日本金融厅发表关于金融行业网络安全的报告

日本金融厅(JFSA)日前发布了一份关于整个金融行业网络安全的报告。该报告基于JFSA《加强金融领域网络安全的政策途径》(Policy Approaches to Strengthen Cyber Security in the Financial Sector)，主要反映了2018计划年度确定的金融领域网络安全的现状和常见问题。

背景

随着数字化进程的加快，国际讨论的推进，2020年东京奥运会和残奥会在即，围绕金融机构的环境正在发生变化，因此，JFSA更新了《加强金融领域网络安全的政策途径(2018年10月版本)》。

关键的政策途径包括：(1)对于不断加速的数字化的反应，(2)对国际讨论的贡献和回应，(3)对2020年东京奥运会和残奥会的反应，(4)金融机构网络安全管理系统的加强，(5)信息共享框架的改善，(6)金融行业人力资源开发的加强。

对于根据《政策途径》所采取的措施，JFSA已发表一份报告，详述所发现的情况和常见的问题等。

关键点

√ 对不断加速的数字化的反应

大型金融机构正越来越多地使用新技术，尤其是云服务和机器人流程自动化(RPA)，并正在获取专业知识，聘请专家以确保适当的风险管理。它们还根据现有网络安全框架实施安全措施。

鉴于数字化的发展趋势导致对外部供应商的依赖日益增加，因此，制定适当的措施来涵盖外包至关重要。此外，预先防范所有类型的网络攻击是困难的，因此，更重要的是采取措施，假设入侵将会发生。重要的是，不仅要进行信息资产评估、风险评估、机构入口/内部/出口控制(多层防御)，还要加强监测和检测功能、建立包含重要的第三方在内的企业连续性规划(Business Continuity Planning)，并通过演习和训练加强其有效性。

√ 对国际讨论的贡献和回应

制定并发布了“威胁导向渗透测试”(threat-led penetration testing，简称“TLPT”)和“第三方网络风险管理”(third-party cyber-risk management)的基本要素。(2018年10月)

参加了G7的跨境联合演习。从演习中获得的见解和教训将用于未来的国内和海外行动。

√ 有关2020年东京奥运会和残奥会的应对措施

关于在2020年东京奥运会前发生重大事件时的合作，至关重要的是，公共和私人组织通过联络委员会(liaison council)共享合作程序，并通过演习确认其有效性。

√ 金融机构网络安全管理系统的加强

· 常规网络安全对策

地方银行一直在以独立行动加强措施，高级主管已参与制定行动计划。然而，它们之中只有一部分在有意识地采取漏洞扫描等步骤。

大多数信用社/信用合作社已完成风险评估及应急计划的制定。今后，它们必须根据风险评估采取措施。

日本三大银行(三菱日联、瑞穗、三井住友)已为其自身组织制订行动计划以应对最新的海外趋势，并正逐步提高业务水平。面对网络攻击等日益复杂和微妙的国际变化，预计它们将进一步提高其企业集团和全球业务统一治理结构的复杂性。

日本其它的大型金融机构亦不断加强基于风险评估的网络安全准备。尽管如此，它们仍有改进其企业集团和全球业务统一管理结构的余地。

· 突发事件应对

多数金融机构已修订应急计划，采取措施加强内部和外部信息共享，并通过开展演习改善了准备工作。然而，问题仍然存在，它们与第三方的合作以及在应对事件时与客户的沟通不足，此外它们还没有获得处理应急事件所需的专家人员。因此，它们需要增强应对突发事件的能力。

通过参加联合演习，国家金融系统作为一个整体应对重大事件的能力得到了提高。然而，TLPT的深度需要进一步增加，例如可以通过“威胁情报”(threat intelligence)的使用。

√ 信息共享框架的改善

金融服务信息共享与分析中心(FS-ISAC)成员的数量稳步增长。特别是最近推出的试用会员计划成为了众多金融机构走向“互助”(mutual help)参与的第一步。

关于金融信息服务中心(FISC)主办的研讨会，人们对网络安全的兴趣和“互助”意识在一定程度上有所增强，例如，信用社/信用合作社的数量以及参与其中的地区性证券公司的数量都有所增加。另一方面，有些地区的参与率极低，因此“互助”意识方面存在很大差异。

√ 金融行业人力资源开发的加强

地方财政局(Local Finance Bureaus)组织了研讨会和讲习班，提高高级管理人员的认识。展望未来，重要的是将这类举措推广到其它地区。

在2020年东京奥运会的筹备阶段，高管们应发挥领导作用，将网络安全相关风险视为重大商业风险和企业风险，并采取行动加以应对。

日本金融厅未来的行动

随着数字化进程的推进，金融领域周边环境正在发生快速变化，金融机构的业务模式正在发生变革，被称为“平台方”(platformers)的非金融参与者进入了金融领域。随着网络攻击变得越来越复杂和老练，2020年东京奥运会和残奥会等国际活动的临近，为了进一步加强整个金融领域的网络安全，日本金融厅重点采取以下行动：

√ 应对数字化发展的行动

日本金融厅将根据金融机构的规模和特点，采取措施了解金融机构数字化的进展情况。日本金融厅还将积极收集各种实体(包括非金融机构)的信息，并积极鼓励金融业采取一切必要措施确保网络安全。

√ 应对2020年东京奥运会和残奥会的行动

在2020年东京奥运会和残奥会准备阶段，日本金融厅将通过网络安全评估、对话等方式加强金融机构的网络安全，并通过漏洞扫描、TLPT、演习等手段提高网络安全的有效性。

通过网络安全利益相关者联络委员会(Liaison Council for Cybersecurity Stakeholders)等渠道，日本金融厅将与FS-ISAC、FISC等合作，加强应对金融领域大规模事件的准备。

本文翻译为外汇天眼提供，原文出自日本金融厅官网