新闻稿

如何制定战略适应不断演进的合规条例-金融行业篇

2024年国家网络安全宣传周于9月9日至15日在全国范围举行,标志着为期一周的全国性网络安全宣传活动已正式拉开帷幕。随着信息技术的快速发展和互联网的普及,网络安全已经成为国家安全、经济发展、社会稳定以及个人隐私保护的重要基石。

在金融行业,各机构均持有大量敏感的客户数据和交易信息。因此,网络安全对于保护这些数据、防止金融欺诈和维护市场信任至关重要。金融机构需要遵守严格的法规条例要求,并采取先进的安全措施来抵御网络攻击。

对于金融服务业的企业来说,数据从未像现在这样重要。如若能够有效地利用数据,则可以为企业带来更高的利润、更强的生产力和更好的客户服务。然而,如果无法及时、准确的访问数据或数据遭到有意或无意的破坏,其带来的负面声誉和业务影响也是灾难性的。我们在近期的全球 IT 故障事件中就看到了这一点,全球许多企业客户的业务运行都曾受其影响。

企业在了解数据的宝贵性以外,也要认识到它们的脆弱性。对于那些担心自己的数据被窃取的金融服务公司来说,企业数据对网络犯罪分子们是一个极具吸引力的攻击目标。事实上,根据网络安全公司 Sophos 的一份报告显示,去年勒索软件攻击影响了五分之三的金融服务企业(占比64%)。这些企业处理的私人数据和敏感数据的数量惊人。因此,攻击可能造成的损害是一种高风险情况。

金融服务行业因其数据的敏感性,促使新法规定期出台。这些法规有助于降低风险,减少业务影响。对于任何行业而言,遵守新法规都是企业合规的关键要求,在确保数据安全方面尤为重要。

全球视野下的合规转型

在不同的国家和区域,各种保护用户数据的条例法规早已密集出台,金融服务业正面临向更为积极主动的风险管理模式转型的迫切需求。我们比较熟悉的条例法规包括 《通用数据保护条例》 (GDPR)、《数字运营韧性法案》(DORA)、《关键实体韧性法案Critical Entities Resiliency》(CER)、《网络和信息安全指令》(NIS2),以及国内的 《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》,这些法律法规均强调了企业需要实施管控措施满足监管要求,提高网络恢复能力,并对违规行为进行处罚。

不同区域的法规各异,这对在全球范围内运营的企业数据管理带来更多挑战。以在欧盟地区运营的金融企业为例,近来备受关注的《数字运营韧性法案》(DORA)为企业设置了新的合规门槛。DORA于 2023 年 1 月生效,目标是加强金融市场的网络韧性。法案要求欧盟所有金融机构预计于明年 1 月前达到合规要求,包括银行、保险公司、第三方支付和信贷机构、以及服务提供商。因此,留给企业调整的时间非常紧迫。

DORA 的目标是提高金融服务业日益增长的国际互联数字基础设施的网络韧性。企业必须集中精力制定数字韧性战略和框架。事实上,“恢复 ”一词在该法规的 64 个条款中出现了 60 次。由此可见,高效的备份解决方案对于 DORA 合规性的重要性。

对于金融服务行业的企业而言,DORA 的实施规划过程应该已经开始。但是,对于那些滞后的组织,则需立即启动内部 DORA 合规流程。涵盖关键步骤:范围界定、GAP 分析、流程验证和报告验证,以全面应对合规挑战。

主动报告的重要性

金融服务机构需要制定全面的应对策略,并进行例行测试、实践和与所有相关方共享。只有这样,他们才能做好应对突发事件的准备,并能迅速采取行动,保证业务连续性。

例如,NIS2 要求制定具体的事故报告和通信规定。它还强调了经过认证的安全供应链对保护数字生态系统的重要性。不遵守规定的企业最高可被处以收入 2% 的罚款。

新的关键实体韧性法案Critical Entities Resiliency(CER)标准是为支持网络安全计划而专门制定的,对于包括金融业在内的受监管行业来说是一项重大合规要求。如果出现任何违规行为,所有重要组织和机构都必须通知当局,否则将面临严厉的经济处罚。

通过备份数据推进合规运营

需要在欧盟运营的企业还必须证明,他们有能力按照 DORA 的规定,将备份恢复到与源头分离的物理和逻辑位置;同时,备份数据还须受到安全保护,以防降级、篡改和未经授权的访问(不可变)。

由于备份系统是攻击者最有可能攻击的目标之一,因此受 DORA 监管的实体必须能够证明采取了哪些保障措施。金融服务机构应使用已满足该行业严格要求的解决方案,以便在审计时能够及时提供合规文档,以证明其安全防护的完善性与有效性。

合规带来的经济效益

对于那些不受这些当前和即将发布的指令约束的金融服务机构来说,现在还不是放松警惕的时候。网络攻击每天都在发生,而且只会越来越严重并更加频繁。企业满足最低合规要求并不意味着你就安全了。

我们可以从 DORA 的条款中吸取教训。作为一项重要的监管要求,该指令的规模和重要性可以生动地描绘出金融服务业当前的运行状况。通过将其付诸实践,企业将大大提高其网络韧性及恢复能力,并确保敏感的金融服务数据得到更好的保护,免受不良行为者的侵害。因此,投资于积极主动的合规战略可使金融服务公司在新型数字化浪潮中保持竞争优势。