摘要:美国战略与国际问题研究中心(CSIS)于 2019 年 4 月发布了一份名为《亚太地区金融部门网络安全要求》(Financial Sector Cybersecurity Requirements in the Asia-Pacific Region)的报告。该报告对当前亚太地区的金融部门网络安全态势进行了分析,选取了亚太地区新加坡、香港地区、日本、印度和中国五个国家和地区,对其金融安全主要监管机构、相关法律法规、数据保护机制、数据泄露处理办法、数据本地化等方面对各国和地区的金融安全现状进行梳理。结合与金融机构的从业者、决策者、技术专家和学者进行访谈,认识到当前亚太地区金融机构网络安全保障面临的挑战,并根据亚太金融发展现状提出建设性应对措施。

0 引言

近年来,日益普遍的网络攻击所造成的损失不断上升,亚太地区已成为恶意网络活动和网络犯罪的突出攻击对象,其中金融领域面临的挑战极极为严峻。2015 年,亚洲企业因网络犯罪造成的损失超过 800 亿美元,远远超过美国和欧洲企业。2016 年,金融行业遭遇的数据泄露最为严重,而且每项被盗记录的损失几乎是其他行业的两倍。一系列针对金融机构的网络攻击凸显了金融领域面临的网络风险,这就要求金融监管机构采取更多措施,保障金融行业的网络安全和网络弹性。

1 亚太地区的金融安全发展趋势与关注重点

在亚太地区,作为世界金融中心的新兴舞台,金融机构和监管机构在金融网络安全领域进行大量投资,已经出台了许多新的法规和控制措施,以减少网络风险、保护消费者数据安全,金融行业的安全态势得到明显的改善。

目前,亚太地区的总体安全趋势研判主要是基于能够结合自我评估的风险监管框架和强渗透测试(penetration testing)来评估控制的有效性。亚太地区的金融监管机构在制定监管措施时会强调不同的主题,其中重点强调了网络弹性(cyber resilience)和业务连续性管理(business continuity management),及近年来也越发重视网络安全防范和事件响应的人员和流程要素的重要性。在这些监管主题的指导下,制定出一系列可操作的监管措施。

管理方面,提出了高管负责制(boards and senior management),要求董事会和高级管理人员必须对其机构的安全状况负责。

监管方面,提出可扩展的监督问责模式(scalable oversight and accountability models),将新的监管和监督机制范围扩大到其管辖范围内更广泛的金融机构,覆盖中小企业、非银行金融机构以及大型跨国银行。

操作方面,借鉴西方国家的经验提出共享信息和事件报告,如已经建立的日本金融 ISAC、印度 CERT-Fin,其他亚洲国家也正在为区域金融机构创建信息共享组织,相比而言,亚太地区的金融机构在实施信息共享机制方面普遍领先于其他行业。

在这些共有主题的指导下,各国也出于本国国情和不同优先事项的考虑,出台了一系列政策法规、标准框架和检查制度等规范。这些新的规范机制在保护、治理数据的同时也对金融机构带来新的要求和挑战,尤其是基于跨境业务的规范。本报告选取了亚洲地区金融业务发展较为成熟和迅猛的五个国家和地区,主要包括对新加坡、香港地区、日本、印度、中国,对其金融主要监管机构、相关法律法规、数据保护机制、数据泄露通知处理、数据本地化等监管内容进行梳理分析。

2 亚太地区五个国家和地区的金融安全监管现状

亚太地区已经成为世界经济发展的核心引擎,在加速发展的同时其受到的网络安全威胁也最为严重,金融业已经被很多国家纳入关键信息基础设施领域,各国也出台了不同程度的规范对金融行业的网络安全进行监管。本报告对金融发展成熟型的新加坡、中国香港地区、日本,和金融发展新兴型的中国和印度,分别从其金融主要监管机构、相关法律法规、数据保护机制、数据泄露处理办法、数据本地化等方面对各国和地区的金融安全现状进行梳理,从而把握整个亚太地区的金融机构网络安全发展。

2.1 新加坡

2.1.1 主要监管机构

新加坡金融机构的网络安全状况主要由新加坡金融管理局(Monetary Authority of Singapore (MAS, 金管局)、个人数据保护委员会 [Personal Data Protection Commission (PDPC)]、 新加坡网络安全局[Cyber Security Agency of Singapore (CSA)] 这三个机构进行监管。金融管理局的技术风险管理指引(Technology Risk Management Guidelines)和其发布的相关通公告、通知涵盖了新加坡金融机构的主要网络安全法规。此外,新加坡央行也对新加坡的银行的网络安全控制和政策有进行审查的职责。

2.1.2 网络安全法

2018年2月5日,新加坡通过网络安全法(Singapore’s Cybersecurity Bill)。该法案设立了网络安全委员(Commissioner of Cybersecurity)一职,由新加坡网络安全局局长担任,负责监督和确保关键信息基础设施的网络安全。委员有权界定关键信息基础设施的范围,并通过订立原则和规范来进行监管。在网络安全法案草案审议过程中,网络安全委员也表明不会对关键信息基础设施建立单独的审计框架,但委员可以提供审计指导和追踪结果。为保证网络安全法的有效实施,网络安全局为行业领头者制定了网络安全立法初始化计划,明确行业监管机构和关键信息基础实施方的角色和责任。

2.1.3 数据保护机制

新加坡的数据保护制度以 2012 年《个人数据保护法》(Personal Data Protection Act)为基础,该法规范了私营组织及数据中介收集和使用个人数据的行为。该法律规定所有在新加坡收集、使用或披露个人数据的组织均受该法保护,不论有关组织是否位于或成立于新加坡。数据使用者在收集或使用其数据之前,必须征得个人同意,只能为收集数据的目的使用数据,必须作出合理的安全安排,以保护个人数据,并允许个人有权访问和更正其持有的数据。此外,还限制个人数据在新加坡境外的转移,除非数据持有者能够保证同等程度的保护。该法案由个人数据保护委员会(Personal Data Protection Commission)执行,对违规企业有权进行调查和征收罚款。目前,该委员会正在审议的更新草案将扩大公司在收集、使用和披露其个人信息时获得个人同意的例外情况,并规定数据泄露的通知要求。

2.1.4 数据泄露通知

《个人数据保护法》没有要求遭受数据泄露的公司进行报告或披露,但个人数据保护委员会明确要求,若发现公司数据外泄未能实施有效的保安措施会对其进行调查和惩罚。个人数据保护委员会为各组织编写了一份自愿“数据泄露指南”,建议漏洞受害者尽快通知数据持有者和委员会。2017 年委员会对通知门槛进行了提高,拟议的强制性数据泄露通知规定,若发生违规行为,将允许公司在 30 天内确定违约行为是否有资格报告。评估完后,各公司须在 72 小时内通知委员会,并尽快与受影响人联络,通知要求也将传达给数据中介机构。

2.1.5 数据本地化

《个人数据保护法》规定限制向新加坡境外的任何组织转让个人数据,除非这些组织能够确保提供与《公共数据保护法》(Personal Data Protection Regulations)所述保护相类似的保护标准。如果数据在转移出国时仍在新加坡组织的控制之下,则只要保证《个人数据保护法》对其保护不失效即可。如果数据转让给第三方,则接受方必须接受法律上的义务约束,提供类似的保护标准。2018 年新加坡签署了亚太经合组织的跨境隐私规则(Cross-Border Privacy Rules)和隐私识别处理(Privacy Recognition for Processors)。预计今年年底,个人数据保护委员会还将启动一项认证计划,加强与亚太经合组织成员国之间的数据传输。

2.2 中国香港地区

2.2.1 主要监管机构

香港地区金融业的网络安全主要由香港金融管理局 ( 金管局 )(Hong Kong Monetary Authority)和香港证券及期货事务监察委员会 ( 证监会 )(Hong Kong Securities and Futures Commission)监管。金管局负责监察金融机构是否符合《香港银行业条例》(Hong Kong’s Banking Ordinance)的规定,香港地区所有金融机构均受金管局监管。作为监管部门,金管局还有权颁布非法律性指导文件,规范指引金融中介服务。证监会负责监管香港地区所有金融交易服务,并对其制定的持牌经纪行为准则中加入有关电子交易的监管规定。自 2014 年开始证监会开始对互联网交易平台进行网络安全审查,此后相继发布了数份通告指导和监督互联网交易服务网络安全,对互联网交易从事人员制定基线要求,提高网络安全复原力,减轻黑客攻击风险。

2.2.2 数据保护机制

香港地区数据保护管理工作主要是基于1995 年 的《 个人数据(隐私)法令》[1995Personal Data (Privacy) Ordinance]制定的,法令规定了六条关于处理个人数据的原则,分别是数据准确、收集目的合法、只用于收集原目的、保存时间有限、不得滥用数据、便于数据主体查阅。该法令由个人数据隐私专员公署(Office of the Privacy Commissioner for Personal Data)执行,该署有权发布与法令相关的实践和指导原则,并对违规情况进行调查。虽然该法令没有直接法律约束力,但公司一旦被认定为有违规行为就会被视为极不可取的。2012 年该法令进行了最新一期修订,大大收紧了对使用个人数据进行直接交易的限制,要求任何使用相关个人信息必须得到同意。

2.2.3 数据泄露通知

《个人数据(隐私)法令》并没有明确要求数据泄露应对措施,但 2014 年 10 月金管局发布的《客户资料保障通告》(Circular on Customer Data Protection),要求对涉及大量客户隐私的事件以及敏感客户资料丢失的事件应该尽快向金管局及客户举报。

2.2.4 跨境数据传输

《个人数据(隐私)法令》并没有对敏感数据或在香港地区以外地方转移个人数据作出任何额外限制。条例第 33 条规管从香港地区输出个人数据的事宜,但该条文并未生效,并且相关人士认为短期内也不会生效。如果该条款获批,若非数据主人同意,或者数据是向被列入白名单的司法管辖区传输,或数据接收地区与该条例有相同的法律法规,否则所有传出香港地区的数据均为违法。目前为止,还未曾有任何司法管辖区被正式宣布列入白名单。2015年的一份指导文件中,各机构被敦促自愿遵守第 33 条以期最终得到实施。根据指导文件,第 33 条不仅适用于故意将数据转移到海外的情况,也适用于跨国公司在香港地区境内存储的个人数据由香港地区以外的人处理,以及个人数据以香港地区境外可访问的方式储存在云端。

2.3 日本

2.3.1 主要监管机构

日本金融服务厅(Japanese Financial Services Agency, JFSA)由首相授命主要负责日本银行网络安全监管,为主要银行制定监管指南。金融服务厅根据 NIsT 框架、ISO 标准和金融行业信息系统中心(Center for Financial Industry Information Systems,)的指南等对金融机构的信息系统安全进行监察。此外,根据账户持有者协议的内容规定,日本的银行还必须接受日本央行(Bank of Japan)的监督,日本的银行与国家事故准备和网络安全战略中心(National Center of Incident Readiness and Strategy for Cybersecurity)协同以对关键信息基础设施进行监管。日本银行虽然没有监管银行的权力,但有权进行现场检测和场外检测,以此评估持有日本银行帐户的金融机构状况。

2.3.2 网络安全法

2014 年日本通过《网络安全基本法》(Basic Act on Cybersecurity)。在该法案的指导下,将信息安全政策理事会(Information Security Policy Council)改组为内阁级网络安全战略总部(Cybersecurity Strategic Headquarters)负责协调网络战略、政策和程序。战略总部由内阁官房长官领导,下设国家网络安全事故准备和战略中心(National Center of Incident Readiness and Strategy for Cybersecurity)负责协调规划新的网络安全政策、监督政府组织、与国际伙伴建立联系,并在发生危机时充当组织机构。

2.3.3 关键信息基础设施

国家网络安全事故准备和战略中心因为与类似于金融服务厅的部门有协调工作,所以对关键信息基础设施运营也有监管职能。中心曾制定了一系列政策保障信息基础设施安全,为加强政府和关键信息基础设施供应商之间的合作,提高网络安全保护。如 2016 年《安全物联网系统总框架》( General Framework for Secured IoT Systems)、2017 年《关键基础设施保护网 络安全政策》[Cybersecurity Policy for Critical Infrastructure Protection (4th Ed.)]。据报道,中心还将建立一个国家中心,以促进政府和信息基础设施运营商之间的威胁数据共享。

2.3.4 数据保护机制

日本对个人数据进行保护的机制主要基于2003 年颁布的《个人信息保护法》(Protection of Personal Information),该法案要求收集和处理个人信息的实体必须将其数据使用目的告知用户,不得滥用数据。2018年7月,日本与欧盟之间就个人数据保护机制达成共识,若实施则允许数据在日本和欧盟管辖内的公司数据自由流动。2018 年 9 月,日本个人信息保护委员会(Personal Information Protection Commission)宣布了针对欧盟数据的补充规则,将日本的数据保护水平提升至与 GDPR 相同。

2.3.5 数据泄露通知

在应对个人数据泄露方面,个人数据保护委员会和日本金融服务厅制定的《针对金融部门的保护个人信息准则》(Guidelines Targeting Financial Sectors Pertaining to the Protection of Personal Information)要求金融情报机构立即向监督方和受影响者告知信息泄露情况,并迅速公开宣布违规行为的事实。准则要求金融机构开展有组织性的、技术性的和保障人员安全的程序来实施数据保护。

2.3.6 跨境数据传输

2017 年 5 月,《个人信息保护法》的一项修正案生效,对日本的个人数据出境进行了规定。修正案禁止在未经当事人事先同意的情况下向外国第三方转让个人数据,除非个人信息保护委员会认为接受国对数据传输实行了可接受的控制,或能确保提供与日本相同水平的数据保护能力。到目前为止,还没有国家被列入个人信息数据保护委员会的白名单之中。2018年,日本与欧盟达成的《日本和欧洲间数据传输充分性调查结果的准则草案》若生效,将允许在日本和欧洲经济区之间转移个人数据。

2.4 印度

2.4.1 主要监管机构

印度金融机构的网络安全主要由印度储备银 行(Reserve Bank of India)、印度证券交易委员会(Securities and Exchange Board of India)和负责关键基础设施的国家关键信息基础设施中心(National Critical Information Infrastructure Protection Centre ) 监管。储备银行负责制定和执行印度银行网络安全条例。访谈得知,印度储备银行是高规范性机构,已经发布了大量的要求明确的通知,但在执行层面不一致性和临时性较强,限制因素较多使其难以有效落地实施。

2.4.2 关键信息基础设施

根据 2000 年印度《信息技术法》,金融部门也被纳入关键基础设施行业,因此印度的银行也受关键信息基础设施条例的管辖。关键基础设施运营商的网络安全控制主要由国家关键信息基础设施保护中心(National Critical Information Infrastructure Protection Centre)制定,该中心成立于 2014 年,由其 2015 年颁布的《关键信息基础设施保护准则》对关键基础设施运营商的影响最为广泛。2004 年成立的机构计算机应 急 小 组(Indian Computer Emergency Response Team),虽然主要职责是事故响应,但它有权向信息基础设施运营商制定指导方针、建议和政策,2006 年该机构发布的《保护关键信息基础设施的信息安全政策》影响甚广。

2.4.3 数据保护机制

印度的个人数据收集、存储和使用规范主要基于 2000 年的《信息技术法》及一系列准 则。2011 年《信息技术规则》(Information Technology Rules)明确规定,要求个人数据收集者必须获得数据主体的同意,仅将收集到的信息用于相关和合法目的,并保留数据不超过所需时间。此外,2011 年的规则只适用于印度境内的个人或公司,不适用于处理印度客户个人信息的境外公司。根据该法,数据持有者在未经当事人同意的情况下披露个人信息,或在违反合同的情况下披露个人信息,可能面临刑事处罚。

2.4.4 数据泄露通知

2017 年 2 月,储备银行宣布,所有遭遇网络事件的银行都必须在 2 至 6 小时内向储备银行报告,并且尽快公开事件原因和法证审计结果,同时还要向印度应急小组报告。目前,IT 法案(IT Act)、隐私规则(Privacy Rules)和储备银行政策并未要求告知受影响的客户。此外,《保护个人数据法案》要求将所有“可能对任何数据主体造成损害”的个人数据被泄露情况通报政治部。

2.4.5 跨境数据传输

2011 年的《信息技术规则》要求只要数据接收国能够提供同等程度的信息保护能力,允许数据出境,包括敏感个人信息。印度储备银行规定只要通过其审计和检查,数据可以出境,离岸提供商的清算不影响获得记录。《保护个人数据法案》(Protection Of Personal Data Bill) 更新了跨境传输个人数据的公司要求,要求公司在印度境内保存所有个人数据的副本,所有关键的个人数据只能在印度境内的服务器或数据中心处理。其他类别的数据在征得数据持有者同意、进入数据白名单国家或得到政治部的批准可以将数据输出。该法案在审议中,预计将于 2019 年 6 月提交议会。

2.5 中国

2.5.1 主要监管机构

中国金融机构的网络安全监管主要由主管银行的中国银行保险监督管理委员会(银保监会)和 2016 年成立的中华人民共和国国家互联网信息办公室(网信办)。银保监会是 2018 年4 月机构改革由银行监督管理委员会和保险监督委员会合并新成立的目前中国商业银行最重要的金融监管机构。机构改革之前,银监会主要负责评估风险管理和信息安全控制,截至 2017年底,银监会开展了 38 个涉及 36 家银行机构的现场检查项目。银行作为重要的信息基础设施,必须执行由《网络安全法》启动的一系列新安全措施,主要包括实施标准的安全控制和公安部、网信办不断加强关键产品和服务的安全审查系统。此外,中国人民银行虽未明确负责制定和实施与金融机构风险管理有关的条例,但其内部审计和检查制度,要求其对总部和附属机构的信息技术系统进行内部审计和风险评估。目前中国各有关部门如网信办、国家信息安全标准化技术委员会、工业和信息化部等,都在继续积极制定新的指导方针和标准,以完善和深化《网络安全法》下的制度建设。

2.5.2 关键信息基础设施

银行被列为国家重要的信息基础设施,因此也必须遵守关于安全测试、数据保护和风险分析的严格要求。2017 年实施的《网络安全法》对关键信息基础设施的保护有着重要约束和指导作用,如限制跨境数据传输及对侵入关键网络设备和网络安全服务的安全审查。《网络安全法》要求所有关键基础设施运营商根据公安部多级保护系统实施安全控制,根据网络对国家安全、经济、社会的重要性,进行不同级别的安全控制。该法律还规定网络运营商必须制定网络安全事件应急预案,向中国安全部门提供技术支持和协助,并要求用户实施实名制。关键信息基础设施的运营商,包括金融机构需要服从网信办关于网络安全的认证、检测、风险评估、系统监测等。

2.5.3 数据保护机制

根据《网络安全法》,经营者有义务在收集用户数据之前征得同意;明确说明所收集数据的使用目的、手段和范围;允许用户更正和修改其个人数据;并在发生数据泄露时向客户发出警告。中国政府发布的《个人信息安全规范》进一步完善了数据保护办法。该规范建立了一系列数据收集、使用和传输的最佳实践,提出了对安全控制和入侵后事件响应的应对要求。目前一部单独的个人信息保护法律尚处于立法阶段,至少需要一至三年才能完成,这部法律将会对个人信息保护有更全面的要求。

2.5.4 数据泄露通知

根据 2011 年发布的《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,规定银行必须在 7 个工作日内向中国人民银行报告违反个人金融信息的行为。《网络安全法》中则要求若发生任何网络安全缺陷、漏洞或不安全事件,网络运营商立即向受影响的用户和相关政府部门报告。2018 年 6 月公安部发布《网络安全等级保护条例(征求意见稿)》要求网络运营商在 24 小时内向当地公安部门及其分支机构报告网络事件。

2.5.5 数据本地化

《网络安全法》要求关键信息基础设施运营商必须在中国内地储存个人信息和“重要数据”,若需要数据出境,则必须按照网信办的规定进行安全评估。2017 年,网信办发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,规定经营者使用的标准,以进行自我评估和确定跨境转让资格;要求经营者对数据类型向监管机构汇报评估。目前,虽然这些规定有利于澄清《网络安全法》的数据本地化规定,但许多措辞含糊,监管机构的自性裁量权较大。

3 亚太地区金融机构面临的主要挑战

通过上问对五个国家和地区金融机构网络安全监管机制的梳理,不难发现在网络风险在整个区域日益受到重视,特别强调复原力和业务连续性管理,以防范系统性风险。许多亚太金融监管机构在建立其网络安全框架时借鉴了已有的国际模式,同时一些国家和监管机构实施这些要求的方式非常不同,不同的亚太地区监管机构和金融机构对网络风险的复杂程度、网络能力和关注程度也各不相同。各国在提升网络安全能力,加大金融安全保障的同时,亚太地区的金融监管面临着严峻挑战,各国网络能力的差异使得区域性的威胁难以区域统一应对,网络人才的紧缺使得网络威胁的防守抵御都急剧加强,数据管理的碎片化直接阻碍了金融业务成本,监管职能的重叠则降低了监管效率。

3.1 网络能力差异较大

当前,亚太地区的监管机构和金融机构的能力水平差异较大,很难为网络安全控制和监管过程制定一套共同的、可扩展的预期。若要求金融机构和监管机构具备高度技术成熟的监管体制,则可能会压垮规模较小的机构,而较容易形成的监管体制却无法充分解决大型银行的安全漏洞。此外,国家监管机构都较多的从本国管辖范围内的业务和客户角度来分析风险,但跨国金融机构一般都是综合性系统评估,这就使整个机构的风险概况可能不能很好地反映具体国家的风险评估。一些地区性和全球性银行从业的受访者指出,在规模较小的发展中国家面临的挑战要大得多,因为人才、基础设施和理解方面的差异阻碍了监督工作。

3.2 网络人才严重短缺

亚洲正面临超过 200 万网络安全专业人员的短缺,占全球网络人力资源短缺的近四分之三,监管机构和金融机构难以找到合格的网络审计师、审查员和测试员。根据对相关人士的采访,当前审计师在网络安全方面的专业水平较低,审查员之间的标准、方法和优先级不一致。这使得监管机构很难推进长期监管重点,还可能导致反馈的信息相互矛盾、不一致,使得安全和合规工作进一步复杂化。此外,金融机构自身的网络能力和网络安全团队的成熟度也存在很大差异。随着 CBEST 监管模式在该地区继续获得动力,频繁的渗透测试可能会给金融机构带来巨大风险,因为测试人员可能会无意中破坏或者降低银行服务或公开各户数据。

3.3 数据管理碎片化

根据目前的数据保护趋势分析,各国对数据保护的措施都在加强,金融机构开展跨境业务的难度在增大。在本研究中的五个司法管辖区中中国对数据流动有较为广泛的限制,印度、新加坡和中国香港在未来也有实施法律进行限制的可能性。数据本地化储存可能对金融机构造成较大损害,因为金融机构的业务大量依赖于分析、交易对手、合作伙伴和客户之间的信息自由流动。同时,数据管理的碎片化也会导致应对碎片化,但面对区域经济和金融业一体化的发展,区域内的网络事件很可能迅速蔓延至全球,这要求建立跨国性、全球体系性的金融机构风险预警和评估,而非特定区域的状况考量优先。

3.4 监管职责重叠

尽管亚太地区的金融监管机构在建立网络监管体系时借鉴了一套共同的国际模式,但整个地区的监管并不协调,往往导致跨国银行和企业的裁员和摩擦。从合规的角度来说,监管职责重叠带来的挑战比操作上的挑战更加沉重。每个司法管辖区的都根据自己的实际情况显著调整了这些模式,为跨国金融机构创建了一套类似但不一定互补的监管和监督机制。

4 挑战应对的建设性建议

亚太地区的金融业发展已经成为世界经济发展的重要助推器,虽然金融机构的网络安全面临种种挑战,但亚太地区凭借其成熟的金融体系和丰富的金融安全保障经验,可以在目前的基础上通过创建网安共享词典促进高效准确沟通,以全球视角构建金融情报系统加强网络复原力,借助亚太多边格局推进区域一体化协调机制。

4.1 创建网络安全共享词典,促进高效准确沟通

虽然不可能实现跨司法管辖区域使用一套单一的约束规范,但大多数地区的监管机构其目标相同,应对的风险类似,因此是有可能建立共通性较强的规范,提高沟通效率。然而,由于监管语言上的差别和模糊,金融情报机构难以将内部应对措施与不同监管机构的措施在短时间内对应。因此,应该为网络安全控制原则整编共通的词汇,促进整个区域的监管机构交流合作。该词汇集还应采用灵活性、原则性的方法避免过于精细的要求,从而适应该地区广泛的业务模规模和威胁情况。

4.2 建立全球性金融情报系统,加强网络复原力

从全球视角而非特定国家业务的角度分析金融情报机构的网络风险,将是监管机构加强区域和全球复原力的重要步骤。传统上,监管机构的任务主要是保护管辖区内的本国公民,所以通常从本地区视角看待网络风险。然而,当前网络恶意行为者并不承认边界,而全球金融体系的相互关联性质意味着对重大金融机构的任何攻击,无论其是否直接针对特定管辖范围内的客户,都可能对所有人造成重大后果。因此,监管机构不应要求针对每个具体司法管辖区进行数十次单独的脆弱性评估、渗透测试和审计,而应与业界合作,建立一个共同的测试和评估框架,使银行能够对其全球系统进行一套非常严格的安全评估,以便提交给一系列监管机构。通过为金融情报机构的全球系统建立一个共同的测试和评价框架,监管机构可以消除现行条例所要求的重复工作,使金融情报机构能够对其全球风险进行更严格和深入的评估,并将更多的资源分配给业务上的网络安全,而不是合规。

4.3 借助亚太多边格局,推进区域一体化协调

不同监管机构与国家对如何界定国际标准持有不同看法,各区域或国际组织将是讨论统一问题的有效场所。在区域一级,监管机构和金融情报机构应利用亚太经合组织这类现有机制,推动整个区域更大程度的一体化和协调。亚太经合组织财政部长级会议也提供了一个汇集来自亚太经合组织成员国的财政部和中央银行高级官员的场所。2018 年,亚太金融论坛就发布了《亚太经合组织新金融服务数据生态系统路线图》和《亚太经合组织金融市场基础设施发展路线图》,这些路线图可供亚太经合组织成员国监管机构采用一致、统一的区域监管框架提出具体建议。近年来,国际清算银行和 G20 集团进程在建立全球网络风险管理和治理的规范和最佳做法方面取得了一些重大进展,但其进程缓慢、官僚化,难以实施。整合区域和全球机构之间的监管协调工作将是至关重要的,这不仅是为了创建一个强大的全球网络弹性框架,而且也是为了获得亚太地区国家的真正支持。

5 总结

全球性的金融体系给金融威胁提供了全球蔓延的温床,恶意行为者发起的跨国网络攻击其目标将是多个区域的海量用户。对于亚太区域,各国面临的威胁不仅来自本国内个别机构的脆弱性,亦包括整个区域甚至全球更广泛的脆弱性。虽然区域监管机构意识到网络风险的严重性,但狭隘的只关心本区域和用户的做法反而会阻碍区域金融安全体系的有效改善。对于深度一体化的亚太地区来说,跨国网络威胁需要跨国应对。要加强整个区域金融网络的安全和恢复能力,就需要从企业的角度看待金融情报机构,从捍卫者的角度而不是从国家边界的狭小视角理解和应对面临的网络风险。此外,需要强调的是,监管机构的首要目标是确保强大的网络安全性和复原力,而不是冗杂的合规事务。

作者:

威廉•卡特,美国战略与国际问题研究智库,技术政策项目副主任。重点研究国际网络和技术政策问题,包括人工智能、监视和隐私、数据本地化、网络冲突和威慑、金融部门网络安全,以及执法和技术。

威廉•科鲁波,美国战略与国际问题研究智库,技术政策项目研究助理。重点研究与新兴技术的治理、国家和国际网络安全政策的制定以及数字经济中的创新相关的问题。

译者简介:

杨乐, 上海国际问题研究院硕士研究生。重点研究网络安全和网络空间战略稳定。

(本文选自《信息安全与通信保密》2019年第六期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。