網絡安全對銀行審查員來説是一項過於重要的工作——彭博社

The Editorial Board

2025-06-11

小心。

攝影師：Ken Nishimura/Bloomberg

網絡攻擊是美國金融體系面臨的首要且日益嚴重的威脅。對此，高管們和監管機構都表示認同。但具體應對措施仍不明確。

保護銀行的任務艱鉅。大型銀行每年投入數十億美元抵禦來自中國、朝鮮、伊朗和俄羅斯日益複雜的黑客攻擊。這需要監控眾多客户、交易對手和供應商的漏洞——包括軟件公司以及電話和互聯網服務提供商。

銀行風險管理者將黑客視為最大威脅

來源：2024年美聯儲金融服務調查

注：數據來自使用美聯儲支付服務的360多家美國金融機構。

頗具諷刺意味的是，這還意味着要盯緊聯邦監管機構。4月，負責監管大型銀行的貨幣監理署向國會通報，黑客入侵其電子郵件系統，獲取了關於所監管機構的"高度敏感信息"。（貨幣監理署花了兩個月才披露入侵細節——攻擊者利用漏洞監控了103個郵箱賬户長達一年以上。）

銀行迅速暫停或改道了與該機構的通信，貨幣監理署則致力於發現漏洞並加強其安全性。但更根本的是需要對行業監管進行重新思考。

幾十年來，貨幣監理署、聯邦存款保險公司和美聯儲的銀行審查員一直試圖跟上他們所監管公司不斷發展的技術。但聯邦招聘規則——以及普遍缺乏競爭力的工資——使得難以吸引具備該職位所需尖端技能的員工。

因此，來自多個機構的審查員最終只能費力地處理源自聯邦手冊的問題和清單，向銀行索取大量數據——通常格式相互衝突——這些數據更側重於治理而非技術能力。總的來説，這浪費了每個人的時間：一項行業調查發現，大型銀行的首席信息安全官花費多達一半的時間管理與審查員的關係和合規請求。

一個顯而易見的解決方案是更好地協調這些工作。事實上，大型銀行近年來與監管機構合作，創建了一個統一的跨機構審查——結果卻被告知，為期數週的密集審查只會增加他們的其他合規負擔，而不是取代它們。

需要更徹底的變革。首先，網絡安全不應由銀行審查員負責，他們應繼續專注於行業的金融和商業風險。

相反，政府應組建一支由經驗豐富且高薪的網絡安全專業人員組成的聯合工作組，取代現有法規和監管，與銀行合作監控新興威脅和技術。他們還可負責設計威脅檢測演練，或許可借鑑英格蘭銀行制定的CBEST測試，要求銀行接受模擬黑客入侵測試以識別真實漏洞。隨後政府應協助提供修復漏洞所需的資源和建議。

此外，政府應重視業界的呼籲，確保監管機構採用與其監管企業相同的安全、數據保護和事件通知標準。

或許有人會為現行制度辯護——過去十年間即便大型銀行遭遇嚴重漏洞，該系統仍屹立不倒。但這一紀錄主要歸功於銀行自身在加強數字防禦方面的大量投入。若不進行改革，聯邦合規負擔很可能會危及這些進展。

更多來自彭博觀點的內容：

想要更多彭博觀點？輸入OPIN <GO>。網頁讀者請點擊此處。或訂閲我們的每日新聞簡報。