2021年1月18日,新加坡金融管理局(MAS)發布《技術風險管理指南(修訂版)》(Technology Risk Management Guidelines ),希望能夠跟上新興技術和網絡威脅領域的快速變化。
隨著金融機構對雲技術、API的應用不斷增加、軟件開發環境的不斷加速,本次修訂的《指南》進一步強調了將安全控制納入金融機構技術開發、産品交付以及新興技術部署中的重要性。
最近發生在供應鏈上的一系列網絡攻擊,通過利用廣泛使用的網絡管理軟件來針對多個IT服務提供商,這清楚地表明了網絡威脅環境的惡化。因此,《指南》爲金融機構設定了以下風險緩解策略,包括:
- 建立健全流程,以便在金融生態系統內及時分析和共享網絡威脅情報;
- 進行網絡演習,以使金融機構通過模擬現實世界攻擊者使用的攻擊策略、技術和程序來壓力測試其網絡防禦能力。
鑒于金融機構對第三方服務提供商的依賴性越來越強,《指南》要求金融機構對與第三方服務提供商開展的合作進行嚴格監督,確保系統彈性、保持數據機密性和完整性。
此外,《指南》也針對董事會和高級管理層的角色和職責提供了額外的指導意見,包括:
- 董事會和高級管理層應確保任命具有必要經驗和專業知識的首席信息官和首席信息安全官,並對管理技術和網絡風險負責;
- 董事會應包括具有相關知識的成員,以對技術和網絡風險進行有效監督。
MAS首席網絡安全官Tan Yeow Seng先生說:
“如今,技術爲大多數金融服務提供基礎支持。金融機構不僅在采用新技術,而且也越來越依賴第三方服務提供商。通過修訂後的《指南》,MAS在金融機構的技術風險治理和安全控制方面提出了更高的期望。”