사이버 위험에 중점을 둔 연방 준비 제도

[힘힘]

환영 비고

주지사 Michelle W. 보 우먼

시카고 연방 준비 은행, 캔자스 시티 및 세인트가 주최 한 중서부 사이버 워크샵에서. 루이스

Welcoming remarks by Governor Bowman at the Midwest Cyber Workshop

• 공유

소개 비고
좋은 아침. 여러분과 함께하게되어 기쁩니다. 캔자스 시티 시카고 연방 준비 은행이 주최 한이 중서부 사이버 워크샵에 대해 여러분과 대화 해 주셔서 감사합니다, 그리고 St. 루이.1

사이버 공격은 모든 곳에서 기업과 소비자를 위협합니다. — 우리 중 누구도 이러한 공격을 시작한 사람들의 손이 닿지 않습니다. 커뮤니티 은행은 사이버 및 랜섬웨어 공격의 대상이었으며 사이버 보안을 종종 은행 업계가 직면 한 주요 위험 중 하나로 지정합니다. 은행가와의 대화에서 일부는 사이버 위험을 완화하는 데 필요한 직원을 유치하고 유지하는 데 어려움이 있음을 지적합니다. 사이버 공격에 대한 방어에는 쉬운 해결책이 없지만이 회의에서 대표되는 모든 그룹 간의 긴밀한 조정은 좋은 첫 단계입니다.

사이버 보안 감독에있어 연방 준비 은행의 역할을 고려할 때 규제 대상 기관의 보안을 강화하기 위해 우리의 참여가 가장 효과적인 곳을 식별하는 것이 중요합니다. 우리의 노력은 은행과 타사 서비스 제공 업체 모두에 중점을 두어야합니다.

오늘 저는 네 가지 주제에 대해 간단히 논의 할 것입니다. 첫째, 진화하는 기술의 의미와 사이버 위험 환경에 미치는 영향입니다. 둘째, 혁신 및 개인화 된 제품에 대한 고객의 요구가 어떻게 제 3 자에 대한 의존도를 높였는지 논의 할 것입니다. 셋째, 최근에 효과적인 컴퓨터 보안 알림 규칙과 해당 규칙이 타사 서비스 제공 업체를 모니터링 할 때 사이버 사고 및 은행에 대한 알림을 통해 규제 기관에 혜택을 줄 수있는 방법을 다룰 것입니다. 마지막으로 사이버 위험과 관련된 연방 준비 은행의 최근 조치 중 일부를 간단히 설명하겠습니다.

진화하는 기술 및 관련 위험
새로운 기술의 구현과 통합으로 인한 기술과 위험으로 시작하겠습니다. 기술 혁신의 속도가 계속 가속화됨에 따라 회사는 새로운 방식으로 비즈니스에 참여하고 있습니다. 새로운 제품과 서비스는 새로운 위험을 제시합니다.

COVID-19 전염병 이후, 우리는 디지털 뱅킹 제품의 고객 채택과 은행 직원의 원격 작업 도구 활용에 더 큰 관심을 보였습니다, 둘 다 사이버 공격에 대한 새로운 기회를 창출했습니다. 이러한 위험 중 일부는 필요한 경우 법 집행 기관의 도움을 받아 은행에서 직접 해결하는 것이 가장 좋습니다. 다른 위험은 서비스 제공 업체가 가장 잘 해결할 수 있습니다.

랜섬웨어
이러한 위험 중 하나는 랜섬웨어에서 발생하는 것으로 금융 기관에 계속 위협이되고 있습니다. 2021 년 금융 범죄 집행 네트워크 ( FinCEN )에서 1,400 개 이상의 랜섬웨어 관련 은행 비밀 법 신고를보고하면서 이러한 종류의 공격에 대한보고가 지난 5 년 동안 크게 증가했습니다, 거의 $ 12 억의 가치가 있습니다. 이는 2020 년에 비해 거의 200 % 증가한 것으로 지정 학적 위험이 높아지는 것과 일치합니다. 또한 랜섬웨어 서비스의 출현으로 랜섬웨어 공격의 빈도가 높아져 이러한 유형의 공격을보다 쉽게 배치 할 수 있습니다. 랜섬웨어는 모든 규모의 금융 기관에 영향을 미치지 만 이러한 공격으로부터 보호하기에 충분한 자원이 없을 수있는 소규모 은행에 불균형 적으로 영향을 미칩니다.2

랜섬웨어는 종종 피싱 이메일 또는 악의적 인 프로그램을 조직의 시스템에 무단으로 설치하여 "다운로드 별"이라고하는 경우가 많습니다." 이러한 전술은 은행의 내부 시스템에 액세스 할 수있는 전략을 활용합니다. 은행의 내부 시스템은 의도적 인 의도에도 불구하고 랜섬웨어 사이버 공격이 발생할 수 있습니다. 사이버 보안 및 인프라 보안 기관에 따르면 10 개 조직 중 8 개 조직에서 피싱 시도로 최소 1 명의 사용자가 추락했습니다, 10 개의 피싱 이메일 중 하나가 사용자가 악성 첨부 파일을 열거 나 악성 인터넷 링크에 액세스하게되었습니다.삼은행은 정기적으로 이러한 종류의 표적 공격에 대한 직원의 취약성을 테스트하는 연습을 수행합니다. 은행은 이러한 위험에 대한 시스템 액세스 권한을 가진 사람들을 교육하기 위해 계속 노력해야합니다.

랜섬웨어 공격은 은행 관리로 완화 할 수 있습니다. 은행 경영진은 강력하고 공식적인 위험 평가 프로세스를 사용하여 랜섬웨어 공격이 발생하지 않도록 포괄적 인 행동 계획을 개발할 수 있습니다, 또는 그러한 공격이 발생할 경우 은행에 미치는 영향을 줄입니다. 랜섬웨어 공격을 미리 계획 한 은행은 공격이 발생할 때 대응하기에 더 적합합니다.

내부 및 외부 응용 프로그램 사용
소프트웨어 및 공개 응용 프로그램은 또한 악용의 잠재적 목표이며, 새로운 취약점과 기존 취약점을 해결하기 위해 패치 관리의 효과적인 계획 및 구현이 필요합니다. 해커는 소프트웨어 허점을 악용 할 수있는 기회를 지속적으로 찾고 있으며, 은행이 최신 보안 패치를 설치하려는 최선의 노력에도 불구하고 위험이 존재합니다. 예를 들어, 취약점이 식별되는 경우 공급자는 아직 이러한 문제를 해결하기위한 패치를 제공하지 않아 은행은 제로 데이 익스플로잇에 취약합니다. 공급 업체가 설치를 위해 고객에게 제공하기 전에 나쁜 행위자가 소프트웨어 또는 소프트웨어 업데이트를 손상시킬 때 SolarWinds 사고와 같은 공급망 공격이 발생합니다. 이러한 공격의 위험을 완화하기위한 몇 가지 메커니즘이 있지만,조직이 전체 소프트웨어 공급망을 거의 제어하지 않기 때문에 방어가 제한됩니다.4

이것은 은행 자체가 가장 잘 처리하지 못하는 위협의 예입니다. 따라서 규제 당국은 규제 관심의 초점에 적절한 실체를 신중하게 고려해야한다.

타사 위험 관리
혁신적이고 개인화 된 제품 및 서비스에 대한 고객의 요구로 인해 커뮤니티 은행은 새로운 기술을 제공 할 수 있도록 타사 관계에 대한 의존도가 높아졌습니다. 이러한 관계는 소규모 은행이 경쟁력을 유지하고 고객과 지역 사회의 요구를 충족시키기위한 노력을 보여줄 수있는 위치를 제공합니다. 동시에 제 3 자에 대한 의존도가 높아지면 사이버 범죄자에게 추가 기회가 생길 수 있습니다. 연방 은행 기관은 새로운 기술, 인적 자본, 배달 채널, 제품, 서비스 및 시장에 대한 액세스를 포함하여 은행에 다양한 서비스를 제공하는 데있어 제 3자가 수행하는 역할이 증가하고 있음을 인정합니다. 2021 년 7 월, 이러한 추세를 인식하여 연방 준비위원회, 연방 예금 보험 회사,통화 감사관은 제 3 자 관계의 위험 관리를위한 제안 된 기관 간 지침을 공동으로 발표했습니다. 이러한 연방 은행 기관 각각은 이미 별도의 타사 위험 관리 지침을 발표했지만, 제안 된 추가 지침의 목적은 규제 기관 전체에 일관성을 유지하고 산업의 진화하는 특성을 고려할 때 추가 위험을 고려해야하는지 여부를 고려하는 것입니다.진화하는 산업의 본질을 감안할 때.진화하는 산업의 본질을 감안할 때.5은행 기관은 현재 해당 제안에 대한 의견을 고려하고 있습니다.

은행의 제 3 자 사용은 안전하고 건전한 방식으로 소비자 법률을 포함한 해당 법률 및 규정을 준수하여 이러한 활동을 감독 할 책임을 감소시키지 않습니다. 2021 년에 연방 준비 은행은 은행이 위험 관리 프로그램을 구현할 때 제 3자를 감독 할 수 있도록 돕기 위해 주 회원국에 제 3 자 파트너와 관련된 보고서를 제공하기 시작했습니다. 이 보고서에는 사용 된 서비스 및 서비스의 위험에 따라 은행 서비스 제공 업체의 성과를 평가하는 데 유용한 통찰력을 제공 할 수있는 정보가 포함되어 있습니다. 전 은행가로서 나는 이것을 귀중한 자원으로 본다; 이러한 감독 보고서에 액세스하면 은행이 서비스 제공 업체가 제기 한 위험에 대한 노출을 가장 효과적으로 관리하는 데 필요한 정보를받을 수 있습니다.

2021 년 8 월,이 기관은 "금융 기술 회사에 대한 실사 수행"이라는 커뮤니티 은행을위한 안내서도 발표했습니다." 이 안내서는 기존 지침에서 도출되었으며 자발적인 반면 핀 테크 회사와의 관계에 대해 실사를 수행 할 때 커뮤니티 은행에 유용한 리소스가되도록 고안되었습니다.6

타사 서비스 제공 업체 환경은 계속 발전하고 확장되었습니다. 결과적으로, 우리는 규제 부담을 지역 사회 은행에서 서비스 제공 업체에보다 효율적으로 집중하기 위해 전환하는 것이 적절한 지 고려해야합니다. 은행 서비스 회사법은 연방 은행 기관에 아웃소싱 은행 서비스에 대한 중요한 규제 기관을 제공합니다. 제 3자가 훨씬 더 많은 서비스를 제공하는 세계에서, 아웃소싱 된 활동이 안전하고 건전한 방식으로 수행되도록하기 위해 이러한 제공 업체가 더 많은 책임을 져야 할 것 같습니다. 컴퓨터 보안 알림 규칙은이 권한을 적절히 사용하는 한 가지 예입니다.

컴퓨터 보안 알림 규칙
사이버 공격의 빈도와 심각성이 높아짐에 따라, 에이전시는 2021 년 말에 은행 및 서비스 제공 업체에 대한 컴퓨터 보안 사고 통지 요구 사항을 설정하는 최종 규칙을 발표했습니다. 이 규칙은 은행이 통지를 요구하는 사건이 발생했다고 판단한 후 36 시간 이내에 가능한 빨리 기본 연방 규제 기관에 통지해야합니다. 통지가 필요한 사건은 은행 조직의 운영 가능성을 방해하거나 저하 시키거나 합리적으로 방해하거나 저하시킬 수있는 컴퓨터 보안 사고로 정의됩니다, 고객이 예금 및 기타 계정에 액세스 할 수 없거나 금융 부문의 안정성에 영향을 미칩니다.

또한이 규칙은 은행 서비스 제공 업체가 영향을받는 각 고객 은행에서 은행 지정 연락처를 통지하도록 요구합니다. 서비스 제공 업체가 컴퓨터 보안 사고가 발생하여 실질적으로 중단되거나 성능이 저하되었거나 합리적으로 중단 또는 저하 될 가능성이 있다고 판단한 후 가능한 빨리 알림을 받아야합니다, 4 시간 이상 은행에 제공되는 보장 서비스. 커뮤니티 은행은 주로 은행 서비스 제공 업체에 의존하기 때문에 통지 요구 사항은 은행이 사건의 심각성을 평가하는 과정을 지원하기위한 것입니다, 폭과 깊이의 영향 및 내부 대응 프로토콜을 구현할 필요성을 포함합니다. 이 규칙은 또한 효율적인 규제의 좋은 예입니다,은행 서비스 제공 업체는 종종 컴퓨터 보안 사고를 식별하는 데 가장 적합하기 때문입니다.

2022 년 5 월부터 은행 및 은행 서비스 제공 업체는 컴퓨터 보안 사고 통지 규칙을 준수해야합니다. 연방 준비 은행은 은행이 해당 법률에 따라 민감한 고객 정보 위반을보고 할 것을 계속 기대하고 있습니다.7서비스 제공 업체 보고서에 대한 액세스를 개선하려는 연준의 노력과 함께 새로운 서비스 제공 업체보고 요구 사항은 소규모 은행의 기술 서비스 제공 업체 모니터링 노력을 간소화하는 데 도움이됩니다.

사이버 위험에 중점을 둔 연방 준비 제도
금융 시스템은 서로 밀접하게 연결되어 있습니다. 그 결과, 연방 준비 은행은 산업 및 다수의 국내 및 국제 기관, 거버넌스기구 및 주 및 연방 규제 기관과 협력하여 예방, 탐지, 사이버 공격으로부터 회복합니다. 이러한 노력을 통해 연방 준비 은행은 다른 규제 기관과 긴밀히 협력하여 IT 위험 관리 및 사이버 보안을 포함한 중요한 영역에 대한 일관된 지침 및 업데이트 된 검사 절차를 발행 할 수 있습니다.

물론, 연준이 사이버 보안 위험에 중점을 둔 중요한 요소는 은행이 내부 전문 지식을 지속적으로 개발하고 시간이 지남에 따라 해당 전문 지식을 구축 할 것이라는 기대입니다. 마찬가지로, 연방 준비 은행은 사이버 위험을 이해하고 효과적으로 조사 할 수있는 적절한 인력, 교육 및 자원을 통해 감독이 잘 이루어 지도록 노력하고 있습니다. 우리는이 분야의 전문 지식이 우리의 성공에도 중요하다는 것을 알고 있으며, 예비 은행은 노련한 사이버 보안 및 IT 전문가를 적극적으로 모집하고 있습니다, 사내 전문 지식을 개발하기 위해 노력하고 있습니다.

심사관 교육은 현재 및 새로운 위협에 맞게 자주 업데이트되며, 연방 준비 은행은 새로운 사이버 위험 관리 지침이 발표 될 때 심사관을 적극적으로 준비합니다. IT 심사관은 사이버 보안 전문가 및 조직의 외부 회의 및 교육 행사에 참여함으로써 업계 관점을 얻습니다. 요컨대, 연방 준비 은행은 조사관이 사이버 위험을 해결하기 위해 주 회원 은행과 은행 보유 회사의 노력을 감독 할 수있는 좋은 위치에 있도록 노력하고 있습니다, 보다 효과적인 봉사 활동과 의사 소통을 제공합니다.8오늘의 워크숍은 사이버 관련 문제에 대해 은행과 협력하는 많은 방법 중 하나 일뿐입니다.

사이버 위협은 빠르게 발전하기 때문에 사이버 보안은 그에 따라 역동적이어야합니다. 은행은 지속적으로 위험 관리 프로세스를 개선해야합니다. 우리는 오늘날 이와 같은 행사를 통해 정기적 인 의사 소통과 봉사 활동의 중요성을 인식하고 있습니다. 이벤트가 발생할 때 은행이 우리와 연락 할 것으로 기대하지만 사이버 이벤트는 은행과 규제 기관간에 사이버 위험 대화가 처음 발생하는 것은 아닙니다. 우리는 기대치를 명확히하고 규제 지침을 적용하거나 사이버 위험 관리 전략에 대한 피드백을 찾는 데 도움을주기 위해 귀하와 협력하기를 기대합니다. 은행 관리 팀은 다른 규제 문제와 마찬가지로 사이버 보안 문제에 대한 질문이 발생할 때마다 규제 담당자와 협력 할 것을 권장합니다.

결산 비고
마지막으로 기술 변화의 속도는 계속 가속화되고 있습니다. 우리는 은행이 고객 요구를 충족시키고 효율성과 비용 절감을 활용하며 시장에서 경쟁력을 유지하기 위해 새로운 기술을 채택해야한다는 것을 알고 있습니다. 제 3 자 관계는 커뮤니티 은행이 새로운 기술을 온라인으로 가져올 수있는 방법 중 하나이지만 관련 위험에 대한 철저한 이해를 통해 그렇게해야합니다.

연방 준비 은행은 다른 규제 기관과 협력하여이 워크숍과 같은 지침과 리소스를 지속적으로 제공하여 은행이 사이버 위험을 적절하게 관리 할 수 있도록 노력하고 있습니다.

오늘 초대에 다시 감사드립니다. 이 워크샵이 은행가, 규제 기관, 산업, 우리는 끊임없이 진화하는 사이버 위험에 대한 금융 시스템의 탄력성을 구축하기 위해 계속 협력 할 수 있도록 법 집행.

---

1. 이 발언에 표현 된 견해는 본인의 것이며 연방 준비 제도 이사회 (Federal Reserve System)의 이사회에 동료의 견해를 반드시 반영하지는 않습니다. 텍스트로 돌아 가기

2. 연방 준비 제도 이사회 참조, 사이버 보안 및 금융 시스템 복원력 보고서 ( PDF )( 워싱턴 : 이사회, 2022 년 7 월 ). 텍스트로 돌아 가기

삼. 보다 "피싱"( PDF ) 사이버 보안 및 인프라 보안 기관. 텍스트로 돌아 가기

4. Federal Deposit Insurance Corporation을 참조하십시오, 위험 검토 ( PDF ) ( 워싱턴 : Federal Deposit Insurance Corporation, 2022 년 6 월 ). 텍스트로 돌아 가기

5. 제 3 자 관계에 대한 제안 된 기관 간 지침 : 위험 관리, 86 Fed. 등록. 38182 ( 2021 년 7 월 19 일 ). 텍스트로 돌아 가기

6. 보다 "SR 21-15 / CA 21-11 : 금융 기술 회사에 대한 실사를 수행하는 커뮤니티 뱅킹 조직을위한 안내서," 연방 준비 제도 이사회, 2021 년 9 월 15 일 수정. 텍스트로 돌아 가기

7. 은행 조직 및 은행 서비스 제공 업체에 대한 컴퓨터 보안 사고 통지 요구 사항, 86 Fed. 등록 66424 ( 2022 년 4 월 1 일부터 유효 ). 텍스트로 돌아 가기

8. 연방 준비 제도 이사회 참조, 사이버 보안 및 금융 시스템. 텍스트로 돌아 가기

마지막 업데이트: 2023 년 2 월 15 일