澳大利亞政府審計局將網絡安全作為廣泛應用銀行生態系統的重點

    4月6日消息，澳大利亞政府審計局（APRA）正在“加強”對銀行的能力的關注，同時也要關注其技術生態系統和其他合作伙伴在面對日益嚴峻的網絡安全威脅時具有韌性的能力。

    澳大利亞政府審計局主席Wayne Byres在2021年AFR銀行峰會上表示，“盡管還沒有APRA監管銀行、保險公司或養老金基金遭受重大的網絡破壞……事件發生只是時間問題。”

    拜爾斯（Byres）引用了最近利用Exchange Server中的0天進行攻擊的活動作為網絡威脅增長的一個例子，他說這需要“持續不斷的投資改進實踐的周期”。

    但是，他也特別關注SolarWinds和Accellion的違規行為，并且更明確地指出“網絡違規行為可能對整個系統產生連鎖反應”。

    澳大利亞證券和投資委員會（ASIC）和新西蘭儲備銀行是受Accellion駭客影響的金融部門組織和機構。

    Byres指出，在新冠疫情期間，銀行及其客戶感受到了第三方供應商（例如外包公司）在服務交付方面所依賴的問題影響。

   “盡管澳大利亞人沒有看到因新冠疫情期對金融服務造成實質性破壞，但有時-特別是在世界各地的國家實施了廣泛的封鎖措施之后，這直接影響了外包服務提供商-那僅僅是由于幕后的爭奪，以及放松先前未曾考慮過的控制措施，” Byres說。

   “通常是第三方提供商無法滿足商定的服務水平，而不是銀行自身運營的失敗，這造成了運營和處理問題。

   “新冠疫情期還促發了在及時替換或切換到備用服務提供商以維持運營連續性方面的困難。

   “隨著越來越復雜的第三方關系網絡支持金融系統，我們的主要目標因此必須獲得更好的保證，不僅是銀行的彈性，還包括銀行業務所在的更廣泛的生態系統的彈性。”

    拜爾斯說，這對APRA看待網絡安全的方式產生了一些持續影響，更多的注意力轉移到了幫助銀行運作但也可以作為攻擊媒介或途徑的合作伙伴生態系統中。我們正在加強對網絡彈性的關注，與澳大利亞政府其他部門密切合作。 我們的網絡監管策略的一個值得注意的方面是關注第三方提供商，而不僅僅是受監管實體本身。APRA目前正在“對我們對金融業運營彈性的審慎要求進行全面審查。

    此次審查將考慮引入專門針對操作風險管理的新審慎標準，對現有的外包審慎標準（CPS 231）和業務連續性管理（CPS 232）進行修訂，以及為實體鼓勵進一步實踐的其他指導。 我們還將研究我們的新冠疫情期規劃指南（CPG 233）。 盡管面對新冠疫情期證明了它的價值，但無疑還有進一步改進的可能。總而言之，該軟件包將成為涵蓋運營彈性的一系列標準的一部分。