美联储报告指出金融行业面临的主要网络威胁

关键要点

美联储Federal Reserve Board在本月发布的“网络安全与金融系统韧性”报告中指出，勒索软件攻击、国家级渗透和第三方访问已成为对美国金融行业的主要IT安全威胁。

为了保持国家金融行业的稳定性，该报告分析了可能影响金融系统的各种因素。网络安全无疑是外界威胁金融体系时的首要关注点。在美联储自有的内部和监管努力之外，Fed还对其监管的金融公司进行各种合规性、人员配置、培训及部署的发展监督。

报告中提到，勒索软件被视为金融行业面临的重大持续威胁，特别是因为恶意行为者逐渐将其自动化，形成服务模式。

“像传统勒索软件一样，勒索软件即服务RaaS的担忧日益增加，其复杂程度、传播速度和归属难度也显著提高，”报告指出。“RaaS使威胁行为者能够创建“特许经营”威胁服务。复杂的威胁行为者将其软件的使用权许可给其他恶意行为者，通常收取赎金的一部分。”

另外，分布式拒绝服务DDoS攻击也被指出是美国银行业日益严重的问题。

“多年来，针对美国金融服务行业的DDoS攻击屡见不鲜，”报告中提到，“但缓解和保护服务通常能够防止或大大降低金融机构、第三方及其他组织的风险。”

乌克兰持续的暴力冲突也将影响美国金融行业的网络稳定性，而银行及其他金融机构使用的许多第三方的潜在访问也同样具有影响。

“地缘政治事件，比如俄罗斯入侵乌克兰，可能会导致网络攻击增加，从而影响包括金融服务行业在内的关键基础设施，”报告指出。

“威胁行为者能够渗透软件供应商，并利用被攻破供应商的软件来妨害其客户公司的能力，突显了与第三方供应商管理和自动软件更新常常相关的相互依赖性所带来的风险，”报告强调。“随着第三方软件，尤其是软件即服务在银行业变得日益普遍，这些风险倍增。”

作为国家最受尊重和重要的监管机构，美联储承担着重大责任以确保金融公司的稳定性。美联储主席常被视为与美国总统同等重要的角色，因为他对货币系统的控制。

因此，美联储在保持网络安全方面与其他美国金融监管机构的关系上变得更加积极。实际上，对于该国八大“全球系统重要性银行”，美联储正在与货币监理署OCC以及联邦存款保险公司FDIC更加紧密合作，以“进行和协调”网络审查。

根据最新报告，美联储建议改善“银行检查人员的人员配置、培训和资源”。报告概述了美联储建立良好的网络安全卫生实践和程序的总体措施，并列出了2021年美联储和跨机构的近期“行动”清单。

“美联储认识到金融系统面临的网络安全威胁的日益复杂和演变，”报告提到。“此外，美联储和[地区]储备银行通过强有力的网络安全风险管理程序来保护其内部信息和信息资产。”