金融部门处理威胁的经验对网络安全领域的任何人都有启发——没有什么可以替代提前摆脱潜在的风险和问题。

从狂野西部的银行劫匪到勒索软件即服务 (RaaS)，全球金融生态系统面临的威胁多年来发生了巨大变化。技术进步带动了金融业的快速发展，从现金交易到数字钱包、嵌入式金融和开放银行。

但他们也使复杂的技术工具民主化，使威胁行为者更便宜、更容易使用它们。

对于金融公司来说，新兴的威胁领域充满活力。我们已经全力以赴，确保面对自然灾害、地缘政治变化和公众信心丧失时的运营弹性。

现在，由于可以轻松接触犯罪“服务提供商”，任何心怀怨恨或有议程的团体都可以摧毁一家企业，甚至危及整个行业。他们甚至不需要这方面的技术专业知识，他们可以支付象征性的费用来利用“即服务”提供商以工厂生产线的效率进行攻击。

在此背景下，世界各地的金融监管机构都强调需要建立运营弹性以维持金融部门的稳定。这一点从欧盟《数字运营弹性法案》 (DORA)、英国央行 (BoE)、审慎监管局 (PRA) 和英国金融行为监管局 (FCA) 制定的运营弹性框架以及更新后的《数字运营弹性法案》中可以明显看出以及新加坡金融管理局 (MAS) 的业务连续性准则。

那么，当意外发生时，金融部门如何确保运营弹性——应对、继续运营、恢复和学习的能力？

这一切都归结为采取主动而非被动的方法。

为什么要采用主动的安全方法？

运营弹性不仅仅是通过在发生中断时减轻中断来确保业务连续性。无论威胁事件的严重程度如何，弹性都需要采取主动的方法来维护稳定可靠的数字系统。金融体系的这种“银行可融资性”（请原谅双关语）对于维护公众对全球金融体系的信任和信心至关重要。

鉴于金融公司与外部第三方的相互联系，任何运营弹性计划都需要解决多条通信线路、交互和信息共享的自动化系统以及不断增长的攻击面。

以下是制定积极主动的弹性计划的步骤：

识别潜在风险

首先绘制您在整个行业中的足迹，包括互连、信息流、连续性要求以及当前网络安全战略中的差距。了解您的内部和外部依赖性。并确定关键操作的可接受的中断水平，以全面了解您抵抗、适应、吸收威胁和/或从威胁中恢复的能力。

制定应对计划

与内外部各方建立高效的沟通渠道。确保每个相关人员都能随时随地轻松访问相关信息。并将您的响应计划建立在基于零信任的第三方连接的基础上，以确保供应商的访问具有时间限制和有限。

利用过去的威胁和练习中的经验教训来了解所需的程序标准。确定组织内将实施该计划的人员和团队，并明确定义他们对破坏性事件的角色和责任。

随着金融公司越来越依赖第三方应用程序和软件，我们预计软件物料清单(SBOM) 将成为安全不可或缺的一部分。事实上，Gartner 估计，到 2025 年，全球 45% 的组织的软件供应链将遭受过攻击，这一数字比 2021 年增加了三倍。

做好行动准备

参加练习，通过建立肌肉记忆来加强反应准备。练习有助于培训您的团队执行弹性计划，以便在事件发生时可以立即部署该计划。这种肌肉记忆有助于减少恐慌、缩短响应时间、防止临时决策并提高危机期间的响应效率。

与包括政府机构在内的外部合作伙伴合作开展演习，以测试应对准备情况，突出内部和外部联系，并找出政策和程序中的差距。

期待意想不到的事情

金融部门对电信和能源行业的依赖，以及该行业日益全球化的性质，意味着运营弹性演习不仅需要跨境，而且还需要跨部门。如今，国家甚至全球层面的威胁已成为现实，这凸显了政府合作伙伴参与演习的必要性。毕竟，保护关键的私人基础设施可以保障国家的金融稳定。

演习还可以在不同层面进行：部门、组织、部门、跨部门（包括公共/私人合作伙伴）和跨境。另外，它们可以有不同的类型。虽然桌面练习有助于讨论和最终确定主动计划的关键步骤，但需要实际技术模拟的键盘实践练习可以建立前面提到的肌肉记忆。

自 2010 年以来，北约每年组织一次“锁定盾牌”演习，这是实践演习的一个引人注目的例子。这些练习中模拟的威胁来自现实生活场景。最近的威胁用于预测它们在未来如何升级或转变为合法的风险事件。

Locked Shields 2022 包括来自 33 个国家金融部门的公共和私人实体，并模拟了对一个假国家的大规模网络攻击。它增强了抵御此类攻击的能力。

演习强调了如何针对金融部门来削弱一个国家应对危机的能力。它们还帮助制定积极主动的战略，支持政府和金融公司应对未来的威胁，同时确保重大事件期间沟通和协调渠道的无缝运作。操作风险不再受地域限制。

当威胁行为者通过复杂的供应链进行攻击时，我们的防御也需要同样全球化。这可以通过跨境情报共享和演练来实现，从而使金融组织能够制定全面的运营弹性战略。