周三,澳大利亚金融服务监管机构澳大利亚审慎监管局执行委员会成员特蕾莎·麦卡锡·霍基(Therese McCarthy Hockey)对金融机构面临的新风险发出了严厉警告。
银行的操作风险发生了变化。这些机构过去常常担心火灾和武装抢劫等人身风险。她说,现在网络攻击和技术故障等数字风险是更令人担忧的问题。
澳大利亚的金融机构在方向盘上沉睡
此外,客户比以往任何时候都更加依赖数字金融服务,这些服务的中断可能会威胁金融稳定。然而,她表示,澳大利亚金融部门尚未完全认识到这些威胁。作为回应,APRA 可能会对不符合所需网络安全标准的公司提出额外的资本要求。
霍奇在 8 月 23 日的演讲中说道:
“十二个月前,澳大利亚审慎监管局 (APRA) 仍将其视为我们受监管实体之一‘何时’而非‘是否’遭遇重大网络泄露的案例。我们现在已经有几个了。许多人都感受到了这些袭击的影响……
据透露,澳大利亚人在 2022 年损失了 31 亿澳元,比上一年增加了 80%,诈骗祸害急剧恶化。”
澳大利亚对数字金融服务的依赖只会加剧澳大利亚金融体系面临的新数字风险。根据澳大利亚储备银行的一份报告,2022 年只有 13% 的交易以现金形式进行。
令人有些惊讶的是,以最快的速度抛弃纸币和硬币的是年长的澳大利亚人。
事实上,金融科技公司FIS在一份报告中发现,2022年现金仅占澳大利亚销售点(POS)市场份额的6%。这是亚太地区现金使用率最低的,仅次于在该报告涵盖的 40 个市场中,挪威(4%)占主导地位。
澳大利亚是世界上最支持无现金的社会之一。资料来源:商机。
澳大利亚金融监管机构希望对网络安全采取更强硬的立场
APRA 于 2019 年推出的信息安全标准 CPS 234 要求金融机构必须积极评估和缓解信息安全漏洞。它包括确保公司对网络威胁拥有强大的防御能力。尽管如此,许多金融机构尚未收到这一消息。
但霍基表示,关键在于许多董事会将网络风险仅视为 IT 问题,而不是业务风险。董事会必须变得更加精通技术,以对网络威胁和数据资产提供强有力的监督。
然而,经过三年的缓慢进展,澳大利亚审慎监管局 (APRA) 的耐心正在逐渐消失。如果被发现严重不合规,更多实体可能会面临像 Medibank 这样更严格的资本要求。
6 月 27 日,澳大利亚银行监管机构指示 Medibank 追加分配 2.5 亿澳元(1.61 亿美元)资本,原因是其信息安全在重大黑客攻击事件后暴露出漏洞。
Medibank 去年透露,一名黑客非法获取了 970 万现有和过去客户的个人数据。黑客随后在暗网发布了这些数据,这是澳大利亚有史以来最大的数据泄露事件之一。
违规高额罚款可能使澳大利亚成为轻松目标
因此,该公司现在在澳大利亚法院面临至少三起不同的集体诉讼,代表受影响的客户。
然而,对数据泄露采取更强硬的立场可能并不总是一件好事。根据澳大利亚政府支持的在线数据盗窃受害者服务机构 IDcare 的说法,这种做法甚至可能会适得其反。
IDCare 表示,对数据泄露的更高罚款可能会导致公司支付赎金而不是报告攻击行为。随着澳大利亚越来越被视为一个容易攻击的目标,这反过来可能会助长网络犯罪浪潮。
