冰岛 ： 金融部门评估计划 - 关于网络和运营弹性 ， 监督和监督的技术说明

货币基金组织国家报告第23 / 280号 冰岛 金融行业评估计划 2023年7月 关于网络和操作阻力、监督和监督的技术说明 这份关于冰岛的文件是由国际货币基金组织的一个工作人员小组编写的，作为与成员国定期协商的背景文件。它基于2023年6月21日完成时的现有信息。 本报告的副本可从以下位置向公众提供国际货币基金组织出版服务邮政信箱92780华盛顿特区20090电话：（202）623 - 7430传真：(202) 623 -7201E - mail: publications @ imf. org Web: http: / / www. imf. orgPrice: $18.00 per printed copy 冰岛 金融行业评估计划 2023年6月21日 技术说明 网络和运营阻力、监督和监督 本技术说明由Nick Strange（国际货币基金组织外部专家）在由Etienne B. Yehoue领导的冰岛金融部门评估计划（FSAP）任务中编写。它包含技术分析和支持FSAP发现和建议的详细信息。有关FSAP的更多信息，请访问http: / / www. imf.org / external / np / fsap / fssa. spaspx。 编制人货币基金组织货币和资本市场部 CONTENTS 词汇表3 执行摘要4 8 支付系统、方案和工具10 金融部门网络安全监督13 A.网络安全战略、合作与协调13B.信息共享16C.应急计划、事件管理和练习18 监督安排和实施19 A.法律和监管框架19B.角色和职责20C.监督方法和做法22D.事件报告25 Figures 1.在销售点使用现金支付82.支付同业清算系统113.冰岛中央银行组织结构图21 TABLE 1.主要建议7 词汇表 BCBSBISCBICERT - IS委员会理事会CPMICSCCSODDoSDORAEBAECOIEEAeIDEIOPAESMAFMIFSA ICTIMFIOSCOMoFMoHESINBFINCIPNF - CERTPFMI POSPSD2RBRTGSSEPASREPSURFTIBER巴塞尔银行监管委员会国际清算银行冰岛中央银行计算机应急小组（冰岛）金融稳定委员会（CBI）金融稳定委员会网络安全委员会支付和市场基础设施委员会首席安全官分布式拒绝服务数字运营弹性法案欧洲银行管理局冰岛欧洲经济区电子通讯办公室电子标识系统(Au CL Kenni),欧洲保险和职业养老金管理局欧洲证券和市场管理局金融市场基础设施金融监管局（现为CBI的一部分）信息和通信技术国际货币基金组织国际证券委员会组织高等教育，科学和创新部（H á sk ó la -，i ñ na - ogn í sk ö punarr á l é neyti ñ）财政和经济事务部（Fj á rm á la - ogefnahagsr á uneyti ñ）非银行金融机构冰岛国家警察专员北欧金融CERTCPMI - IOSCO金融市场基础设施销售点原则支付服务指令Reiknistofabankanna实时总结算单欧元支付区监督审查和评估过程Samstarfsvettvangur Um Rekstarorygi Fjarmalainnvida（关于网络事务的公共/私人合作论坛）基于威胁的情报伦理红色团队 执行摘要 冰岛的金融系统是庞大的、集中的和相互关联的— —银行和非银行金融机构（NBFI）— —在国内和国际。共有10家银行：4家商业银行和6家储蓄银行，但该系统仅由3家商业银行（Ario bai，51sladsbai和Ladsbai）主导，它们合计占银行资产的95％。现金使用占销售点（POS）交易的百分比正在下降，导致对电子支付手段的依赖日益增加。用于大多数零售交易的借记卡和信用卡依赖于与Visa和Mastercard的国际通信。 近年来，冰岛金融部门没有经历过严重的破坏性网络攻击或运营问题，但威胁正在增加。冰岛中央银行（CBI）将国内支付转移到新的核心支付系统已经接近完成，大大增强了其网络弹性。然而，与所有司法管辖区一样，冰岛金融机构的网络攻击水平越来越高，特别是分布式拒绝服务(DDoS)和社会工程(网络钓鱼等)。）攻击。冰岛一家主要银行的网站被伪造，使欺诈者可以获取登录详细信息并提取资金。金融部门的应急计划，应急准备和响应必须注意到将来可能发生更广泛，更多样化和破坏性的攻击。 冰岛对借记卡和信用卡系统的国际连通性的依赖给支付系统带来了巨大的漏洞。在2008 / 9年冰岛银行业危机期间，冰岛借记卡在国内系统上运行。两个主要收购方（现称为Teya和Rapyd）依靠Visa和Mastercard处理借记卡的个人决定降低了冰岛金融体系的运营独立性。CBI和有关当局正在调查替代的国内零售支付解决方案，以便在信用卡和借记卡系统出现重大中断时使用。由于现金是目前唯一可用的后备资源，CBI应与支付系统提供商和零售店合作，完善应急计划，并测试在危机情况下如何分配和使用现金。 金融部门没有专门的网络安全战略。高等教育，科学与创新部（MoHESI）负责集中的网络安全事务和跨部门协调，于2022年2月发布了经修订的冰岛国家网络安全战略，并于2022年11月发布了配套行动计划，但这不是特定行业。 此外，虽然每个当局和机构在网络安全方面的作用可能来自相关立法和/或其更广泛的作用，但没有中央文件规定如何保障金融部门的网络安全.明确阐明的战略将为采取更详细的行动提供指导和背景，以保持该部门的网络和运营弹性，确保财政和经济事务部（MoF），CBI和其他参与者的行动朝着共同目标保持一致。当局应共同努力，制定针对金融部门的网络安全战略，明确规定各方的角色和责任。 CBI的金融稳定委员会（“委员会”）拥有广泛的职权范围，这代表了在网络安全风险缓解方面在运营弹性方面发挥主导作用的机会。金融稳定委员会应考虑在金融稳定理事会的适当参与下，制定网络和运营风险议程，以支持其广泛的金融稳定目标。 在国际上，CBI参加了许多信息共享论坛，特别是在整个北欧地区，而国内安排仍在继续发展。冰岛计算机应急响应小组（CERT - IS）是冰岛电子通信办公室（ECOI）的一部分，该办公室是MoHESI行政范围内的独立机构。CERT - IS最近获得了额外的资源和扩大的职权范围。MoHESI领导网络安全委员会，这是不同部委和机构（包括CBI和MoF）的信息共享论坛。 正在通过CBI的SURF（MoF和CERT - IS参与的关于网络和运营风险事务的公共/私人合作论坛），制定金融部门当局和私营部门之间在网络风险事务方面的正式合作与协调安排。我们鼓励冰岛当局继续巩固整个政府的网络安全努力和协调，并强调CERT - IS为所有部门，特别是金融部门提供的服务的重要性。 对于谁将领导金融部门应对重大网络或运营事件，存在一些困惑。金融稳定委员会（MoF和CBI）的任务是为金融部门提供正式的应急响应。中断时期的共同协调计划正在CBI SURF专家级别进行集体修订。财政部和CBI应加快共同协调计划的制定和传播。应CBI和SURF的要求，CERT - IS最近领导了一项网络安全方案“桌面”演习，探索在勒索软件攻击事件中的协作与协调。参与其中的金融机构发现它非常有价值，并且有更多的欲望。我们还鼓励CBI，SURF和CERT - IS进一步定期安排网络安全场景演习，以加强合作与协调，扩大参与的金融机构和政府机构的范围。 CBI的操作风险专家经验丰富，深受金融机构的重视，但需要更多的资源来充分覆盖这一日益重要的领域。CBI应逐步增加受监管公司对运营，ICT和网络风险进行专家监督的资源，并应使用任命外部审计师的权力来增加其有限的内部资源以进行网络风险审查。 对金融机构网络安全的监管高度依赖于受监管实体本身的自我评估和第三方进行的独立审查。缺乏现场访问和/或对第三方报告中的断言提出的有力挑战增加了遗漏弱点的风险。CBI应开始对受监管公司的运营，信息和通信技术（ICT）和网络风险进行现场检查，以获得更全面的网络准备情况，从具有系统重要性的机构开始，并在增加专家监督资源的情况下扩大覆盖范围。计划的介绍。 在冰岛进行威胁主导的基于情报的道德红色团队（TIBER）渗透测试将为网络风险漏洞提供有价值的额外见解。 冰岛金融监管局（FSA）发布的指南中总结了许多管理ICT系统的法规，但这些法规涵盖了2019年初的立法。信息和通信技术系统的监督准则应定期审查和更新，特别是在支付系统指令2、数字操作弹性法案(DORA)和操作弹性巴塞尔原则方面。 监管人员在2019年进行了一项演习，以确定关键运营和关键的第三方提供商。CBI应定期修订关键业务和关键服务提供商的清单，以供内部使用并提交给金融稳定委员会和金融稳定理事会。 没有创建正式的总结或趋势报告，总结网络和运营事件和趋势。鼓励CBI通过总结网络事件和检查趋势来增强其事件仪表板。 INTRODUCTION 1.冰岛的金融系统在国内和国际上都是庞大，集中和相互联系的-银行和NBFI。共有10家银行：4家商业银行和6家储蓄银行，但该系统仅由3家商业银行（Ario bai，51sladsbai和Ladsbai）主导，它们合计占银行资产的95％。它也依赖于互联网接入。虽然国内银行的跨境业务非常有限，但冰岛的借记卡和信用卡交易以及证券结算系统分别由Visa和Mastercard和NASDAQ CSD在海外处理/运营。 2.冰岛的现金使用量正在下降，导致对电子支付手段的依赖日益增加。Gallp在2022年春季为CBI进行的一项调查显示，98%的受访者每周在销售点购物或更经常使用电子支付工具，比之前的调查有所增加。现金倾向于用于礼物和其他人对人的付款。CBI预计销售点的现金使用量将继续下降。然而，现金仍然被广泛使用，并被接受为一种支付手段，只要公众对现金有需求，并且由于现金是支付系统危机中唯一的后备资金，CBI将继续提供现金。因此，在更广泛的背景下，冰岛消费者和冰岛社会严重依赖电子支付手段。这种增加的数字化扩大了潜在的网络攻击表面。几乎所有（98.6%）销售点的电子支付都是卡支付，其中37.8%是存储在智能设备中的数字卡。只有1.4%的电子支付是通过其他方式进行的，包括网上银行转账和即付即付即付的计划。 3.近年来，冰岛金融部门没有经历过严重的破坏性网络攻击或运营问题。2021年8月的一次重大DDoS攻击扰乱了 卡服务的三个主要提供商中的两个的功能以及用于身份验证的电子识别（eID）服务的可用性。大多数付款服务在两个小时内恢复。我们了解到，自那次攻击以来，商业银行已经提供了多样化的DDOS保护，并增加了容量。与所有司法管辖区一样，社会工程攻击(网络钓鱼等。)经常发生。2022年夏季，复制了三大冰岛银行之一的网站，收集了登录详细信息，并给客户带来了一些损失。有关银行赔偿客户的任何损失。近年来，银行一直在升级其许多核心支付系统。这造成了一些服务中断；但是，这种中断并不严重。冬季风暴可能导致该国更偏远的地区停电，这可能会暂时破坏生活在这些地区的人们的连接。 4.本说明重点介绍了冰岛金融体系的网络和运营弹性以及具有系统重要性的金融机构的监督和监督框架。从（i）整个行业的角度来解决金融体系的网络弹性问题-当局如何共同努力以确保整个金融体系的网络和运营弹性，重点关注支付系统；以及（ii）公司特定的观点- CBI的主管如何审查具有系统重要性的受监管公司的网络和运营弹性。到目前为止，CBI的实时总结算系统（RTGS），三个系统重要的银行（Ario bai，51sladsbai和Ladsbai）和冰岛证券交易所（Kaphll 51slads）已被列为系统重要银行。本说明对CBI，财政部和其他机构在网络安全战略，合作与协调领域的工作进行了评估；信息共享；应急计划，事件管理和行使；以及监督安排和实践。审查基于CBI和财政部提供的问卷答复，对CBI，财政部和受监管的金融机构