网络风险管理： 重心转向治理 银行治理领导网络 银行治理领导网络 [Type here] 视点 网络风险管理：重心转向治理 “企业的对手换了一批又一批，但不变的是，总有些人对你虎视眈眈， 其中包括黑客、有组织犯罪乃至某些长期以来一直筹谋此道的国家。这 是一种动态的、不对称的风险。”——与会者 近年来，银行开始加大对网络风险的关注力度，大幅提高对网络安全的投资。尽 管如此，近期的一项风险专业人士调查显示，网络风险和数据安全仍是2017年的 首要操作风险关注点。1“网络威胁与日俱增。随便读一份报告，你就能看到 其影响。网络威胁不断变化，且越来越严重，”一位董事表示。事实上，国家 行为者篡改选举数据并组织攻击以银行为主的诸多公司等新闻头条屡见不鲜
2客户、投资者和监管机构都希望确保董事会了解相关风险，并竭尽所能确保 银行已经采取相关管控措施
银行治理领导网络在几个月的时间内举办了多次会议，包括2017年2月23日和3 月16日分别于纽约与伦敦举行的会议。与会者在会上分享了董事会和风险管理团 队在网络安全监督方面遇到的实际挑战。本期《视点》3总结了会上提出的观点与 理念，以及董事、高管人员及监管者和银行业专业人士之间近30次事先会谈内 容。参与讨论的人员名单见附录1。同期还发布了《视点》系列刊物《银行业转 型：非金融风险监督在技术和业务模式转型中不可或缺》，重点阐述了有关其他 非金融风险和转型议程管理的内容。从上述讨论中得出的重要主题与洞见概述见 以下各章节： 网络漏洞为风险管理和监督带来独特挑战 由于网络风险不断变化且数字化银行业务导致的漏洞与日俱增，网络安全仍是董 事会在风险监督方面面临的特别挑战。一位与会者指出，“所有大型金融机构都 已意识到自身在应对网络风险方面的弱势，并为此投入大量资源。我们与不同的 国家和国际机构密切合作。我认为我们已经竭尽所能了。”那么董事会如何才能 知道他们所采取的措施是否充分呢？一位高管提醒称，“在网络风险得到有效管 控之前，你的耐心就会耗尽……我们尚未做到有条不紊。” “在网络风险 得到有效 管控之前，你 的耐心就会 耗尽。” ——与会高管 [Type here] TAPESTRY NETWORKS, INC网站：WWW.TAPESTRYNETWORKS电话：+1781290 2270 银行治理领导网络 视点 银行治理领导网络 网络风险管理：重心转向治理2 设定风险容忍度 金融机构的领导者们普遍认为无法百分之百杜绝网络漏洞。他们中的很多人正在 尝试针对网络风险的各个方面设定风险偏好或容忍度。而此任务充满挑战。一位 董事表示，“我们的信息安全现状导致我们一直处于违反风险偏好的状态中。我 们并不清楚自己能否处理不断变化的威胁。尽管已经采取了一些措施，但我们一 直在违反自己的风险偏好，我们很清楚这一点。”一些董事询问如何才能确保采 取了适当的措施应对网络风险。一位董事承认，“除了表明正在研究整改项目之 外，你什么都做不了。”一位与会者表示，设定网络风险容忍度时面临的一项特 别挑战是“网络风险并不对称。坏人只要成功一次即可，而你却必须始终保持无 懈可击。”此外，一位与会者指出，“某些类型的威胁是无法减轻的。如果某个 国家特别针对你采用了先前未知的策略，那么你不得不面对。”这一挑战表明， 对于董事会和高管团队而言，了解所面临的风险范围、应采取的特定缓释措施以 及如何将风险和缓释措施与其风险偏好保持一致是多么重要
了解所需的投资 “如果你意识到无论如何都会发生网络攻击，你的风险容忍度就不可能为零，那 么问题来了，你愿意为此花费多少钱？答案是投资巨大，”一位与会者表示。另 一位与会者分享了一些历史背景：“许多大型银行在五年前就掌握了主要的网络 安全能力。他们为此投入了大量资金。尽管如此，仍存在许多数据漏洞。这是为 什么呢？因为这些能力并不成熟，而且是在孤立状态下实施的。我们发现，薄弱 环节大多出现在相互联通方面。这为网络攻击者提供了新的机会。”而这种持续 的脆弱导致的结果就是，很多董事会都认为其首席信息安全官（CISO）“总是告 诉我们，网络环境极其糟糕，我们需要大量投资，”一位与会者表示。一位高管 指出，“作为风险专业人士，我们必须为董事会提供更好的衡量进度的方法，否 则他们将失去耐心，”但他补充道，“眼下我们确实需要大量投资。不断要钱的 首席信息安全官也确实需要资金。”许多大型银行开始逐渐加大对相关工具的投 资力度，例如，自动化关联引擎，该工具可收集和消化不同来源提供的海量数 据，以预测、识别和响应网络攻击。4 尽管董事们因未能计量网络支出的有效性而受挫，但一位董事针对过于关注精确 计量的现象予以提醒：“我们需要牢记该项活动的总体目标，而不是过于关注 ‘我是否可以把投入的钱数与加强管控联系在一起？’” 管 “坏人只要成 功一次即可， 而你却必须 始终保持无懈 可击。” ——与会者 “……不断要 钱的首席信息 安全官确实 需要资金。” ——与会高管 银行治理领导网络 网络风险管理：重心转向治理3 识别威胁、修复漏洞 跟上网络威胁的变化步伐仍是一项艰巨挑战。董事们无需成为网络安全领域的专 家，但确实需要了解银行所面临的风险和适当的应对措施。专家们通过调查破坏 原因来区分威胁是来自破坏分子还是来自黑客；犯罪分子的目标是钱，通常会通 过勒索软件发起网络攻击；间谍的目标是知识产权；破坏分子的目标是造成实际 破坏；而消极怠工者是指那些只是懒惰和不遵守安全协议的员工。一位与会者表 示，“每个攻击者的动机都会让你采取不同的防御策略。” 一位与会者指出，让问题更加复杂的是：“网络攻击的成功不是一蹴而就的，而 是一个漫长的过程。”因为最终难免出现漏洞，因此管理网络风险并不仅仅是做 好防御，而是关乎“如何防御、应对和恢复，涉及整个周期。”包括审查系统备 份的结构设计方式和备份数据存储位置等措施。一位与会者指出，“大多数的网 络设计旨在鼓励交叉销售和便于用户使用，因此很容易入侵。”这意味着，银行 必须设法“拦截风险”，例如，在网络攻击者入侵公司网络后，通过“改变经济 活动，使网络攻击者取得成功的代价更高。”他们可能将虚假服务器作为诱饵， 或考虑如何在服务器之间使用防火墙。一位与会者提醒称，“网络攻击者很聪 明，他们会关注流程。他们甚至可能会先攻击备份数据。”与会者还关注数据的 存储位置和存储方式。一位董事表示，“由于我们鼓励创新，越来越多的人将数 据存放在首席信息官都不知道的地方。”随着越来越多的银行将数据迁移到云 端，董事应考虑云服务是私有的还是公有的，以及云服务处于哪个管辖区
系统威胁或许比个别银行漏洞更令人担忧。一位与会者指出：“许多大型网络攻 击之所以还未发生的原因在于，恐怖分子还没有真正转战网络。虽然某些国家已 经转向网络攻击，但阻止他们比较容易。恐怖分子的目标是发动恐怖行动。破坏 行动不难实施，但通过网络攻击发动恐怖行动却很难。但是这也只是时间问 题。”先进网络工具的市场需求不断增长，一些机构打出为最高竞标者提供精密 黑客工具的广告。同一与会者指出：“问题的关键并非缺少工具或能力不足，而 是缺少动机和缜密性。”一位与会者提醒称，犯罪分子“越来越热衷于攻击网络 基础设施本身。” 完善治理和监督 各家银行采取的网络风险监督方法不尽相同。一些银行让技术和风险委员会分担 董事会的主要责任。另一些银行则组建了专门关注网络安全的子级委员会。大多 数银行指定了一名负责网络弹性的首席信息安全官。然而，针对网络安全官的汇报 结构仍存在分歧。“有人认为该职位应向首席风险官汇报工作。当时我就在想，这 是什么逻辑？之所以会存在风险是因为信息技术问题。如果是我来确定汇报路径， 我一定会确保网络问题应汇报给首席信息官（CIO），”一位董事表示
“由于我们鼓 励创新，越来 越多的人将数 据存放在首席 信息官都不知 道的地方。” ——与会董事 银行治理领导网络 网络风险管理：重心转向治理4 与会者强调了他们认为能够提高董事会治理有效性的方法，包括： 了网络安全会构成文化挑战的原因：“人们很容易相信，采用更多技术手 段以及呼吁增强警觉性就可以解决计算机安全问题……这需要培养对计算 机安全问题极其重视的偏执态度，因为对于非科技企业来说，这种态度并 不是与生俱来的。”5近期的数据表明，近三分之二的网络漏洞归咎于员 工的疏忽或恶意行为，因此这一点尤为重要。6一位与会者提出这样一个 问题，“如何将弹性植入企业文化的DNA，从而让每位员工都了解自身行 为的后果？最终，人们应该将网络视为一项基本技能。并不是要求每个人 都要成为专家，而是要求每个人都需要具备情景感知能力。”另一位与会 者表示，“安全问题始终需要权衡取舍……我们的目标是将大家的思维模 式从关注不犯错，转变为充分调动所有员工，让每一个人都成为发现安全 问题的传感器。你无需要求所有员工都避免点击钓鱼网站链接；你只需要 有一名向你汇报问题的员工。”另一位与会者则重点关注控制和扩大风险 管理职责事宜：“将这些风险转化为有效的控制策略是其中一项挑战。把 责任分配给三道防线是驱动方向。而以前的情况并非如此。” 构，例如，组建专门委员会并引入网络安全顾问，或增加咨询委员会，考 虑如何最有效地划分委员会和董事会之间的监督职责。其他董事会则纳入 具有网络专业知识的董事。一位董事表示，“我们引入一名没有任何金融 机构从业经验的网络专家，因此，该专家需要反复了解业务运行方式。这 样做的价值在于，该专家能够与首席信息安全官顺畅交流。他们背景相 同，因此能够将沟通的内容有效传达给董事会。”然而，董事们也提醒不 要过度依赖董事会中的专家。一位董事表示，“不可能找到了解一切技术 发展问题的董事会成员，但重要的是找到可用的专家。” 知道每家银行都有首席信息安全官。所有人都认为他们重点关注网络安全 问题，但真正需要他们的时候，他们的表现往往令人失望，尤其是当网络 安全与机构优先事项相互矛盾的时候。”另一