银行应该考虑哪些新兴的第三方风险？

运行中图存在两个需要关注的特定新兴风险因素第三方风险格局和新兴风险因素信息安全— 网络安全/AI— 数据隐私— 数据保护法规和合规软件物料清单（SBOM）和人工智能对网络安全的影响正日益成为两家关键风险因素，需要银行现在就关注。第一个因素是SBOM合规风险。SBOM是指软件组件的详细清单，构成特定软件产品的成分列表。随着软件复杂性的增加，SBOM的复杂性也随之提高，使其难以理解潜在风险。注释：SBOM是软件物料清单。ABAC是反贿赂和反腐败。EH&SS是环境健康和安全服务。AI是人工智能。ESG是环境、社会和治理。资料来源：Kearney分析— 供应可靠性 — 质量保证 —多层可见性两种力量正在增加银行内的第三方风险：1) 合作的兴起 2) 通过人工智能、云计算和API实现的银行快速现代化。在这个日益增长的风险格局中，有两个具体的Emerging风险因素需要关注（见图）。金融— 流动性/资产负债表 — 信贷— 财务业绩— 软件物料清单 — 基于属性的访问控制 — 信息安全与软件开发 — 劳工权利 地理新兴风险因素地缘政治—制裁和禁运— 贸易争端和事件ESG— 社会正义—人权— 负人格按压器— 自然灾害 — 气候变化 — 环境可持续性2. 建立单一事实来源（文档存储库）以增强现有协议的透明度和可见性。3. 实现一种机制，以更好地了解引入组织中的所有软件的来源和保真度。1. 重新审查现有的供应商协议，以纳入SBOM的考虑因素，包括软件责任和开源可控制性。因此，联邦监管指南建议将责任转向作者，特别是软件的拥有者和开发者。此举旨在提高SBOM透明度。目标是为作者建立责任，创建软件配置的可见性，并使组织能够了解其引入软件的来源和安全性。这一指导方针的转变对银行有几方面的影响： 第二个因素是网络安全风险，尽管这不是一个新话题，但已变得越来越重要。人工智能成熟度的最新进展引入了一种独特范式，其中人工智能既可能被用来实施复杂攻击，也可能被用作网络安全防御工具。人工智能的这种双重角色带来了新的挑战。此外，新的风险类别将出现，包括利用专门设计的输入来操纵或污染AI模型的对抗性攻击。例如，攻击者可以实施引入AI算法偏差的攻击，导致在AI模型预期目标周围出现不公正或歧视性的决策。我们预计未来几年威胁的复杂程度将增加，并会出现新的网络风险类别。例如，攻击者可能会设计能够随时间欺骗人工智能系统的威胁，通过引入人工智能行为“漂移”来为知识产权盗窃或未经授权删除机密数据创造环境。 通过及时处理这些问题，银行可以更好地准备自己应对这些新兴风险带来的挑战，并为未来保障其运营。1. 建立一个新的网络韧性北极星愿景，考虑人工智能的影响。2. 采取一个有效且设计良好的sbom共享模型。作为起点，我们建议银行考虑以下几点：随着这两个新兴风险因素势头增强，银行现在投资正变得越来越关键。我们预计未来几年威胁的复杂度将增加，并会出现新的网络安全类别。 kearney.com作者凯文尼是一家领先的全 cầu 管理咨询公司。近 100 年来，我们一直是 C 级高管、政府机构和非营利组织的可信赖顾问。我们的人员造就了今天的我们。我们致力于成为将宏大的想法转化为现实的关键力量，帮助客户突破拉胡尔·莱莱校长，纽约 rahul.lele@kearney.com迈克·豪尔斯合作伙伴，达拉斯mike.hales@kearney.com如需更多信息，请电邮insight@kearney.com申请转载或翻译此作品，以及处理所有其他函件。© 2023, A.T. Kearney, Inc. 保留所有权利。 Hemal Nagarsheth伙伴，芝加哥hemal.nagarsheth@kearney.com埃里克·奥尔达茨咨询顾问，纽约 eric.aldatz@kearney.com