金融系統或受潛在“黑天鵝”事件影響金融網絡安全形勢嚴峻 各國加緊防范

■ 文 / 安 生

金融系統或受潛在“黑天鵝”事件影響金融網絡安全形勢嚴峻 各國加緊防范

■ 文 / 安 生

網絡安全事件具有系統性影響，將會是潛在的“黑天鵝”事件，對金融系統具有非常重要的影響。

網絡安全事件具有系統性影響，將會是潛在的“黑天鵝事件”，對金融系統具有非常重要的影響。

據英國廣播公司3月20日報道，英國政府宣布新的網絡安全中心成立，其首要任務將是與英國央行(Bank of England)合作，針對整個英國金融領域制定新的網絡安全標準，包括處理應對可能會影響英國經濟發展的網絡威脅。

2015年英國總理曾宣布成立該部門，現已改名為國家網絡安全中心。成立目的是為民眾提供英國專業的網絡知識。任命英國政府通訊總部的高級官員查蘭·馬丁(Ciaran Martin)為第一負責人，網絡安全技術總監伊恩·利維博士(Ian Levy)將成為該部門技術總監。

“我們需要建立一個一站式的服務點供政府內外的人們咨詢求助。”內閣辦公室部長馬修·漢考克(Matthew Hancock)向BBC新聞透露說他們將致力于成為英國信息安全方面的權威。

英國政府通訊總部是網絡安全方面的領導機構，但因為它是位于切爾滕納姆市的一個秘密情報服務中心，對外信息保密。新網絡安全中心旨在解決這一信息不透明的問題，應對當前民眾對于政府暗箱操作的質疑。

該中心不僅與監管機構如銀行合作，為私營部門提供咨詢服務。還將與其他政府部門，國家基礎設施部門，商界以及公眾合作。如果某部門或某項業務對國家來說具有潛在風險，信息安全中心更應涉身其中，這就是該中心的職能所在。在未來網絡漏洞事件處理中，它將成為起到至關重要作用的關鍵部門。

該部門的工作人員強調他們的職能就是保護國家免受網絡攻擊，做好準備應對處理任何網絡攻擊，并將犯罪人員繩之以法。該部門總部設立在倫敦，今年10月面向公眾開放。

面對如此嚴峻的金融網絡安全形勢，世界各國都在積極地采取防范及應對措施，以保障經濟的穩定發展。

金融網絡安全受到各國重視

2013年，韓國計劃對金融部門的網絡安全系統進行徹底檢查，保障這些部門在未來免受網絡攻擊的困擾，從而避免用戶敏感信息泄露。

韓國金融監督管理局(FSS)和其監督管理機構韓國金融服務委員會(FSC)，將為銀行、保險公司以及其他金融行業機構的在線網絡系統引入更為嚴格的監管規則。FSS和FSC計劃于2013年6月發布綜合措施，出臺的新措施會特別加大對金融行業機構最高層管理人員的監管力度。

根據相關法律，這些金融機構應將5%的員工名額分配到IT部門，并將這5%的員工中的5%用于網絡安全相關的工作崗位。同時，金融公司應將預算的7%用于在線網絡安全建設。韓國政府認為，金融機構普遍不遵守上述法律要求的原因是支出成本高昂。

2015年，外匯行業連續遭遇了幾起網絡攻擊事件。10月初，據相關媒體報道，美國領先外匯經紀商福匯（FXCM）成功處置了一起黑客攻擊事件，澳大利亞外匯經紀商IC Markets中招。接連的網絡安全問題讓投資者不安，對此，美國金融監管機構為提高信息系統安全發布了新監管規定。

美國全國期貨委員會（NFA）宣布將收緊所有成員，包括期貨傭金商、掉期交易商、介紹經紀商、外匯交易商成員、商品池運營商和商品交易顧問等的網絡安全要求。美國商品期貨交易委員會（CFTC）已經同意了NFA提交的信息系統安全項目（ISSP）。新規于2016年3月1日正式生效。

NFA列出了ISSP的部分要求如：使用復雜密碼和防火墻，安裝反病毒和反惡意程序的軟件等。新規要求，NFA成員必須采用并執行書面政策和流程，以確保客戶數據安全。書面ISSP政策必須獲得公司執行高管同意，其中要包括安全和風險分析、對已識別威脅和漏洞采取的保護措施、對安全性能的評估流程、對相關適用員工的信息系統安全教育和培訓工作等等。NFA還要求成員定期對信息系統安全進行監管和評審，以確保ISSP的有效性。

NFA表示，部分成員在2016年3月1日開始執行ISSP會感到很大的壓力，因此NFA將提供如額外的指導等資源上的幫助，以幫助成員盡快建立并實施ISSP。

2016年3月，針對互聯網快速突破帶動金融科技發展的現狀，中國香港金管局總裁陳德霖表示，網絡安全是金融科技發展的基石，中國香港金管局為此新成立“金融科技促進辦公室”，未來工作重點將包括為銀行制定網絡風險框架及模型、從業員培訓認證計劃，還將與銀行合作建立全新的情報共享平臺，同時推動有關“區塊鏈” (Block Chain)的技術應用研究。他強調，希望金融科技促進辦公室可推動業界發掘金融科技的應用潛力及風險，并將扮演業界與監管機構的溝通平臺，按照“風險為本，科技中立”的原則推動發展。

金融網絡安全是當前金融行業非常核心重要的問題。

陳德霖指出，隨著網絡科技的迅速發展，金融服務的方式發生了改變，例如：銀行服務由過去在分行內變為網絡銀行甚至手機的移動銀行，眾籌平臺甚至取代了銀行的中介角色，為小企業提供融資，不過，一再發生通過眾籌集資的公司清盤或不當使用資金，這表明面對金融科技發展，不能凡事都“管到盡”或“完全 不管”，必須有適當的監管。

2016年3月19日，中國人民銀行副行長易綱在“中國發展高層論壇2016年會”上，透露了G20國際金融架構工作組一致同意推進的五項改革內容，其中一項就是完善全球的金融安全網；包括各國在外匯儲備、雙邊互換、區域安排、全球安排四個層面加強協調，降低金融風險事件發生。

國內外金融機構主要面臨的網絡攻擊威脅

一是拒絕服務攻擊。這種攻擊使金融行業的門戶網站、交易網站無法為客戶提供正常服務，造成經濟損失，同時也使行業形象受到損害。

二是黑客入侵。一般是攻擊者利用黑客技術非法侵入機構的網絡系統，竊取、篡改各種數據、破壞系統運行，或進行有目的的金融犯罪活動。常見的攻擊場景舉例如下，(1)黑客利用對網站影響較大的漏洞，如，Stuts2命令執行漏洞，輕易攻陷網站服務器，獲取網站注冊用戶的帳號密碼和個人資料。(2)機構平臺受到大規模釣魚攻擊，大量客戶誘騙錄入用戶名、賬號、轉賬密碼等敏感信息造成資金損失。

三是蠕蟲、病毒攻擊。蠕蟲、病毒泛濫可能導致機構重要信息遭到損壞，或者導致機構網絡和信息系統癱瘓。以移動智能終端病毒為例，典型的攻擊場景舉例如下：(1)手機支付病毒植入機構手機客戶端再通過二次打包的方式把惡意代碼嵌入機構的APP程序，一旦被該病毒感染，會不經用戶允許私自下載軟件并安裝，危及用戶的帳號安全。(2) 攻擊者欺騙買家或賣家在手機上掃描二維碼查看訂單詳情或者打折優惠，被植入“驗證碼”大盜病毒，攻擊者會通過“驗證碼”大盜病毒截獲某些電商官方發送的相關驗證碼信息，通過重置電商支付帳號密碼，盜取資金。

金融網絡安全不容忽視，各部門要不斷加強在金融網絡方面的聯合審查和協同管理，從而保障廣大用戶的切身利益，推動金融行業以及全球經濟的健康有序發展。