大家都说,3月的最后10天是金融交易所的网络安全周。3月21日,我在孟买参加世界交易所联合会(World Federation of Exchanges)委员会会议新的cyber-working组我们是在12月成立的。四天后,我在多哈参加年度会议世界交流大会在那里,我会见了该地区几个交易所的网络安全领导人,讨论了网络安全最佳实践的发展。3月26日,我在华盛顿美国证券交易委员会金融行业网络安全圆桌会议我和来自芝加哥商业交易所集团(CME Group)、芝加哥期权交易所(Chicago Board Options Exchange)以及堪萨斯Lenexa的BATS Global Markets的同行们坐在一起,讨论美国市场系统和交易所的网络安全努力。在某些方面,这三个地方是完全不同的。然而,对网络安全的担忧是完全相同的。
尽管对这些问题的个人兴趣和解决方法各不相同,但有三个共同的主题:首先,需要在交易所创建更智能的网络安全最佳实践;第二,作为一个行业,需要在不过度依赖政府援助的情况下更有效地合作;第三,需要帮助我们的监管者理解我们在做什么,这样我们才能在一个更安全的环境中运作。
金融服务行业处于主动网络安全的前沿。金融业的成功至关重要的一点是,需要跨越竞争通道和地理边界,分享最佳实践,保护客户免受网络攻击。金融行业在这方面有很多经验。考虑到它是世界货币的发源地,也是个人和国家经济地位的象征,它是一个常见的攻击目标。
然而,在金融服务行业内部,交易所仍然缺乏全行业的网络安全标准,类似于国际标准化组织(International Organization of Standardization)等国际会计师事务所制定的标准。但这种情况可能很快就会改变。
在奥巴马政府的委托下,金融交易网络安全最佳实践的一个潜在框架已于去年完成。这个计划被命名为改善关键基础设施网络安全的国家标准和技术研究所框架,得到了我在各种交流中遇到的网络安全主管们的掌声。(披露:纳斯达克OMX参与了几个行业委员会,对NIST的发展提供了反馈。)
实现网络安全政策的一致性对交易所来说可能不可行,因为监管机构之间没有太多重叠。建立一个独立的机构来监管所有交易所监管机构将会有所帮助,但这一想法存在法律障碍。目前,尽管网络安全问题不仅仅局限于本地威胁,但每家交易所都必须依靠其管辖范围内的监管机构——以及公众。
金融交易所可以不断改善合作的一种方式是支持世界各地迅速发展的小型交易所,这些交易所可能有也可能没有可靠的网络安全计划,甚至可能没有对网络威胁的了解。制定一个多层次的防御策略并不容易。而且,这些刚刚起步的交易所往往既无法获得可靠的威胁情报——即谁在攻击它们——也没有手段来检测这些网络攻击。更成熟的交流可以提供支持和分享知识。合作是加强防范安全攻击的关键。
最终将会有一个国际监管机构,推动交易所采用通用的网络安全标准。与此同时,几位行业领袖已经聚在一起,就地方监管机构更多地参与此事的方式达成了一致。首先,他们可以举办更多的行业测试活动,比如2013年7月18日,量子黎明2的网络攻击模拟通过这种方式,问题可以迅速而轻松地形象化,并由我们所有人同时解决。第二,他们可以继续探索交易所应该如何应对网络相关事件的披露要求。第三,监管机构可以制定一份通用指南,指导交易所应如何处理可能受到网络攻击影响的交易。
总的来说,金融交易所和监管机构朝着正确的方向迈出了令人难以置信的步伐。我非常自豪能与各种国际网络安全专家、商业领袖、监管机构和市场参与者一起工作,他们致力于帮助交易所提高其弹性,并确保该行业在世界金融经济中的核心地位。
马克·格拉夫(Mark Graff)是纳斯达克OMX公司的首席信息安全官,也是加利福尼亚州利弗莫尔市劳伦斯·利弗莫尔国家实验室的前网络安全策略师。