隨著網絡技術的發展,金融業的網絡安全問題越來越嚴重,特別是孟加拉中央銀行資金失竊、勒索病毒大行其道的情況下,如何保護金融業網絡安全成為各國關注的重點。2018年9月,美國卡耐基國際和平基金會發布報告《保護金融機構免遭網絡威脅:一項國家安全問題》,建議美國政府與相關金融機構建立正式的合作機制,攜手並肩開展威脅情報蒐集與分析,共同制定威脅應急預案並加以演練,防止金融領域的網絡安全成為國家總體安全的導火索。
現由學術plus編譯,僅供參考。文章版權歸原作者所有,觀點不代表本機構立場。
捍衛金融業網絡安全
卡耐基國際和平基金會的建議
來源: https://carnegieendowment.org
一、金融業的網絡安全意義重大
隨著金融部門越來越依賴數字基礎設施和金融科技,系統的相互依賴性、流程的自動化水平大大提高,這使得金融業不僅成為網絡罪犯撈取經濟利益的對象,而且還成為國家和非國家實現國家利益的網絡攻擊對象。例如,朝鮮利用環球銀行金融電信協會系統(SWIFT)對孟加拉銀行(2016年)和臺灣遠東銀行(2017年)進行網絡攻擊;2011年至2013年,伊朗對美國的金融機構實施了分佈式拒絕服務攻擊。
更為重要的是,美國金融業成為外國網絡攻擊的頭號目標。一方面,金融業是美國經濟重要的一塊壓艙石,對金融部門的顛覆或破壞可能會對經濟造成災難性影響並威脅金融穩定。例如,網絡攻擊破壞關鍵服務會降低對特定公司或市場的信心,或者破壞數據的完整性對美國經濟造成系統性影響。另一方面,網絡空間是勢均力敵的對手唯一可與美國一較高下的戰場。通過網絡空間攻擊美國的金融部門,進而對美國經濟造成破壞性影響,是對手挑戰美國的非對稱戰法,具有明顯優勢。
此外,全球金融體系的國際性和相互依存性加劇了風險。美國的大型金融機構將業務拓展至全球,使外國敵對勢力有機會在遠離美國本土的情況下實施攻擊。同時,在全球金融相互依存的影響下,對手將他國金融機構作為攻擊目標,美國金融業也會間接地面臨風險。
二、保護金融業網絡安全的現有政策舉措
美國政府已經制定了相關政策保護金融業網絡安全。
2013年2月出臺的《改善關鍵基礎設施網絡安全》行政令,其第9條要求國土安全部部長明確哪些關鍵基礎設施面臨的風險最大。第9條所涵蓋的私營企業(以下簡稱“第9條企業”)要由美國政府認定,條件是其擁有或運營的關鍵基礎設施一旦發生“網絡安全事件將對公共健康、經濟或國家安全造成災難性的地區或全國影響”。
2015年《美國國防部網絡空間戰略》指出,國防部要“保護國家免遭引發重大後果的網絡攻擊”,呼籲與私營企業合作,支持“保衛國家”的任務。同時,國防部還成立網絡空間國家任務部隊(CNMF)負責捍衛國家的網絡空間關鍵基礎設施。
2016年7月的第41號總統政策指令(PPD-41)明確,“在保護國家免受惡意網絡活動和管理網絡事件及其後果方面,私營部門和政府機構擁有重要的共同利益”。
2017年5月的行政令《強化聯邦網絡和關鍵基礎設施安全》明確,“行政部門的政策是利用其權力和能力支持國家關鍵基礎設施所有者和運營者管理網絡安全風險”。而2017年的《國家安全戰略》明確將金融部門列為需加以保護以免遭受網絡威脅的關鍵基礎設施的組成部分。
三、保護金融業網絡安全的政策建議
(一)在金融機構的配合下,由政府承擔金融業網絡安全情報工作
金融機構根本沒有情報職權和能力支持網絡防禦以應對國家級對手的攻擊,這些都是美國政府的強項。但現實是,政府對金融業面臨的網絡威脅缺乏深刻理解,雙方的情報合作尚不充分。因此,在協作環境中優先進行情報蒐集和分析是改進防禦網絡空間基礎設施的關鍵一步。
將金融業網絡威脅情報任務納入國家情報優先框架(NIPF)。國家情報優先框架(NIPF)確定了國家的優先情報需求,並指導情報界如何為情報蒐集和分析分配資源。因此,必須將金融業面臨的相關國家安全威脅的情報納入國家情報優先框架之中,否則針對金融業網絡威脅的情報工作都只能具有臨時性,從而缺乏充分的資源支持。針對金融業網絡安全威脅的情報應該包括:有意打擊美國金融業的傳統地緣政治因素;金融機構系統面臨威脅的徵候與預警信息;對手攻擊金融業的能力水平、行為特點和技戰法。
(二)政府應與“第9條企業”形成正式的情報分析合作機制
情報只有被用戶使用才能發揮出最大效益、達成預期成果。因此,政府應該與保護關鍵基礎設施的“第9條企業”形成情報分析的合作機制。
2015年的《網絡安全信息共享法案》(CISA)要求國家情報總監、國土安全部、國防部和司法部促進“與相關部門的代表及時分享涉密的網絡威脅徵候……聯邦政府擁有的網絡威脅徵候或信息要解密並在非密條件下共享”。因此,為促進“第9條企業”與政府的分析合作,美國政府應考慮降低情報的密級,以更廣泛地分發給金融業的關鍵參與者。
政府與金融機構合作開展情報分析的一個重大障礙是後者缺少安全許可。金融業中大型的“第9條企業”都具有跨國性,其業務和利益遍及全球,並僱傭外國員工。從理論上來說,敏感的情報信息有落入外國政府,甚至是對手的風險。因此,國土安全部應制定相關流程,為相關企業中的分析人員頒發安全許可證。
此外,根據現有法律、條例和合規制度,金融機構應將其網絡、系統、基礎設施和威脅形勢等方面的信息與政府進行分享,使政府能夠在職權範圍內更好的蒐集與公司相關的情報。
(三)政府與金融業共同制定應急預案
由私營部門和相關政府機構(包括國土安全部、財政部和美國網絡空間司令部)共同制定應急預案可以更好地協調對金融部門的關鍵基礎設施進行國家網絡空間防禦。應急預案應詳細說明政府機構和公司將如何共同行動以保護金融業,並明確界定所有利益相關者的權利、角色和責任。此外,預案要與情報蒐集與信息共享相關聯,預案中特定的徵候與預警信息要及時告知情報蒐集部門,並在必要時激活特定的預案。制定應急預案時要考慮以下因素:
一是指揮和控制問題。目前,關鍵基礎設施遭遇網絡攻擊時,指揮和控制職責存在模糊性。司法部、國土安全部、國防部、情報界在保護關鍵基礎設施上存在職權的交叉。例如,國土安全部負責保護關鍵基礎設施,國防部負責保護國家免受攻擊,都涉及到保護金融業免遭系統系網絡攻擊問題。而且,指揮和控制問題應該超越各相關機構的範疇,將私營企業作為指揮鏈中的重要角色賦予相應職責。
二是在發生重大系統性攻擊時,應急預案應明確國防部支持私營企業防禦的條件。理論上,按照美國法典第10條和第32條,民事領域防禦支援職責授權國防部支持民事部門。在這一框架下,預案能通過國家任務小隊提供支援。該國家任務小隊作為進攻性增援力量,增強私營公司主導下的防禦性行動。然而,民事機構國防支援請求通常由州政府發起,需要總統批准,並且基本上面向危機響應而非預防。因此,理想情況下需要新的權力來支持國防部內部的規劃和資源配置,以便持續和實時地應對關鍵基礎設施的外部威脅。
三是預案應該能推動公司和政府能力的發展,以確保如果發生意外情況,有關各方都有適當的應對裝備。這主要包括:獲取和維護對抗敵方基礎設施的通道和工具,投資針對特定徵候與預警的情報蒐集能力,投資發展對抗威脅的戰術、技術和規程。對於各方而言,能力投資應超越工具和技術,包括髮展支持、吸引、培訓和保留專家的組織。
四是將進攻行動計劃作為政府和金融部門合作的一部分,問題複雜,挑戰甚多 。對政府而言,進攻行動作為預案的組成部分必須加以規劃,但是這些行動可能會產生意想不到、意外的負面影響。
此外,還要將外交、執法等因素納入預案之中,以確保應用美國政府的整體力量應對網絡威脅。
(四)組織機構建設
金融業可以將金融系統分析和恢復中心(FSARC)作為業務合作計劃的實施部門。金融系統分析和恢復中心於2016年10月成立,在金融服務信息共享和分析中心(FS-ISAC)的框架下運行。而金融服務信息共享和分析中心是構成關鍵基礎設施的不同經濟部門之間進行信息共享和分析的單位。金融系統分析和恢復中心還處於發展的早期階段,但其制度框架可以不斷成熟,成為與美國政府進行情報分析和合作的組織中心。
國土安全部要成為協調聯邦政府與企業合作的天然中心,因為國土安全部的核心任務是保護美國本土。國土安全部負責金融部門關鍵基礎設施的項目辦公室可以與財政部相關部門一起,在整個情報界同步政府的外國情報蒐集,並指導預案的開發和演練。
美國網絡空間司令部要建立用於金融部門的常設國家支持小隊(NST)。根據金融系統分析和恢復中心分享的信息,基於對威脅和脆弱性的部門理解,專門負責金融業的國家支援小隊可以根據綜合性和以金融業為重點的情報蒐集與分析,制定行動計劃防禦金融部門。此外,還要考慮讓國民警衛隊或預備役部隊在這項計劃中發揮作用。
四、需要進一步思考的問題
國會應該在立法上繼續發揮作用。例如,國會可以通過立法正式確定國防部“捍衛國家”的使命可以包括在某些特定情況下對抗外國對美國金融關鍵基礎設施的攻擊,以確保資源充足,併為金融機構提供可信的保護。
還要考慮國際層面的影響。由於金融機構的跨國性,美國的預案應該預見到敵人對全球金融基礎設施的攻擊,並考慮採取跨國、聯盟等方式支持防禦任務。
盟國是否會複製美國的金融網絡安全模式。如果盟國採取類似的安排,它將有助於全球公共利益,建立一個更加安全和有保障的全球金融體系。如果將五眼聯盟夥伴之間的特殊情報關係擴大到包括分享有關金融部門威脅的情報,這也將有助於提高全球金融穩定性。
(全文完)
《中國電子科學研究院學報》歡迎各位專家、學者賜稿!投稿鏈接
http://kjpl.cbpt.cnki.net
學報電話:010-68893411
學報郵箱:[email protected]
閱讀更多 信息與電子前沿 的文章
