随着网络技术的发展,金融业的网络安全问题越来越严重,特别是孟加拉中央银行资金失窃、勒索病毒大行其道的情况下,如何保护金融业网络安全成为各国关注的重点。2018年9月,美国卡耐基国际和平基金会发布报告《保护金融机构免遭网络威胁:一项国家安全问题》,建议美国政府与相关金融机构建立正式的合作机制,携手并肩开展威胁情报搜集与分析,共同制定威胁应急预案并加以演练,防止金融领域的网络安全成为国家总体安全的导火索。
现由学术plus编译,仅供参考。文章版权归原作者所有,观点不代表本机构立场。
捍卫金融业网络安全
卡耐基国际和平基金会的建议
来源: https://carnegieendowment.org
作者:学术plus评论员 刘栋
一、金融业的网络安全意义重大
随着金融部门越来越依赖数字基础设施和金融科技,系统的相互依赖性、流程的自动化水平大大提高,这使得金融业不仅成为网络罪犯捞取经济利益的对象,而且还成为国家和非国家实现国家利益的网络攻击对象。例如,朝鲜利用环球银行金融电信协会系统(SWIFT)对孟加拉银行(2016年)和台湾远东银行(2017年)进行网络攻击;2011年至2013年,伊朗对美国的金融机构实施了分布式拒绝服务攻击。
更为重要的是,美国金融业成为外国网络攻击的头号目标。一方面,金融业是美国经济重要的一块压舱石,对金融部门的颠覆或破坏可能会对经济造成灾难性影响并威胁金融稳定。例如,网络攻击破坏关键服务会降低对特定公司或市场的信心,或者破坏数据的完整性对美国经济造成系统性影响。另一方面,网络空间是势均力敌的对手唯一可与美国一较高下的战场。通过网络空间攻击美国的金融部门,进而对美国经济造成破坏性影响,是对手挑战美国的非对称战法,具有明显优势。
此外,全球金融体系的国际性和相互依存性加剧了风险。美国的大型金融机构将业务拓展至全球,使外国敌对势力有机会在远离美国本土的情况下实施攻击。同时,在全球金融相互依存的影响下,对手将他国金融机构作为攻击目标,美国金融业也会间接地面临风险。
二、保护金融业网络安全的现有政策举措
美国政府已经制定了相关政策保护金融业网络安全。
2013年2月出台的《改善关键基础设施网络安全》行政令,其第9条要求国土安全部部长明确哪些关键基础设施面临的风险最大。第9条所涵盖的私营企业(以下简称“第9条企业”)要由美国政府认定,条件是其拥有或运营的关键基础设施一旦发生“网络安全事件将对公共健康、经济或国家安全造成灾难性的地区或全国影响”。
2015年《美国国防部网络空间战略》指出,国防部要“保护国家免遭引发重大后果的网络攻击”,呼吁与私营企业合作,支持“保卫国家”的任务。同时,国防部还成立网络空间国家任务部队(CNMF)负责捍卫国家的网络空间关键基础设施。
2016年7月的第41号总统政策指令(PPD-41)明确,“在保护国家免受恶意网络活动和管理网络事件及其后果方面,私营部门和政府机构拥有重要的共同利益”。
2017年5月的行政令《强化联邦网络和关键基础设施安全》明确,“行政部门的政策是利用其权力和能力支持国家关键基础设施所有者和运营者管理网络安全风险”。而2017年的《国家安全战略》明确将金融部门列为需加以保护以免遭受网络威胁的关键基础设施的组成部分。
三、保护金融业网络安全的政策建议
(一)在金融机构的配合下,由政府承担金融业网络安全情报工作
金融机构根本没有情报职权和能力支持网络防御以应对国家级对手的攻击,这些都是美国政府的强项。但现实是,政府对金融业面临的网络威胁缺乏深刻理解,双方的情报合作尚不充分。因此,在协作环境中优先进行情报搜集和分析是改进防御网络空间基础设施的关键一步。
将金融业网络威胁情报任务纳入国家情报优先框架(NIPF)。国家情报优先框架(NIPF)确定了国家的优先情报需求,并指导情报界如何为情报搜集和分析分配资源。因此,必须将金融业面临的相关国家安全威胁的情报纳入国家情报优先框架之中,否则针对金融业网络威胁的情报工作都只能具有临时性,从而缺乏充分的资源支持。针对金融业网络安全威胁的情报应该包括:有意打击美国金融业的传统地缘政治因素;金融机构系统面临威胁的征候与预警信息;对手攻击金融业的能力水平、行为特点和技战法。
(二)政府应与“第9条企业”形成正式的情报分析合作机制
情报只有被用户使用才能发挥出最大效益、达成预期成果。因此,政府应该与保护关键基础设施的“第9条企业”形成情报分析的合作机制。
2015年的《网络安全信息共享法案》(CISA)要求国家情报总监、国土安全部、国防部和司法部促进“与相关部门的代表及时分享涉密的网络威胁征候……联邦政府拥有的网络威胁征候或信息要解密并在非密条件下共享”。因此,为促进“第9条企业”与政府的分析合作,美国政府应考虑降低情报的密级,以更广泛地分发给金融业的关键参与者。
政府与金融机构合作开展情报分析的一个重大障碍是后者缺少安全许可。金融业中大型的“第9条企业”都具有跨国性,其业务和利益遍及全球,并雇佣外国员工。从理论上来说,敏感的情报信息有落入外国政府,甚至是对手的风险。因此,国土安全部应制定相关流程,为相关企业中的分析人员颁发安全许可证。
此外,根据现有法律、条例和合规制度,金融机构应将其网络、系统、基础设施和威胁形势等方面的信息与政府进行分享,使政府能够在职权范围内更好的搜集与公司相关的情报。
(三)政府与金融业共同制定应急预案
由私营部门和相关政府机构(包括国土安全部、财政部和美国网络空间司令部)共同制定应急预案可以更好地协调对金融部门的关键基础设施进行国家网络空间防御。应急预案应详细说明政府机构和公司将如何共同行动以保护金融业,并明确界定所有利益相关者的权利、角色和责任。此外,预案要与情报搜集与信息共享相关联,预案中特定的征候与预警信息要及时告知情报搜集部门,并在必要时激活特定的预案。制定应急预案时要考虑以下因素:
一是指挥和控制问题。目前,关键基础设施遭遇网络攻击时,指挥和控制职责存在模糊性。司法部、国土安全部、国防部、情报界在保护关键基础设施上存在职权的交叉。例如,国土安全部负责保护关键基础设施,国防部负责保护国家免受攻击,都涉及到保护金融业免遭系统系网络攻击问题。而且,指挥和控制问题应该超越各相关机构的范畴,将私营企业作为指挥链中的重要角色赋予相应职责。
二是在发生重大系统性攻击时,应急预案应明确国防部支持私营企业防御的条件。理论上,按照美国法典第10条和第32条,民事领域防御支援职责授权国防部支持民事部门。在这一框架下,预案能通过国家任务小队提供支援。该国家任务小队作为进攻性增援力量,增强私营公司主导下的防御性行动。然而,民事机构国防支援请求通常由州政府发起,需要总统批准,并且基本上面向危机响应而非预防。因此,理想情况下需要新的权力来支持国防部内部的规划和资源配置,以便持续和实时地应对关键基础设施的外部威胁。
三是预案应该能推动公司和政府能力的发展,以确保如果发生意外情况,有关各方都有适当的应对装备。这主要包括:获取和维护对抗敌方基础设施的通道和工具,投资针对特定征候与预警的情报搜集能力,投资发展对抗威胁的战术、技术和规程。对于各方而言,能力投资应超越工具和技术,包括发展支持、吸引、培训和保留专家的组织。
四是将进攻行动计划作为政府和金融部门合作的一部分,问题复杂,挑战甚多。对政府而言,进攻行动作为预案的组成部分必须加以规划,但是这些行动可能会产生意想不到、意外的负面影响。
此外,还要将外交、执法等因素纳入预案之中,以确保应用美国政府的整体力量应对网络威胁。
(四)组织机构建设
金融业可以将金融系统分析和恢复中心(FSARC)作为业务合作计划的实施部门。金融系统分析和恢复中心于2016年10月成立,在金融服务信息共享和分析中心(FS-ISAC)的框架下运行。而金融服务信息共享和分析中心是构成关键基础设施的不同经济部门之间进行信息共享和分析的单位。金融系统分析和恢复中心还处于发展的早期阶段,但其制度框架可以不断成熟,成为与美国政府进行情报分析和合作的组织中心。
国土安全部要成为协调联邦政府与企业合作的天然中心,因为国土安全部的核心任务是保护美国本土。国土安全部负责金融部门关键基础设施的项目办公室可以与财政部相关部门一起,在整个情报界同步政府的外国情报搜集,并指导预案的开发和演练。
美国网络空间司令部要建立用于金融部门的常设国家支持小队(NST)。根据金融系统分析和恢复中心分享的信息,基于对威胁和脆弱性的部门理解,专门负责金融业的国家支援小队可以根据综合性和以金融业为重点的情报搜集与分析,制定行动计划防御金融部门。此外,还要考虑让国民警卫队或预备役部队在这项计划中发挥作用。
四、需要进一步思考的问题
国会应该在立法上继续发挥作用。例如,国会可以通过立法正式确定国防部“捍卫国家”的使命可以包括在某些特定情况下对抗外国对美国金融关键基础设施的攻击,以确保资源充足,并为金融机构提供可信的保护。
还要考虑国际层面的影响。由于金融机构的跨国性,美国的预案应该预见到敌人对全球金融基础设施的攻击,并考虑采取跨国、联盟等方式支持防御任务。
盟国是否会复制美国的金融网络安全模式。如果盟国采取类似的安排,它将有助于全球公共利益,建立一个更加安全和有保障的全球金融体系。如果将五眼联盟伙伴之间的特殊情报关系扩大到包括分享有关金融部门威胁的情报,这也将有助于提高全球金融稳定性。
下载完整报告:https://carnegieendowment.org/2018/09/24/protecting-financial-institutions-against-cyber-threats-national-security-issue-pub-77324
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。