欧洲央行将测试银行应对网攻能力
2024-1-4 12:38:13 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

背景

1.自俄乌冲突爆发以来,欧洲银行遭受网络攻击的数量显著增加,这引起了监管层的高度重视。

2.银行外包关键业务也带来了风险,一旦服务中断可能导致银行瞬间倒闭。

例如,许多银行正在外包关键职能,要么给其集团内的其他公司,要么给外部服务提供商,即第三方服务提供商,这些服务提供商通常位于其他司法辖区 - 有时在俄罗斯本身,有时在印度或全球其他司法辖区。制裁制度还表明,有时你可能会很快与合作伙伴关系中的对方断绝关系。例如,在阿姆斯特丹贸易银行的案例中,该银行是俄罗斯阿尔法银行的子公司,我们看到美国当局将俄罗斯银行列入制裁名单。阿姆斯特丹贸易银行再也无法从其美国供应商那里获得必要的IT服务,这意味着该银行在一夜之间破产。

3.欧洲央行对银行在数字化转型和IT基础设施稳健性等方面的投入表示关注,这关系到服务连续性和抵御IT风险的能力。

银行投资于数字化并制定数字转型议程时,他们会以强烈的商业关注为导向,可能不够关注与这些商业目标相关的风险。在这方面,我指的是IT风险,确保向客户提供服务的连续性,良好集成的IT基础设施以及能够向董事会提供高质量信息,以便他们能够管理和监控风险并战略引导银行。

欧洲央行将对银行从网络攻击中恢复的能力进行压力测试

2024年1月3日,欧洲央行将与2024年对其直接监管的109家银行进行一场网络弹性压力测试。这次测试的焦点是评估银行在面临网络攻击时的响应和恢复能力,而不是它们预防网络攻击的能力。

在测试情景中,银行受到了成功干扰其日常业务运作的网络攻击。银行将在测试中验证其响应和恢复措施,包括启动紧急程序和应急计划,以及恢复正常运营。监管机构将随后评估银行在这种情况下的应对能力。

在这次演练的一部分,有28家银行将接受强化评估,它们需要提交有关如何应对网络攻击的额外信息。这个样本覆盖了不同的业务模式和地理位置,以确保对欧元区银行体系有意义的全面反映,并保证与其他监管活动的协调高效进行。

欧洲央行计划在2024年开展的“网络弹性压力测试”预计主要包含以下内容:

1. 模拟网络攻击情景,测试银行在遭受大规模成功的网络攻击后能够做出的响应和恢复能力。

2. 测试银行在识别和报告网络安全事件方面的能力。检查事件响应计划以及危机管理程序是否到位。

3. 检查网络安全防护系统的完整性、有效性和恢复备份系统的能力。

4. 评估网络安全漏洞管理情况以及补丁更新是否及时。

5. 检查用户访问控制和数据加密是否合规,以防止未经授权的网络访问。 

6. 评估网络安全策略和治理是否到位。检查网络安全风险管理流程以及网络安全意识培训情况。

7. 针对核心银行业务系统、基础设施、网络环境进行安全渗透测试,检查其抵御攻击的能力。

欧洲央行(ECB)的网络压力测试是继其他金融监管机构进行类似练习之后的一项举措。英格兰银行于2021年推出了一项“自愿网络压力测试”,以模拟对支付系统的攻击可能产生的影响。

美联储定期与其他相关当局进行“联合网络安全检查”,审查美国最大银行的网络安全情况。去年,美联储表示正在“密切监测”俄罗斯对乌克兰进行全面入侵及其他地缘政治事件可能导致的“潜在增加的网络攻击,可能影响包括金融服务部门在内的关键基础设施”。

欧洲央行的监管者正在关注银行对第三方服务提供商的日益依赖,因为它们可能容易受到网络攻击的威胁,从而在整个金融系统中产生连锁效应。例如,银行在很大程度上依赖于像亚马逊和微软这样的美国科技巨头提供的云计算服务。

欧洲央行监管的银行主要有以下几类:

1.系统重要性大型欧洲跨国银行集团,例如汇丰银行、法国兴业银行、西班牙桑坦德银行等。这些银行业务广泛,资产规模巨大,对欧洲金融体系稳定性具有重要影响。

2.主要欧元区国家的大型国内商业银行,例如德意志银行、意大利联合信贷银行、法国巴黎银行等。这些银行在各自国内市场占主导地位。

3.中东欧和东欧地区的大型银行,例如波兰PKO银行、匈牙利联合信贷银行、奥地利瑞士银行等。这些银行对所在地区经济发展具有重要作用。

4.获得欧洲央行银行业监管机构许可的新兴数字银行和网络银行。这些银行利用金融科技手段为客户提供金融服务。

5.部分小型储蓄银行和合作银行也接受欧洲央行的监管。

参考资料:

https://www.bankingsupervision.europa.eu/press/pr/date/2024/html/ssm.pr240103~a26e1930b0.en.html

https://www.bankingsupervision.europa.eu/banking/tasks/stresstests/html/index.en.html

https://www.bankingsupervision.europa.eu/banking/list/html/index.en.html

https://www.bankingsupervision.europa.eu/press/interviews/date/2023/html/ssm.in230309~5f39ac5267.en.html

https://www.ft.com/content/f03d68a4-fdb9-4312-bda3-3157d369a4a6

https://www.bankofengland.co.uk/prudential-regulation/publication/2021/december/cyber-stress-test-2022-retail-payment-system

往期精选

围观

威胁猎杀实战(六):横向移动攻击检测

热文

全球“三大”入侵分析模型

热文

实战化ATT&CK:威胁情报


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485284&idx=1&sn=0e811d0837c2d9e1acc49b949d8425cd&chksm=fb04c40ccc734d1ae7450dae4a774bd15094f6917695978039d1d488ad7e626ab3a0d0556d44&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh