网络安全对银行审查员来说是一项过于重要的工作——彭博社

The Editorial Board

2025-06-11

小心。

摄影师：Ken Nishimura/Bloomberg

网络攻击是美国金融体系面临的首要且日益严重的威胁。对此，高管们和监管机构都表示认同。但具体应对措施仍不明确。

保护银行的任务艰巨。大型银行每年投入数十亿美元抵御来自中国、朝鲜、伊朗和俄罗斯日益复杂的黑客攻击。这需要监控众多客户、交易对手和供应商的漏洞——包括软件公司以及电话和互联网服务提供商。

银行风险管理者将黑客视为最大威胁

来源：2024年美联储金融服务调查

注：数据来自使用美联储支付服务的360多家美国金融机构。

颇具讽刺意味的是，这还意味着要盯紧联邦监管机构。4月，负责监管大型银行的货币监理署向国会通报，黑客入侵其电子邮件系统，获取了关于所监管机构的"高度敏感信息"。（货币监理署花了两个月才披露入侵细节——攻击者利用漏洞监控了103个邮箱账户长达一年以上。）

银行迅速暂停或改道了与该机构的通信，货币监理署则致力于发现漏洞并加强其安全性。但更根本的是需要对行业监管进行重新思考。

几十年来，货币监理署、联邦存款保险公司和美联储的银行审查员一直试图跟上他们所监管公司不断发展的技术。但联邦招聘规则——以及普遍缺乏竞争力的工资——使得难以吸引具备该职位所需尖端技能的员工。

因此，来自多个机构的审查员最终只能费力地处理源自联邦手册的问题和清单，向银行索取大量数据——通常格式相互冲突——这些数据更侧重于治理而非技术能力。总的来说，这浪费了每个人的时间：一项行业调查发现，大型银行的首席信息安全官花费多达一半的时间管理与审查员的关系和合规请求。

一个显而易见的解决方案是更好地协调这些工作。事实上，大型银行近年来与监管机构合作，创建了一个统一的跨机构审查——结果却被告知，为期数周的密集审查只会增加他们的其他合规负担，而不是取代它们。

需要更彻底的变革。首先，网络安全不应由银行审查员负责，他们应继续专注于行业的金融和商业风险。

相反，政府应组建一支由经验丰富且高薪的网络安全专业人员组成的联合工作组，取代现有法规和监管，与银行合作监控新兴威胁和技术。他们还可负责设计威胁检测演练，或许可借鉴英格兰银行制定的CBEST测试，要求银行接受模拟黑客入侵测试以识别真实漏洞。随后政府应协助提供修复漏洞所需的资源和建议。

此外，政府应重视业界的呼吁，确保监管机构采用与其监管企业相同的安全、数据保护和事件通知标准。

或许有人会为现行制度辩护——过去十年间即便大型银行遭遇严重漏洞，该系统仍屹立不倒。但这一纪录主要归功于银行自身在加强数字防御方面的大量投入。若不进行改革，联邦合规负担很可能会危及这些进展。

更多来自彭博观点的内容：

想要更多彭博观点？输入OPIN <GO>。网页读者请点击此处。或订阅我们的每日新闻简报。