澳大利亚政府审计局：加强银行应对网络威胁的韧性

E安全4月6日讯澳大利亚政府审计局（APRA）正在“加强”对银行的能力的关注，同时也要关注其技术生态系统和其他合作伙伴在面对日益严峻的网络安全威胁时具有韧性的能力。

澳大利亚政府审计局主席Wayne Byres昨日在2021年AFR银行峰会上表示，“尽管还没有APRA监管银行、保险公司或养老金基金遭受重大的网络破坏……事件发生只是时间问题。”

拜尔斯（Byres）引用了最近利用Exchange Server中的0day漏洞进行攻击的活动作为网络威胁增长的一个例子，他说这需要“持续不断的投资改进实践的周期”。

但是，他也特别关注SolarWinds和Accellion的违规行为，并且更明确地指出“网络违规行为可能对整个系统产生连锁反应”。

澳大利亚证券和投资委员会（ASIC）和新西兰储备银行是受Accellion骇客影响的金融部门组织和机构。

Byres指出，在新冠疫情期间，银行及其客户感受到了第三方供应商（例如外包公司）在服务交付方面所依赖的问题影响。

“尽管澳大利亚人没有看到因新冠疫情期对金融服务造成实质性破坏，但有时-特别是在世界各地的国家实施了广泛的封锁措施之后，这直接影响了外包服务提供商-那仅仅是由于幕后的争夺，以及放松先前未曾考虑过的控制措施，” Byres说。

“通常是第三方提供商无法满足商定的服务水平，而不是银行自身运营的失败，这造成了运营和处理问题。

“新冠疫情期还促发了在及时替换或切换到备用服务提供商以维持运营连续性方面的困难。

“随着越来越复杂的第三方关系网络支持金融系统，我们的主要目标因此必须获得更好的保证，不仅是银行的弹性，还包括银行业务所在的更广泛的生态系统的弹性。”

拜尔斯说，这对APRA看待网络安全的方式产生了一些持续影响，更多的注意力转移到了帮助银行运作但也可以作为攻击媒介或途径的合作伙伴生态系统中。

拜尔斯说：“我们正在加强对网络弹性的关注，与澳大利亚政府其他部门密切合作。”

“我们的网络监管策略的一个值得注意的方面是关注第三方提供商，而不仅仅是受监管实体本身。”

拜尔斯说，APRA目前正在“对我们对金融业运营弹性的审慎要求进行全面审查”。

“此次审查将考虑引入专门针对操作风险管理的新审慎标准，对现有的外包审慎标准（CPS 231）和业务连续性管理（CPS 232）进行修订，以及为实体鼓励进一步实践的其他指导，“ 他说。

“我们还将研究我们的新冠疫情期规划指南（CPG 233）。

“尽管面对新冠疫情期证明了它的价值，但无疑还有进一步改进的可能。

“总而言之，该软件包将成为涵盖运营弹性的一系列标准的一部分。”

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。