越来越多的大型银行开始担心,它们的零售伙伴可能忽视防止金融崩溃的网络安全保护措施。
网络攻击始于混乱。习惯于对价格和利率的变化迅速反应的很多银行交易员表示有些交易难以完成。寻求帮助的电子邮件没有得到回复,一部分原因是系统瘫痪,一部分原因是IT部门更关心的是似乎在其数据库中肆虐的恶意软件,而不是其交易市场的完整性。可能在几个小时内,关于贷款协议、对冲模型、经常账户余额以及其他更神秘的金融信息的大量数据由于遭到网络攻击而丢失,而银行董事会只剩下希望和祈祷,希望这些记录可能保存在任何存储媒介和任何地方,哪怕只有一小部分。
这是金融领域IT安全专业人员的噩梦:一家大型银行可能由于黑客精心策划的网络攻击而濒临崩溃。这种灾难的后果通常在电影和电视剧中描述,但各国央行现在加强了网络安全方面的行动。去年秋天,英格兰银行(BoE)强调了其定期进行的网络安全演习的重要性,并宣布网络攻击是对英国金融部门完整性的最大威胁。从澳大利亚到巴林,各国银行都进行了类似的演习。
这样的演习并不罕见,各国央行经常指责它们的零售伙伴忽视了网络安全。但近年来,威胁环境迅速发生了变化。复杂的国际环境和地缘冲突让人们注意到,一些国家完全有能力发动复杂的网络攻击,以推进自己的国家目标。这些国家通常与网络犯罪集团结盟,并在寻找有利可图的目标进行攻击。
在这方面,银行对于网络攻击者来说越来越具有吸引力。多年来,金融机构将良好实践定义为确保自己的系统得到良好保护。与此同时,很多银行忽视了这样一个事实:它们外包给第三方的系统越来越容易被颠覆。英国格洛斯特郡大学网络安全教授、英国央行前首席信息安全官Buck Rogers表示:“我认为,各国的央行正面临来自政府的压力,要求它们加强网络安全。实际上,金融基础设施现在是至关重要的基础设施,我们需要像对待天然气和电力一样对待它。我认为,人们担心的是,这些东西在什么时候会具体化,从而对各国的经济产生影响?”
并非所有的央行都有这些担忧。国际货币基金组织最近的一项研究发现,在其调查的51个金融管辖区中,有一半以上没有针对金融业的国家网络战略,64%的管辖区没有强制要求进行网络安全测试,甚至没有就银行被黑客入侵之后应该如何做给出指导。此外,那些组织网络安全演习的国家往往把注意力集中在错误的威胁类型上,Contrast Security公司网络战略高级副总裁Tom Kellermann表示,“他们真正关注的是拒绝服务攻击。我不认为这是最坏的情况。”
需要了解网络安全面临的风险
将金融服务业归类为易受网络攻击的行业,乍一看似乎有悖常理。毕竟,现在大多数银行业务都是在网上进行的:因此,确保银行和客户之间的网络线路保持安全已成为开展业务的必要条件。Rogers表示,这种态度有助于金融行业保持在网络安全实践的前沿,主要是因为他们乐于在这个问题上投入大量资金,这是正确的措施,以使其变得更好。
英国央行最近进行的一项调查发现,74%的银行业高管认为,网络攻击对他们的业务构成了最大威胁。不过,让Rogers担心的是,这些高管中有许多人并不完全理解他们所获得的关于如何最好地预防这种情况的建议。Rogers说,“他们是否了解相关的风险管理,是否有适当的缓解措施和流程来管理风险?”
不理解的后果可能会导致金融机构内部关于网络安全的决策过程发生扭曲。Rogers说,“银行的安全决策甚至由非安全人员做出。例如,首席财务官可能决定将人力资源部门的一部分业务外包给第三方软件提供商。除非是资深的首席网络安全官,否则这个决定可能会是错误的。突然之间,银行可能就会面临供应链的风险。”
Rogers补充说,这是一个隐藏的威胁,但行业内外并没有人真正意识到这一点。尽管银行投入了大量的资金来加强网络安全,进而提升零售客户对其业务的信心,但其中很大一部分涉及将关键服务外包给第三方。Kellermann表示:“他们正在拥抱金融科技、API、现代应用程序和多云战略。因此,他们的攻击面变得更大了。”
例如,对Solarwinds公司这样的托管服务提供商(MSP)进行攻击,可能会在一夜之间使多家金融机构的运营陷入瘫痪。Ion Cleared Derivatives公司每天提供处理数百万笔期货交易的软件,其中一起违规事件导致该交易市场瘫痪数日。通过网络攻击构成多个银行系统之间API,为它们提供多向访问,也可以达到同样的目的。Kellermann感叹道,“没有人关注API安全!尽管这样的黑客攻击在2022年同比增长了257%。 ”
他继续说,黑客还可以通过更阴险的方式对银行施加影响。Kellermann说:“如今,大多数网络犯罪的阴谋不仅仅涉及电汇、欺诈或勒索软件。他们真正关注的是针对非公开市场信息,劫持各机构组织的数字化转型,利用勒索软件进行攻击。”这些所谓的水坑攻击,即完全合法的在线基础设施被网络犯罪分子的恶意软件所损害,这一直困扰着很多机构和组织,尤其是现在深陷于长达数十年的数字升级中的许多银行。
这些类型的网络攻击无疑是复杂的,但并不超出流氓国家的能力,他们将西方金融部门视为一个特别脆弱的目标。Kellermann说:“他们可以利用网络犯罪团体的攻击,从而让金融机构损失惨重。”他补充说,一些国家的黑客组织已经针对西方主要金融机构发起了十几次破坏性的网络攻击,只是因为英国和美国情报部门在适当的时候共享了关键情报才被挫败。
Kellerman说,“这是我们没有看到它发生的唯一原因,但他们尝试攻击了14次。”
简而言之,银行业高管需要了解他们面临的威胁要复杂得多。
最佳的压力测试
如果这些网络攻击以另一家托管服务商为目标,或者更糟的是以此为跳板,进入银行更有利可图的部门,可能是为了勒索银行机构,或者泄露敏感信息,会发生什么? Rogers解释说,就后果而言,最坏的情况将是公众对金融部门本身的信心普遍丧失。虽然最初的后果可能很容易通过部署IT安全团队和偶尔的救助来弥补,但其政治影响可能是大规模和持久的。
事实上,最近硅谷银行的倒闭就证明了这种情况,Rogers解释说:“美国一家科技银行倒闭,突然间这可能让英国首相介入,考虑汇丰银行将会如何收购这家银行。”
Rogers表示,任何对银行网络安全弹性的压力测试都需要考虑,网络攻击面已经发生了根本性的变化,对第三方软件提供商的依赖不会消失。他说,“我敢肯定,大公司会有成千上万的关键第三方。未来的压力测试应该包括央行量化和提高对这种风险的认识,以及他们是否有B计划和C计划”。
这需要比以往任何时候都更深入到供应链中。Rogers表示,大多数大型银行在顶级关键供应商方面都做得很好,无论他们在哪里。他担心的是那些低于门槛的银行。金融机构应该诚实地认识到,如果这些规模较小的服务被黑客破坏,影响会有多严重。
一些国家机构在这方面已经采取了一些立法行动:例如,欧洲议会最近通过了《数字操作弹性法案》,要求银行对其第三方安全供应商的网络安全负责。Rogers认为,将所有不同的网络安全压力测试标准结合起来,或许也会有所帮助。这呼应了G20集团金融稳定委员会的类似呼吁。至少对跨国银行来说,就这些规则之间的共性达成一项国际协议,可能会极大地改变它们在某国发生违规行为、但对它们在其他国家的业务产生影响时的定位。
Kellermann强调,银行还需要从根本上重新思考他们如何设计基本的网络安全策略。他们应该不再只考虑保护自己的场所,或者他们总能成功地防止黑客窥探他们的系统。Kellermann说:“他们确实需要颠覆安全模式,从内部进行防御,并真正专注于网络入侵防御。”
这必然涉及在应用程序的运行时保护、网络和基础设施的微分段、扩展的检测响应服务以及最重要的人员方面增加投资。Kellermann认为,如果银行找不到优秀的员工(人们可能听说过全球IT安全技能短缺),那么他们能做的最佳选择就是聘请一家专门从事金融网络安全的托管检测和响应公司。而且,他们不应该害怕在传统上被大多数安全团队视为禁区的地方寻找网络攻击者,例如高管每天使用的电脑。
Rogers还认为,信息交换也需要改进。银行可以组织会议或论坛讨论威胁行为者和攻击媒介,但他们需要以更系统的方式利用这些论坛。Rogers表示,银行需要正确地使用它们。
不过总的来说,Rogers对西方金融机构能够而且将会齐心协力抱有希望。他对英国监管机构的态度尤其感到鼓舞,他认为,在金融领域的网络安全问题上,英国监管机构一直在高度关注。他解释说,如果金融行业能做到这一点,它能够为其他关键基础设施的管理者提供一个积极的榜样,让他们开始重新评估威胁状况。不过,与此同时,银行之间需要就面临的威胁进行沟通。
Rogers说,“我的建议是,让我们更多地进行沟通,交换信息,我们需要更专业。”