日本金融網(wǎng)絡(luò )安全治理實(shí)踐與啟示
當前,國際形勢風(fēng)云變幻,金融、科技等領(lǐng)域成為大國博弈的焦點(diǎn),加之數字技術(shù)持續迭代并廣泛應用,國家金融網(wǎng)絡(luò )安全治理面臨重大挑戰。作為數字技術(shù)先進(jìn)國家,日本自21世紀初以來(lái)不斷強化網(wǎng)絡(luò )安全建設,逐步完善戰略布局。近年來(lái),隨著(zhù)日本加速推動(dòng)數字化轉型,人工智能、云計算等先進(jìn)技術(shù)與金融業(yè)務(wù)深度融合,金融系統遭受的網(wǎng)絡(luò )攻擊明顯增多。面對挑戰,日本高度重視金融網(wǎng)絡(luò )安全治理,在制度建設和政策實(shí)踐方面取得了顯著(zhù)成效,其相關(guān)經(jīng)驗值得借鑒。
日本金融網(wǎng)絡(luò )安全的制度建設
2023年9月,全球內容交付網(wǎng)絡(luò )CDN服務(wù)領(lǐng)導者阿卡邁技術(shù)公司指出,金融服務(wù)業(yè)是亞太地區及日本遭受Web應用程序及API攻擊最多的領(lǐng)域。金融業(yè)已成為日本遭受網(wǎng)絡(luò )攻擊的主要領(lǐng)域之一。面對嚴峻形勢,日本持續強化金融網(wǎng)絡(luò )安全制度建設,全力完善網(wǎng)絡(luò )安全體系。
一是健全金融網(wǎng)絡(luò )安全法律框架。2000年1月,日本政府發(fā)布網(wǎng)絡(luò )安全領(lǐng)域首個(gè)政策文件——《保護信息系統免受網(wǎng)絡(luò )攻擊行動(dòng)計劃》;同年,日本國會(huì )通過(guò)《高速信息通信網(wǎng)絡(luò )社會(huì )形成基本法》(也被稱(chēng)為“IT基本法”),明確指出“確保高速信息通信網(wǎng)絡(luò )的安全性及可靠性”。2014年11月,日本國會(huì )批準了《網(wǎng)絡(luò )安全基本法》,首次從法律意義上定義了“網(wǎng)絡(luò )安全”的概念,并明確其主體、職責及戰略理念,成為日本金融網(wǎng)絡(luò )安全治理的根本遵循。此外,金融、信息保護等領(lǐng)域的基礎法律也為日本依法治理金融網(wǎng)絡(luò )安全提供重要支撐。例如,《金融商品交易法》強調要加強對金融科技行業(yè)的監管;《銀行法》要求在推動(dòng)數字金融和金融創(chuàng )新發(fā)展基礎上,強化網(wǎng)絡(luò )安全和信息保護;《個(gè)人信息保護法》明確規定了信息保護的主體與職責、個(gè)人信息泄露報告制度、第三方個(gè)人數據獲取規則等事項。除此之外,涉及網(wǎng)絡(luò )安全治理的重要法律還有《防止不正當競爭法》《禁止未經(jīng)授權的計算機訪(fǎng)問(wèn)法》等。
二是完善金融網(wǎng)絡(luò )安全戰略布局。2013年6月,日本發(fā)布首個(gè)《網(wǎng)絡(luò )安全戰略》,并分別于2015年、2018年、2021年發(fā)布修訂版,提出網(wǎng)絡(luò )安全治理的中長(cháng)期目標以及具體的政策舉措。日本金融網(wǎng)絡(luò )安全監管主要由金融廳負責,其于2015年7月制定了《加強金融領(lǐng)域網(wǎng)絡(luò )安全的工作方針》(1.0版),并于2018年10月及2022年4月出臺“2.0版”及“3.0版”。“3.0版”指出,金融網(wǎng)絡(luò )安全治理工作重點(diǎn)圍繞加強監測、升級安全演習、防范新風(fēng)險、強化部門(mén)協(xié)作等方面進(jìn)行。金融廳還與個(gè)人信息保護委員會(huì )共同制定了《金融領(lǐng)域個(gè)人信息保護指南》,用以指導金融機構采取合規操作確保客戶(hù)等個(gè)人信息的安全與隱私。
三是構建金融網(wǎng)絡(luò )安全治理組織架構。2015年,日本政府設立直屬內閣領(lǐng)導的“內閣網(wǎng)絡(luò )安全中心”(NISC)。此舉有助于強化政府對金融網(wǎng)絡(luò )安全治理的宏觀(guān)指導。為了促進(jìn)金融機構網(wǎng)絡(luò )安全能力建設,金融廳在綜合政策局內部下設網(wǎng)絡(luò )安全對策企劃調整室,專(zhuān)門(mén)負責相關(guān)政策制定與實(shí)施,并通過(guò)發(fā)起“網(wǎng)絡(luò )安全對策相關(guān)人員合作會(huì )議”等,促進(jìn)跨行業(yè)信息共享及突發(fā)事件應急處理的官民合作。盡管日本中央銀行(日本銀行)沒(méi)有監管銀行網(wǎng)絡(luò )安全的職責,但它有權對銀行網(wǎng)絡(luò )安全進(jìn)行持續性指導。日本也高度重視相關(guān)領(lǐng)域的官產(chǎn)學(xué)研合作,如設立聯(lián)合實(shí)驗室等推進(jìn)生成式人工智能、量子密鑰分發(fā)、量子認證等網(wǎng)絡(luò )安全技術(shù)布局與應用。
日本金融網(wǎng)絡(luò )安全治理的具體實(shí)踐
一是重視金融網(wǎng)絡(luò )安全監管。金融廳定期檢查評估金融機構的網(wǎng)絡(luò )安全建設,監管重點(diǎn)及方式根據行業(yè)、業(yè)務(wù)規模進(jìn)行調整。例如,全年嚴格動(dòng)態(tài)監管敏感度高、擁有全球經(jīng)營(yíng)網(wǎng)絡(luò )的三大銀行,督促其及時(shí)引進(jìn)國際先進(jìn)技術(shù)與理念;適度監管敏感度低的金融機構,著(zhù)重提升其自律能力,為其開(kāi)發(fā)針對性的網(wǎng)絡(luò )安全自評估工具;根據更易受到的網(wǎng)絡(luò )攻擊類(lèi)型調整檢查項目;支持逐步推廣零信任網(wǎng)絡(luò )安全架構等。為提升金融網(wǎng)絡(luò )安全監管工作質(zhì)量,金融廳積極進(jìn)行共性風(fēng)險摸底,定期評估監管效果及制定改進(jìn)方案。
二是提升網(wǎng)絡(luò )攻防演習質(zhì)量。一方面,鼓勵金融機構采用“威脅主導滲透測試”(TLPT)等高水平的網(wǎng)絡(luò )安全評估方法,根據威脅情報及實(shí)際系統環(huán)境模擬攻擊場(chǎng)景,從而檢測網(wǎng)絡(luò )安全系統對外部沖擊的響應能力。2019年9月,日本金融行業(yè)信息系統中心(FISC)發(fā)布了相關(guān)指南,為其有效應用TLPT提供框架性指導。另一方面,自2016年起,日本金融廳在每年10月左右組織大規模的跨行業(yè)金融機構網(wǎng)絡(luò )安全實(shí)戰演練,以提升金融領(lǐng)域整體網(wǎng)絡(luò )安全保障能力。
三是促進(jìn)信息共享。日本積極建立健全多層次、跨機構的金融網(wǎng)絡(luò )安全信息共享機制。2023年3月,日本發(fā)布《網(wǎng)絡(luò )攻擊危害信息的共享與發(fā)布指南》,通過(guò)問(wèn)答形式引導受網(wǎng)絡(luò )攻擊的組織共享相關(guān)信息。日本仿效美國的做法于2014年成立了金融信息共享與分析中心(FISAC),旨在促進(jìn)金融機構之間共享網(wǎng)絡(luò )攻擊威脅信息及技術(shù)漏洞信息并共商應對辦法。金融廳與NISC、FISAC、經(jīng)濟產(chǎn)業(yè)省、警察廳等均建立了信息共享機制,并指導金融機構加強與設備供應商、服務(wù)外包商及客戶(hù)的信息交流。另外,日本通過(guò)提供多元化共享范式、視情況允許數據匿名化及延遲發(fā)布、責任豁免等多種方式,盡力消除相關(guān)組織對共享過(guò)程中承擔法律風(fēng)險及名譽(yù)損失等的擔憂(yōu),促進(jìn)信息共享及時(shí)、暢通。
四是重視人才培養。2021年4月,日本經(jīng)濟產(chǎn)業(yè)省發(fā)布《網(wǎng)絡(luò )安全體系建設和人力資源保障指南》,為企業(yè)等部門(mén)健全網(wǎng)絡(luò )安全風(fēng)險管理體系及加強相關(guān)人才培養提供指導。據此,日本金融廳要求金融機構持續加強網(wǎng)絡(luò )安全人才隊伍建設。例如,制定及落實(shí)人才培養計劃,完善激勵與評價(jià)機制;重視提升管理層網(wǎng)絡(luò )安全意識,定期開(kāi)展內部培訓及跨部門(mén)交流;盡量保障各部門(mén)均配備專(zhuān)職網(wǎng)絡(luò )安全人員,在人員短缺情況下支持其在各部門(mén)定期輪崗。
五是加強國際合作。針對跨國金融網(wǎng)絡(luò )犯罪日益嚴重的趨勢,日本金融監管部門(mén)通過(guò)雙邊及多邊機制,在信息共享、政策協(xié)調、實(shí)戰演習、標準制定等領(lǐng)域加強金融網(wǎng)絡(luò )安全國際合作。例如,日本金融廳和日本中央銀行與美國、歐洲、澳大利亞、印度等國家的相關(guān)部門(mén)合作,推進(jìn)網(wǎng)絡(luò )安全領(lǐng)域的信息共享與人才培養合作;通過(guò)G7、G20、金融穩定委員會(huì )(FSB)、反洗錢(qián)金融行動(dòng)特別工作組(FATF)等國際組織積極參與金融網(wǎng)絡(luò )安全技術(shù)標準與國際規則的研討。
相關(guān)啟示
近年來(lái),我國高度重視網(wǎng)絡(luò )安全治理,2017年頒布實(shí)施的《網(wǎng)絡(luò )安全法》是我國首部網(wǎng)絡(luò )安全方面的綜合性立法,成為我國網(wǎng)絡(luò )安全治理的根本遵循。隨后,國家層面陸續出臺了《數據安全法》《個(gè)人信息保護法》《網(wǎng)絡(luò )安全審查辦法》等法律法規及部門(mén)規章。金融系統也制定了高起點(diǎn)、高標準的金融網(wǎng)絡(luò )安全治理規劃和行業(yè)指引,如《金融行業(yè)網(wǎng)絡(luò )安全等級保護實(shí)施指引》《證券期貨業(yè)網(wǎng)絡(luò )和信息安全管理辦法》等。但隨著(zhù)金融業(yè)的創(chuàng )新發(fā)展及網(wǎng)絡(luò )技術(shù)的持續迭代,金融網(wǎng)絡(luò )安全面臨的挑戰日益突出。為此,我國金融網(wǎng)絡(luò )安全治理建設在結合本國實(shí)際的同時(shí),也需要不斷借鑒國際先進(jìn)經(jīng)驗。
一是構建統籌兼顧、分工協(xié)作的監管體制。當前,我國金融領(lǐng)域網(wǎng)絡(luò )信息安全主要受?chē)揖W(wǎng)信辦、公安部、工信部、“一行一總局一會(huì )”等部門(mén)不同維度的監督管理。為了平衡合力監管與分業(yè)監管優(yōu)勢,各部門(mén)應明確職能分工,既要避免監管重疊也要防止監管真空,確保金融網(wǎng)絡(luò )不留監管死角。一方面,協(xié)調上述職能部門(mén)成立金融網(wǎng)絡(luò )安全監管中心,作為“司令塔”為金融網(wǎng)絡(luò )安全監管提供系統的宏觀(guān)指導,同時(shí)負責對具有混合業(yè)態(tài)屬性的金融科技機構的監管。另一方面,發(fā)揮分業(yè)監管優(yōu)勢,以“一行一總局一會(huì )”為主導,根據國內外網(wǎng)絡(luò )安全形勢變化,針對不同行業(yè)制定網(wǎng)絡(luò )安全監管細則。
二是提升金融系統的主動(dòng)防御能力。相關(guān)政府機構和金融監管部門(mén)常態(tài)化組織金融系統開(kāi)展大規模跨行業(yè)網(wǎng)絡(luò )攻防演習,不斷豐富業(yè)務(wù)連續性演練場(chǎng)景。成立網(wǎng)絡(luò )安全應急工作小組,指導金融機構組建應急管理團隊、制定應急預案、提高應急處置能力。通過(guò)設立專(zhuān)項經(jīng)費、指導創(chuàng )建產(chǎn)學(xué)研聯(lián)合實(shí)驗室等,加速推進(jìn)零信任、人工智能、量子信息技術(shù)等網(wǎng)絡(luò )安全技術(shù)布局與應用。
三是促進(jìn)金融網(wǎng)絡(luò )安全信息共享。健全金融網(wǎng)絡(luò )安全信息共享的政策體系,促進(jìn)金融機構與國家安全機構、監管部門(mén)、金融同業(yè)、外部安全廠(chǎng)商等不同層次機構建立威脅情報共享機制。強化措施提升信息共享工作質(zhì)效,如完善高質(zhì)量、多維度、全覆蓋的金融業(yè)網(wǎng)絡(luò )態(tài)勢感知與信息共享平臺建設,消除信息孤島;提供多元化共享范式、賦予信息共享主體適當責任豁免,促進(jìn)信息共享安全暢通。另外,鑒于跨國金融網(wǎng)絡(luò )犯罪日益猖獗,應重視國際金融網(wǎng)絡(luò )安全信息共享合作,嘗試與“一帶一路”共建國家合作搭建相關(guān)數據庫及信息資源共享平臺,借助信息社會(huì )世界峰會(huì )等平臺增加與他國就相關(guān)問(wèn)題的磋商與對話(huà)。