金融機構屢傳遭勒索軟體(ransomware)攻擊,嚴重干擾市場運作,甚至釀成系統性風險,負責金融監管的聯準會副主席巴爾(Michael S. Barr)17日呼籲,銀行業須做足資安準備,強化網路安全。
巴爾在波士頓召開的金融業網路風險評估會議上指出,過去幾個月來,有金融機構遭勒索軟體攻擊,擾亂其提供各式銀行和市場服務的能力,包括美國公債清算結算,以及與網路銀行、ATM業務連線。
去年11月,中國工商銀行(ICBC)在美國的子公司工銀金融,遭到全球最大勒索軟體駭客組織Lockbit攻擊,部份系統受到干擾服務中止,造成美國公債市場部分交易中斷,引發市場憂心26兆美元美債交易的流動性。
巴爾在講稿中提到,雖說這類網攻事件,在嚴重干擾市場前就及時解決,但也敲響警鐘,這些網路潛在風險,很可能產生更廣泛甚至是系統性風險,同時凸顯出應對這類風險的重要性。
巴爾強調,網路安全準備對銀行業來說日益重要,銀行須採取行動找出系統漏洞,趕在網攻發生前修補。光是著重網路防禦措施還不夠,重要的是銀行須聚焦遭到網攻後如何展現韌性,包括擬定維持業務計畫並定期測試。
巴爾表示,近年來銀行業對第三方服務供應商的依賴與日俱增,網路風險恐怕隨之加劇,銀行終究須擔負起管理第三方風險的責任。巴爾指出,具備評估網路風險的能力,有助銀行與監管機關,深入了解網攻干擾市場帶來的直接和間接成本。
巴爾去年10月在克里夫蘭聯邦準備銀行舉行的資安風險會議上警告,生成式AI爆紅崛起,可能給銀行業帶來網路安全風險。
他指出,利用生成式AI攻擊及靠生成式AI抵擋攻擊的軍備競賽,將在銀行業應運而生,因此金融機構有必要投資生成式AI來防範網路攻擊。