塑造网络安全和数字信任的未来 塑造金融和货币系统的未来网络弹性系统：安全可信的金融科技2020 年 7 月 2网络弹性系统：安全可信的金融科技世界经济论坛 91-93 route de la Capite CH-1223 Cologny/Geneva 瑞士电话：41 (0)22 869 1212传真：41 (0)22 786 2744电子邮件：contact@weforum.org www.weforum.org© 2020 世界经济论坛。版权所有。本出版物的任何部分均不得以任何形式或由任何手段，包括影印和记录，或通过任何信息存储和检索系统。 网络弹性系统：安全可靠金融科技3内容简介：世界经济论坛金融科技网络安全联盟61.2.网络弹性系统：为金融（生态）系统建立网络弹性控制 103.创建弹性系统：通用网络安全控制和评估 134.方法 145.选择基础级框架的标准 156.候选框架 187.互联网安全中心 20 大关键安全控制 198.金融服务网络安全概况 219. 结论 2510.附录 1：CIS CSC 20 与基本控制标准 2611.附录 2：FSC 配置文件与基本控制标准 3012.附录 3：行业和公私合作倡议的作用 32 4网络弹性系统：安全可信的金融科技前言马修·布莱克塑造金融和货币系统未来的平台负责人Daniel Dobrygowski 世界经济论坛公司治理和数字信任主管阿德里安·艾伦Coinbase 安全 GRC 和隐私总监网络风险具有普遍性、系统性和全球性。在金融服务行业，降低这种风险变得越来越困难，因为金融服务的模块化将网络安全成熟度水平差异很大的组织联系在一起。因此，任何一家公司都很难理解攻击者如何在供应链中横向移动。鉴于参与者之间的利益和优先事项存在分歧，为确保全球金融体系的完整性，有必要制定一个部门范围的网络安全基线。至关重要的一步建立此基线是为了让金融技术 (FinTech) 公司履行其对系统弹性的义务。金融科技公司必须以可衡量和可证明的方式保护自己和客户，但它们经常面临分散的法规和有限的资源，并且在缺乏熟练专业知识的市场中运营。该联盟通过支持框架的扩展和采用来帮助提高金融科技的网络安全水平，这些框架为金融科技提供清晰和可实现的网络安全指南，以增强金融科技的安全性。更广泛的金融服务供应链。更重要的是，这项工作是朝着建立持久伙伴关系迈出的重要一步，这将提高全球金融体系的网络安全和弹性。其他组织 - 包括由世界经济论坛支持的网络风险研究所和降低网络风险联盟 - 将把该小组的建议推进到全球金融部门的实施中。币库大型跨国金融服务组织和金融科技公司有着独特的合作伙伴关系。它们相互提供服务并为相似的客户提供服务，与相同的监管机构进行沟通，因此具有高度相互关联的网络风险。尽管如此，第三方尽职调查方法和网络风险管理活动的优先级也存在显着差异。这可能会使金融科技公司无法遵守第三方尽职调查要求或金融监管要求，并且成本过高。金融科技网络安全联盟通过提供一个协作论坛来评估现有的网络风险框架并汇聚在一个“入口”上，从而解决了这一挑战。金融科技实现基线风险态势。该建议是一项令人兴奋的认可，它使金融科技公司能够将资源集中在影响最大的活动上，以帮助实现基线和有效地传达风险成熟度。 网络弹性系统：安全可靠金融科技5亚当·萨默万事达卡行业标准副总裁吉姆·马洛尼社会金融（SoFi）首席安全和隐私官，世界经济论坛专家网络成员苏尼尔·塞沙德里Visa高级副总裁兼首席信息安全官万事达金融科技在数字化转型中发挥着重要作用，让我们的生活更简单、更方便、更有价值。金融科技要可持续地扩大规模，就需要集体合作。然而，如果没有适当的网络协议，金融科技就无法实现影响力和规模化。协作至关重要——共享专业知识、定义标准并在保护环境方面发挥主导作用。金融科技网络安全联盟使金融科技能够负责任地创新、保护数字生态系统、将安全性与消费者体验保持一致并降低风险。在万事达卡，安全和安保是我们业务的每个部分以及我们支持的技术平台和服务的基本原则。作为我们的数字环境随着我们对它的依赖而扩展，我们对网络安全的期望需要不断地考虑和完善。网络安全绝不能成为事后的想法。索菲金融科技可以成为金融服务行业创新的宝贵来源，但前提是这些创新可以通过满足行业和监管要求的安全控制来交付。本文档中描述的工作旨在为金融科技公司提供指导，使他们走上可在业务的早期阶段应用的强大安全计划的道路上。作为专注于技术的提供者和消费者在金融服务方面，SoFi 发现本文描述的方法是参与这一关键行业的关键推动力。签证金融科技创新带来巨大的经济和社会效益，将无银行账户和银行账户不足的人群与数字经济联系起来，促进小企业增长，并以新的和令人兴奋的方式赋予消费者权力。随着大型金融服务组织越来越多地寻求与金融科技公司合作，成熟公司和年轻金融科技公司之间的安全能力差距可能会给合作带来真正的挑战。在Visa，我们对安全的承诺是坚定不移的。这包括我们有责任通过鼓励最佳实践和分享相关见解来帮助保护更广泛的支付生态系统。世界经济论坛金融科技网络安全联盟的工作将为帮助新公司开发安全、面向市场的解决方案提供有价值的第一步。 6网络弹性系统：安全可信的金融科技简介：世界经济论坛金融科技网络安全联盟FinTech Cybersecurity Consortium 成立于 2018 年。其目的是促进对一个充满活力且不断增长的全球金融生态系统的合理保护，该生态系统由具有高度网络安全成熟度的成熟组织和快速开发和提供新兴技术的金融科技公司组成。金融系统中每个参与者的安全要求各不相同，坐在一个连续统一体取决于公司经营所在的国家、它提供的服务、它的目标客户以及它对市场其他参与者的影响。这使得为小型公司提供指导以将网络弹性融入其业务和增长计划变得困难。联盟成员问，不太成熟的金融科技公司如何与非常成熟的组织建立联系，同时保持各方都理解、接受和可管理的网络安全风险水平？该财团认为，为了更广泛的金融系统的安全，金融科技公司需要加速获得识别网络安全风险的方法，并采取必要的实际步骤来减轻这些风险。这些方法应该是可扩展的，我们的意思是它们可以跨境应用，以便金融科技可以使用公认的网络安全最佳实践来促进进入新市场并在扩展时安全地发展。金融科技网络安全联盟将简化金融科技的基线网络安全要求确定为一个重要的起点。该联盟已经确定了共同的最低网络安全标准和控制标准，这些标准将获得全球系统性金融机构、金融科技公司、政府和主要监管机构的同意。该联盟的建议支持扩展和采用框架，为金融科技提供明确和可操作的网络安全指南，以增强更广泛的金融服务供应链的安全性。图 1 – 网络安全控制框架对整个金融生态系统的好处一个确保双赢结果的通用框架，包括对利益的理解和表达 网络弹性系统：安全可靠金融科技71.执行摘要1.1网络弹性系统：金融科技安全控制和评估世界经济论坛 2020 年全球风险报告1 就可能性和影响而言，再次将网络威胁列为社会和经济面临的最重大风险之一。金融服务部门仍然是网络攻击的首选和高价值目标。金融服务变得更加模块化和分布式，服务提供涉及多方。这通常有利于消费者，但它大大增加了网络攻击者可用的目标数量。客户数据和资产现在分布在多个平台和提供商中。风险级别、安全要求和安全能力因组织而异。这种混合要求使该行业需要相互理解和广泛接受的网络安全控制基础水平。基本安全级别的明确性将支持在更广泛的供应链中有效保护业务和客户资产。这将在市场上资源最少的公司中促进良好的网络卫生和网络安全技术，提高整个金融系统的网络弹性。有效的网络安全可以减少网络攻击对商业运营的影响，降低客户损失的频率和水平，对于维持消费者对更广泛金融体系的信任至关重要。1.2金融科技金融科技（FinTech）公司是加速创新驱动的重要来源金融服务业的改善。成熟的金融服务提供商希望与创新的新金融科技公司快速、安全地合作。监管机构和中央银行也有同样的意图，他们认为新进入者和老牌供应商之间的商业联系对公民和更广泛的经济都有好处。金融科技公司需要强大的商业伙伴关系才能生存和发展。然而，金融服务的模块化将网络安全成熟度水平差异很大的组织联系起来。这使网络安全风险管理变得复杂。金融科技公司可以采取许多方法来确保自己的网络安全。然而，哪些控制框架允许金融科技公司保护其资产、与老牌公司建立可信赖的商业伙伴关系并确保遵守其运营所在司法管辖区的相关法规，并不总是很清楚。成熟的金融服务提供商有许多框架、标准和行业驱动的计划，他们可以根据这些框架、标准和行业驱动计划进行测试金融科技公司和其他第三方的安全。然而，在技术变革步伐和法规倍增的推动下，行业举措的数量正在产生“噪音”，这使得金融科技公司难以以一种既能保证安全又能促进最大数量的方式引导其资源的商业伙伴关系。通常情况下，这些网络安全标准和框架旨在实现相同的安全目标，并且在形式和语言上大多不同。这导致金融科技和成熟的公司，需要证明其遵守不同司法管辖区形式略有不同但目标大致相同的法规。 8网络弹性系统：安全可信的金融科技1.3激励安全商业激励对安全很重要。建立强大的网络安全架构对于依赖阻止甚至一次网络攻击的新上市组织非常重要以维护商业信誉。但是，这可能部署起来成本高昂，需要大量时间才能完成，并且随着网络安全的不断发展，可能会使公司受制于网络安全的早期决策。由于金融科技创始人倾向于平衡许多业务需求，他们可能不一定会在产品和服务开发中优先考虑安全问题。这可能会导致与安全相关的技术债务，而这些债务在以后处理起来既困难又昂贵。如果为信息安全团队提供工具来清楚地解释他们的行为如何保护业务资产和促进商业伙伴关系，则执行团队更有可能理解并优先考虑安全，使其成为公司业务增长计划的核心部分。执行网络安全控制也可能更适合每个特定业务的需求，因此更有效。1.4挑战：碎片化在政府当局尚未协调和统一跨境规则和法规的发展之际，金融科技正在进入金融体系，尽管网络威胁是一种国际化威胁。与此同时，金融服务变得越来越专业化，导致行业分裂为子行业，这些子行业就安全标准和实施制定自己的建议。老牌公司正在调整他们的尽职调查要求，以更好地保护自己和客户。私营部门在金融科技公司应实施哪些基准标准、应如何实施以及应如何证明方面缺乏连贯性，这使得金融科技公司难以运用其资源以理性的方式。没错，没有人愿意在网络安全标准上妥协。所有人都认识到，当前要求的变化和重复水平是不可持续的，从而推高了合规成本，却始终无法提高运营安全性。 网络弹性系统：安全可靠金融科技91.5建立在坚实的基础上金融科技网络安全联盟于 2018 年成立，旨在通过建立共同的最低网络安全标准和控制标准来简化金融科技的基线网络安全要求。这些标准将适用于所有市场活动，并且与评估标准相结合，将根据所提供的服务提供通往更专业安全的途径。这并没有设想创建一个新的标准。财团进入了一个有很多好的工作可以发展的市场。已经有几个被广泛接受的网络安全标准，2 越来越多的具有跨境影响的法规，3指导方针，4能力建设工具包，5评估认证6和跨行业努力简化或更有效地管理这给老牌公司和新市场进入者带来的负担。7 理想的方法是审查、采用和增强一些高度“可移植”的标准，而不是开发另一个标准。这些努力都有价值，但活动的数量讲述了自己的故事。尽管努力简化它，网络安全本质上是复杂的。两者之间存在天然差异公司提供的服务、规模、资源和网络安全成熟度水平。因此，金融科技公司可能不会遵循完美且始终相关的指导方针。尽管如此，联盟成员看到了确定一组通用安全控制基线的可能性在所有金融科技领域，定义基本的网络安全“卫生”并有效降低网络安全风险。通过其工作，联盟得出结论，简化和合理化现有标准是不够的。提供有关如何实施特定控制的建议虽然受到许多金融科技公司的欢迎，但很有必要，但也不够，因为优先事项将取决于每家金融科技提供的服务及其在更广泛的金融服务生态系统中的地位。金融科技公司需要以可衡量和可证明的方式保护自己。除了挑战之外，他们还需要在资源有限的情况下在一个专业知识短缺的市场中做到这一点。 10网络弹性系统：安全可信的金融科技2.网络弹性