先週、ロシアはウクライナを侵略しました。 米国とヨーロッパの政府は、ロシアの銀行に対する一連の痛ましい制裁、支払いのためのSWIFTメッセージングシステムへのアクセス、およびロシアの中央銀行の準備金の凍結で対応しました。
戦闘の激化に伴い、サイバー戦争のリスクが高まっています。 これは、世界の金融機関の回復力または脆弱性の問題を提起します。 アジアの銀行は最も脆弱かもしれません。
サイバー大混乱の脅威は、銀行のIT環境の大規模な変化に加えて発生します。 Covidのパンデミックでは、トレーダーやセールスマンが自宅で働いています。 商業銀行や消費者銀行にとっても、デジタル化の加速を余儀なくされており、その結果、管理が困難な大量のデータが作成されています。
バランスシートからデータへ
データ監視および管理会社であるロンドンを拠点とするITRSGroupのCEOであるGuyWarrenは、銀行業務のシステミックリスクが変化したと述べています。 2008年の金融危機後、規制当局は、資本準備金の要件の引き上げなど、バランスシートを保護するための規則を導入しました。
「次の大きな懸念は、ITセキュリティとデータの可用性です」と彼は言いました。 「以前はバランスシートが問題でしたが、今ではITのクラッシュやデータの盗難になっています。」
ITRSは、業界が懸念していることを示唆する305のグローバル銀行COOおよびCTOの調査を発表しました。 運用専門家の79%が、銀行がSLAまたはサービスレベル契約を維持することがますます困難になっていると述べていると報告しています。
ITの変化の速度が最も速かったアジアを拠点とする機関からの反応はさらに高かった。
データ津波
言い換えれば、銀行のCOOとCTOは、銀行が顧客への約束を確実に果たすために苦労しています。 しかし、これらの人々の88%は、予算が間違った優先順位になっていることも心配しています。ITの回復力を強化する作業ではなく、短期間のパッチです。
調査を見ると、「デジタルトランスフォーメーション」はデータ量の増加に重点を置いているため、銀行がリアルタイムでデータを分析したり保存したりする能力が圧倒的であることが懸念されているようです。 ITRSの報告によると、回答者の65%が、データの量が多すぎてリアルタイムで分析できないと答えています。
これはエラーにつながり、停止につながります。グローバルな機関の約半数が、年間24時間の計画外のダウンタイムを報告しています。 アジアを拠点とする回答者の21%は、ダウンタイムが長くなる可能性があると述べています。
規制反応
世界中の規制当局は、ITの問題を真剣に受け止め始めています。 英国は最高水準を設定しています。今年31月XNUMX日の時点で、政府は大手銀行の最高執行責任者、情報責任者、技術責任者に個人的に制度上の失敗の責任を負わせる予定です。 彼らは罰金を科され、業界から禁止され、さらには投獄される可能性があります。
ウォーレン氏によると、これは心を集中させ、銀行が停電に見舞われないようにすることを倍増させることです。
オーストラリアはそれほど進んでいませんが、Covidの発生によるボラティリティの中で、2020年XNUMX月のオーストラリア証券取引所での長期の停止を受けて、その証券レギュラーであるASICは規制を強化しています。 重要なことに、ASICはすべての取引所と市場参加者に共通のルールをもたらしました。
シンガポールは現在、世界標準に追いついています。 シンガポール金融管理局は、コビッドのパンデミックから引き出された最近のコンサルテーションペーパーを発行しました。 MASは、銀行がエンドツーエンドの可視性プロセスを実装することを要求する可能性が高いため、システムがダウンする前に潜在的な違反や障害を見つけることができます。
一方、香港金融管理局は、その要件が国際ガイドラインに沿っていると判断しましたが、銀行がこれらを実施するのを支援するためのガイダンスを発行する可能性があります。
デジタルトランスフォーメーションの減速?
ウォーレン氏によると、これらの機関はまだ個人の責任の一歩を踏み出していませんが、前例に目を光らせています。
銀行は情報セキュリティに重点を置くため、より厳格なルールはデジタルトランスフォーメーションのアジェンダにも影響を与えます。
ウォーレン氏によると、銀行ができる最善のことは、データの全体像を把握し、侵害を発見して報告する方法を知っていることです。
大銀行は、避けられないビジネスサイロのためにこれに苦労しています。IT担当者、サーバーを担当するネットワーキング担当者、クラウドベンダーを扱うチーム、および運用管理者は通常、他の人が何をしているのかを知ることができません。
銀行は、たとえば、一部のアクティビティをXNUMXつのデータセンターに集中させることで、この問題にすでに取り組んでいます。 これは当初はコスト削減の戦術でしたが、データを監視するための新しいInfoSecの必要性の一部になる可能性があります。
KYC:あなたのコードを知っている
銀行がレジリエンスに移行する場合は、フィンテック、ベンダー、オープンソースコミュニティとのインターフェース方法を再検討する必要があります。
デジタル化により、銀行はより多くのサードパーティに依存するようになりました。サービスとしてのソフトウェアビジネス、組み込みバンキングパートナー、勘定系技術ベンダー、クラウドプロバイダーです。 これらのいずれかがソフトウェアを危険にさらしている可能性があります。
「金融機関は他の企業の不安定さの複合体です」とウォーレンは言いました。 プロバイダーが停止した場合、それは銀行の業務にカスケードすることができます。
ロシアの政党による2020年のSolarWindsハッキングは、これがいかに恐ろしいものであるかを浮き彫りにします。SolarWindsは大企業で広く使用されているベンダーであり、ハッカーは独自のソフトウェアに侵入しました。 そのため、SolarWindsのソフトウェアを使用している人は誰でも実際に侵害され、ロシアのハッカーは自分たちのシステムにアクセスできました。
これは、企業を結びつけようとするブルートフォースハッキングやサービス拒否攻撃とは別の脅威です。 また、オープンソースコードも危険にさらされる可能性があるという脅威を引き起こします。
答えは、銀行がコードをスキャンして、場合によっては自分でコードを記述できるようにすることです。 もちろん、これには限界があります。銀行がテクノロジーベンダーなしで行くことはできず、オープンソースは独自のコミュニティの利益をもたらします。 しかし、銀行は重要な規制ベンダーやサイバーベンダーをより詳細に検討する可能性があります。
ウォーレン氏によると、バランスはサードパーティのコードベースをチェックできることと、停止を回避するのに十分な速さで問題に対応できることです。
ウクライナの侵略によりサイバー兵器が緩むリスクが高まっているため、規制当局の最近の動きが最後になるとは思わないでください。
