发生或将要发生,但对整个金融体系不会引发(或当前不会)系统性风险,这类风险需要对金融机构进行预警,并防止其传染、扩散;另一种正好相反,可能对金融体系带来严重威胁,将影响金融稳定,是必须要高效处置的系统性风险。三是宏观管理政策工具运用。如果通过对金融体系的监测发现网络安全风险,对风险识别、评估后,经研判可能对金融系统产生负面影响并引发系统性风险,人民银行等将牵头组织采取宏观政策工具,或宏观、微观政策组合来消除、降低风险,或构建抵御风险的能力。
2.强化监管科技的运用,防范网络安全风险引发金融业务风险。金融行业数字化转型时代正全面到来。数字化时代安全威胁的突发性更强、破坏性更大,可能造成更大的社会影响和经济损失。无论是业务安全还是技术安全,都已成为金融机构数字化转型的原生需求。而技术漏洞等网络安全风险,也有可能带来业务风险。当前,非接触式金融服务等新兴金融业务已成为金融机构数字化转型的重点方向,但其需要强大、安全的金融科技作为支撑。如银行线上开户基于人脸识别技术体系,但若该技术体系的应用存在漏洞,有可能就会成为银行账户管理风险的源头,为电信诈骗、洗钱等违法犯罪活动提供了空间。对于金融机构而言,这些新兴业务必须符合监管要求;而对于监管机构而言,需要研判新兴业务是否合规;因此双方都是监管科技的需求方。金融机构运用监管科技不仅可以规避监管不合规的风险,也有助于发现其自身金融科技应用可能存在的问题。监管机构运用监管科技,有助于发现行业金融科技应用存在的共性风险。因此,加强监管科技的运用,有利于在微观和宏观两个层面防范因网络安全风险而引发金融业务风险。
3.加强“三道防线”的构建,夯实金融业网络安全风险管理基础。金融业网络安全管理第一道防线在于金融机构自身的网络安全风险管理,也包括“三道防线”:网络和信息系统的运维、网络安全管理以及审计监督。金融机构“三道防线”体系已很成熟,但从近几年金融领域发生的网络安全风险事件来看,需要进一步加强以下两方面的风险管理:一是要高度重视金融科技应用方面的风险;二是中小型地方法人金融机构还需要进一步加强自身“三道防线”体系建设和网络安全责任落实。第二道防线是来自网络安全专业机构的测评等外部评估。《网络安全法规定》的网络安全等级保护制度就要求每年对重要系统(三级及以上)进行安全性测评。但因该项工作需要金融机构预算支出,并且每年重复进行,少部分金融机构并未认真对待,有些为了应付监管要求仅流于形式。因此,需要进一步加强金融业的网络安全等级保护工作。第三道防线即是监管部门的宏观和微观政策监管。这道防线一直以来都在不断改进、完善,以建立良好的宏观和微观有机结合的管理架构,适应金融业网络安全形势的发展、演变。