MAS提供有关减轻供应链威胁的指导
新加坡的央行已经修改了其技术风险管理指南,以帮助金融部门防范供应链攻击,这一直普遍普遍,危险。
在一份声明中,新加坡(MAS)的货币权威表示,修订的指导方针侧重于解决金融机构越来越多的云技术,应用程序编程接口(API)和敏捷软件开发的环境中的技术和网络风险。
修订后的指导方针在其他方面,将要求金融机构评估和管理其对可能影响IT系统和第三方IT服务提供商的IT系统和数据的机密性,完整性和可用性的技术风险。
他们还应确保其IT服务提供商在保护数据机密性和完整性方面采用高标准的护理和勤奋,以及确保系统恢复力。背景检查还应在有权获得金融机构的系统和数据的第三方人员上进行。
与减轻供应链攻击的关键是API的安全性,金融技术(FINTECH)初创公司正在与金融机构合作提供产品和服务。
MAS表示,应实施明确的审计过程,以评估通过API联系到金融机构的第三方的适用性,以及涉及第三方API访问。审查标准应考虑第三方业务,网络安全姿势,行业声誉和跟踪记录等因素。
金融机构还应在允许第三方通过API连接到其IT系统之前进行风险评估,并确保每个API的实施与正在交换数据的敏感性和业务关键性,以及数据的机密性和完整性要求相称,以及数据的机密性和完整性要求。
最后,应建立设计和开发安全API的安全标准。这些标准应包括保护用于授权访问API以交换机密数据的API密钥或访问令牌的措施。
通过利用Solarwinds的网络管理软件,MAS还在最近对多个IT服务提供商的攻击中称重,并注意到这是一个明确的网络威胁环境的指示。
在此背景下,修订后的准则要求金融机构在金融生态系统内及时分析和分享网络威胁情报,并进行网络锻炼,使他们能够强调其压力测试他们的网络防御。
全球律师事务所诺顿北罗布莱特的亚太地区技术负责人,亚太地区的技术负责人表示,指南推荐的措施是良好的做法,最大限度地将成为较大金融机构标准操作程序的一部分。
尽管指导方针阐明了减轻网络威胁的措施,但是克莱默每周告诉计算机,金融机构仍然可以根据这些系统的关键性和信息敏感性的特定系统实施他们的适当访问控制。
