安全和国家治理与控制
如果一个企业执行对社会运作至关重要的任务,决策者需要评估为确保国家适当治理和控制所必需的条例和系统。当越来越多的关键基础设施成为全球科技巨头和支付公司的一部分或被他们拥有时,这个问题变得相关了。
ICT [ICT:Information And Communication Technology,信息和通信技术]系统的运作已经基本上外包,这带来了一些挑战。支付系统中的私人金融市场基础设施(FMI)所有者向挪威央行报告,难以获得必要的ICT专门知识来运行和维护关键功能。如果将ICT的运行和维护转移到国外,在短期内,它可提供更好和更安全的解决方案。但我们也必须考虑长期后果,离岸外包可能损害国家的系统运行、开发和后续跟进能力。如果大部分运行从另一国进行管理,挪威当局也难以协调应急规划。
当任务被转移到国外时,挪威央行为银行间系统设定了条件。这些条件包括硬件的物理地必须位于挪威,在挪威的应急安排必须就绪,当危机发生时,可以迅速接管在国外执行的任务。
挪威央行认为,需要更密切地监测支付系统的关键服务提供商。挪威央行将与挪威金融监督局协商,审查支付系统关键ICT服务提供商和数据中心的应急安排和安全性,这不会改变FMI所有者对外包业务的责任。
挪威的银行和支付系统依赖于极少数的ICT提供商和数据中心,这些供应商和数据中心对其他关键基础设施也至关重要。当局需要跟踪这种系统性风险。ICT服务提供者不受直接监督,与银行和支付系统的实体受直接监管的方式不同。
在其去年的正式报告中,ICT安全委员会指出,对分包商的监管可能对一些具有系统重要性的机构形成挑战。委员会没有就如何跟进与关键ICT服务提供商和数据中心的监管有关的挑战提出具体建议。挪威央行在磋商答复中写道,以下几点值得特别注意:
- 集中风险的重要性和管理,因为许多关键功能依赖于少数ICT服务提供商和数据中心。
- 对关键公共功能(如支付系统)重要的ICT服务提供商和数据中心的监督框架。
- 关键ICT服务提供商和数据中心的应急安排是否足够。
ICT服务提供商、FMI所有者和金融机构需要解决网络风险。挪威金融监督局和挪威央行最近主动与业界进行对话,讨论是否引入一个框架,在挪威银行和支付系统中测试网络安全。这个框架称为TIBER-EU,由欧洲中央银行(ECB)开发。包括丹麦和瑞典在内的一些挪威邻国已经或即将引入欧洲央行的测试框架,如TIBER-DK和TIBER-SE。挪威金融监督局和挪威央行正计划邀请业界就这一测试框架进行对话。它还可用于加强与银行和支付系统的主要ICT服务提供商相关的安全性。
政府各部目前正在开展工作,确定哪些私营实体对基本国家职能至关重要,应受《安全法》的约束。基本国家职能的定义为,全部或部分丧失这一职能将对政府保护国家安全利益的能力产生影响。《安全法》的目的包括保护关键基础设施、关键公共职能和敏感信息,以免受故意、不良事件的影响。
挪威央行正在向财政部提供这方面的输入。澄清哪些私人实体受制于《安全法》,对挪威央行的后续和监管活动可能具有重要意义。
文章内容仅供参考,不构成投资建议,投资者据此操作风险自负。转载请注明出处:天府财经网