Wired World: Cyber Security and the US Economy: Statement of Catherine A. Allen

的声明
凯瑟琳·a·艾伦
首席执行官
BITS
技术组
对于
金融服务圆桌会议
之前
联合经济委员会
美国国会
2001年6月21日

早上好，主席先生，以及联合经济委员会的其他成员。我是佩吉·利普斯，比特安全与风险评估项目高级总监，比特是金融服务圆桌会议的技术小组。我在这里代表比特的首席执行官凯瑟琳·艾伦作证，她很遗憾不能亲自到场。该部门于一九九六年年底成立，专注于科技、商业和金融服务结合的关键问题。乐动冠军比特是一个非盈利行业联盟，也是金融服务圆桌会议的姊妹组织。BITS和圆桌会议的成员资格目前向美国最大的综合金融服务公司开放。这些机构包括花旗集团(Citigroup)、美国银行(Bank of America)、摩根大通(J.P. Morgan Chase & Co.)、富国银行(Wells Fargo & Co.)、Capital One、Chubb、保诚集团(Prudential)、State Farm、Raymond James和Goidman Sachs。比特不是一个游说组织;相反，我们作为一个商业和技术战略联盟。
BITS董事会由Synovus Financial Corp.董事长兼首席执行官James H. Blanchard担任主席。BITS董事会由美国20家最大的综合金融服务公司的董事长或首席执行官组成，代表银行、保险和证券业。美国银行家协会(American Bankers Association)和美国独立社区银行家(Independent Community Bankers of America)的代表也在董事会中，确保了各种规模金融机构的代表。我们的50个会员机构的资讯保安主管担任资讯保安及风险评估督导委员会的成员。

谢谢你邀请我出席今天的联合经济委员会。我们还想亲自向贝内特参议员表示感谢。这位参议员曾就安全和风险管理的话题与bit会面，并在bit金融服务安全实验室的启动仪式上与前参议员萨姆·纳恩(Sam Nunn)一起发表了主旨演讲。

今天我想和大家谈三个主要问题:

与我们的行业需要的关键基础设施保护问题的严重性由于电信、运输、电力和金融服务等核心部门之间的相互依赖性日益增强。电子商务需要提供者、客户和所有中介之间的合作关系，以确保安全的环境。

比特和金融服务业正在扮演的领导角色在安全和风险管理领域，以及我们如何通过关键基础设施安全伙伴关系(PCIS)与其他部门分享这些专业知识。

我们相信国会能做的和应该做的处理重要基础设施保安问题，包括:

支持公共/私营部门的伙伴关系;

对齐法律法规;

促进监管平等，

鼓励教育和理解。

金融服务业在风险管理方面的领导地位
金融服务业一直是安全保障的领导者。警惕和巨大的资源，随着时间的推移奉献精神使我们能够开发丰富的专业知识，经验和人才保障，风险管理和防范犯罪，如诈骗的地址的问题。乐动冠军

Online delivery of financial services depends on large and complex public as well as private networks� security must be built into every part of the system. The shift to electronic, and increasingly mobile, commerce extends the need for security all the way to the individual customer and to the implementing networks, servers, software and devices. Our industry is focused on protection of the integrity of the infrastructure for physical, as well as electronic, delivery of financial services and has taken steps to assure that the global architecture for financial transactions is as safe, secure and sound as possible. Our efforts and actions serve the entire e-commerce environment.

公共/私营部门伙伴关系
The financial services mdustly is dependent on the other core infrastructures� electric power, telecommunications, transportation� and they depend on financial services for their core operations. This interdependency is a key concern of both the private sector and the federal government, and the main reason Presidential Decision Directive 63 recommended a public-private partnership to address the issue.

确保电子商务所有参与者的安全的关键是跨界别的大力参与。没有一个部门可以单独解决这些问题。乐动冠军政府也不能。我们可以在金融服务领域开发模式，并正在开发这些模式，以协助各部门合作，确保共同支持国民经济的基础设施安全、健全和安全。适当的跨部门行动包括相互依存脆弱性分析、信息共享、提高认识、查明研究和发展差距，以及为制定一项知情的综合国家计划作出贡献，工业和政府可以将该计划用作行动的商业案例。

BITS”跨部门APPROACH
包容：我们参与这一进程的所有利益相关者。这意味着，包括政府机构，监管机构，并在我们的安全有关的举措和工作组的厂商。我们与安全相关的问题的其他行业团体紧密合作。乐动冠军我们与各种规模的金融机构，结果一个牢固的关系，部分美国独立社区银行家，美国银行家协会，美国的社区银行和CUNA在BITS”工作组的积极参与。

教育:我们确保利益相关者在相同的知识基础上工作。我们为我们的成员、监管机构的代表、国会议员、行业参与者和消费者提供关于风险问题以及如何使电子商务和移动商务环境更加安全和可靠的教育。乐动冠军

积极的努力:We address the vulnerabilities involved with the financial services sector's infrastructure� including technology, processes, people and insurance� through appropriate industry-driven efforts such as establishing self-regulatory guidelines and testing products against security criteria.

建立和建立强有力的公共/私营部门伙伴关系的一些例子包括:

时:重要基础设施保安伙伴关系成立于一九九九年，目的是透过跨界别的协调，促进和确保重要基础设施保安服务的可靠提供。PCIS正在开展一系列相互依赖脆弱性演习，扩大能源部的早期努力，在那里它将调查关键依赖和节点，与利益相关者组织的接触点，并制定补救和保护计划。BITS是创始成员之一。

你好:关键基础设施保障办公室（CIAO）是为了响应总统决定63的1998年5月作为一种机制，以协助联邦政府对关键基础设施保护举措的协调创建。自成立以来BITS已经介入。

FS /直接督导下的:金融服务/信息共享和分析中心（FS / ISAC）是匿名收集有关威胁，漏洞事件，分辨率和解决方案信息的工具。自成立以来BITS已经参与，并鼓励行业参与。

资讯科技及广播局金融服务保安实验室:该实验室由比特在1999年建立，针对金融服务社区的强大安全需求测试电子商务产品。

位的自律准则经过监管机构和行业利益相关者的审查

战略合作伙伴与美国海军和国防部合作

位的简报致监管机构和国会议员

BITS的白皮书和警报金融服务行业

位的方法，以问题的关键基础设施保护
bit使用一种专注于技术、流程和人员的风险管理模型来推动我们的安全和基础设施保护计划。

技术我们的目标是确保为我们行业开发的技术产品具有符合金融服务所需的有意义的安全标准的特性和功能。由于相关的成本、开发新版本产品的时间或缺乏对金融机构风险的了解，供应商并不总是包括安全保护。比特采用市场驱动的方法来影响供应商和产品开发过程。这些努力的一些例子包括以下方面。

比特金融服务安全实验室和BITS测试马克：位安全实验室测试电子商务产品对金融服务行业开发的安全标准。通过研讨会，针对哪些产品测试的12个产品轮廓与政府机构审核），包括海军和国防部，以及供应商。第一个产品要通过测试过程和测试接收马克BITS是惠普公司的HP Virtualvault 4.0。

BITS无线技术RFI：通过RFI(信息请求)流程，比特已与超过70家无线运营商、解决方案提供商和设备制造商合作，以识别和解决与移动商务中金融服务交付相关的安全和端到端可靠性问题。乐动冠军

流程与我们使用的技术同样重要的是，我们实施的流程创建了我们运营的关键基础设施。流程更难测试，但是，通过使用自我监管的指导方针和最佳实践，我们可以极大地增强基础设施的安全性。行业如何处理安全流程的示例包括以下内容。

综合服务自愿准则:金融服务业如何建立在公共/私营部门伙伴关系基础上的自律指导方针，一个很好的模型就是BITS刚刚在聚合服务上完成的工作。在线金融聚合服务允许消费者查看其所有帐户信息的合并视图。越来越多的服务将使金融交易和提供个性化的金融规划服务成为可能。来自80个组织的超过215名高管，包括监管机构、政府机构、技术提供商和金融机构，制定了提供聚合服务的商业指南。的位聚合服务的自愿准则解决安全，隐私，客户教育和信息披露，数据饲料标准，以及相关的法律和监管问题。乐动冠军

BITS框架管理信息技术（IT）服务提供商的关系：金融服务业越来越依赖信息技术(IT)服务提供商来支持其产品和服务的在线交付。这标志着方向的改变。人们更加认识到金融机构必须评估和管理与使用这种服务提供者有关的风险。在接下来的几个月里，BITS将发布基于行业最佳实践、安全和隐私要求的选择和管理IT服务提供商的指南，以及FFIEC指南。bit的指引为服务供应商和金融机构建立适当的管制提供了框架。这些指导方针最初由几个监管机构审查，6月份又由更广泛的金融机构、供应商和监管机构审查。

认证/ E-SIGN工作组：通过绘制关键金融交易的地图，跨行业正在努力解决认证过程的需求，包括风险水平和适当的技术或其他解决方案，以抵消潜在的安全漏洞。最终，我们希望推动开放的、可互操作的认证标准的开发和实现。

人� People we employ, vendors we use, customers we serve and the agencies that regulate us have an impact on the level of security of the financial services industry's infrastructure. Through research and educational programs, often conducted in concert with organizations such as BAI, ECCHO, the American Bankers Association, the Independent Community Bankers of America and other industry groups, we are ensuring that the knowledge and skills, necessary to work as informed partners with the financial services industry, are provided to address security and risk management issues. We have participated in educational programs sponsored by, or developed for, federal agencies such as the OTS, OCC, Federal Reserve Board and the US Patent and Trademark Office. We speak at more than 100 industry events each year.
保险� Even with the best of processes and products, no system will be 100% secure. There will be gaps. Increased concerns over security-vulnerabilities� and the complexity of identifying and quantifying vulnerabilities from e-commerce related activities� are driving a need to review the role of insurance. This is both as a solution within an organization's overall risk management strategy and as an incentive to raise the level and quality of security within the interdependent critical infrastructure networks. BITS has organized an initiative to help define and fill the gaps and we have been working with the Critical Infrastructure Assurance Office (CIAO) to address the role of public and private sector involvement.

挑战

正如我们我们的行业领域内工作，。而与其他部门，我们也遇到了跨部门合作的一些障碍，我们想提请你注意。我们相信我们能够克服大部分的这些，但有些人可能需要从美国国会议员的协助。

我们国家对自动化和互联网络的依赖，以及各部门之间的相互依赖所造成的日益严重的影响，并不是所有人都意识到这一点。PCIS与关键基础设施保证办公室(CIAO)合作，制定了一个广泛的宣传和推广计划，目标是几个关键群体，从首席执行官和政府主管到他们的员工、审计员和系统管理员。由于我们的经济依赖于这种自动化、相互关联的网络和相互依赖的基础设施来提高生产率，因此，不要仅仅从国家安全或执法的角度来看待关键的基础设施保护，这一点很重要。关键的基础设施保护对于确保一个强健的经济给国家带来的所有好处是必要的。因此，必须承认国家备灾领导责任，并使适当的政府社区与这种领导密切协调。

在信息共享和脆弱性评估方面存在着明显的、真实的和可察觉的障碍。《信息自由法》(FOIA)旨在向公众提供有关政府行为的信息，但一些公司不愿与政府共享漏洞信息，因为担心竞争对手随后提出FOIA要求。此外，一些公用事业公司不愿进行脆弱性评估，因为它们的州法律要求向公众全面披露信息，而这样的披露可能损害消费者信心，这将极大地使改进工作复杂化。阳光法案在各州之间差别很大，使得问题更加复杂。

互联网没有国界，但世界各地的各种国防和执法机构都受到陈旧的物理限制。对于在几分钟或几秒钟内跨越国界进行的犯罪行为，实体司法管辖权是无关紧要的。一些努力正在进行中，以解决国际层面的关键基础设施保护，大会应意识到其影响。

网络安全“技术差距”还在不断增加。美国国家安全局(National Security Agency)的“信息保障卓越中心”(Centers of Excellence in Information Assurance)已确定23所大学拥有优秀项目，新生的“网络部队”(Cybercorps)服务奖学金项目是一个良好的开端，但还有更多工作要做。

市场力量本身并不能提供足够的研究和开发，以满足行业经济安全和国家安全的需要。PCIS正在对工业、学术界和政府对现有和计划中的关键基础设施保护研究进行差距分析。这项研究的目的是查明工作的重复领域，突出各部门和政府查明的市场无法满足的需要。政府可以利用这份报告提供激励或直接资助必要的研究，以缩小差距。此外，对我们关键基础设施的攻击可能需要连贯和全面的快速反应计划，其范围与应急管理机构在处理自然灾害时所使用的计划相似。

While financial institutions are increasingly providing educational support to their customers� for example, with recommendations for protecting their personal computers' security when conducting online financial transactions�对一般公众需要更多的跨部门和普及教育。

建议
我们建议您和其他国会议员在处理基础设施保护这一关键问题时考虑以下建议:

支持公营部门与私营机构的伙伴关系:该种我们已经描述voluntaiy准则和业务实践，以及对PCI的工作，实际上已经已经启用跨部门有效的自律与合作。我们认为，这种强大的公共/私营伙伴关系将继续工作，并应通过国家领导和政府社区组织的支持。

对齐法律法规：我们已经承担起责任，向整个金融服务业提供连贯的基于行业的建议。我们相信政府可以在合理化国家跨部门的法律和监管框架方面发挥同样有效的作用。在安全和隐私方面，当机构不得不对各种相互冲突的法律法规做出回应时，就会在效率和资金方面损失惨重。例如，在隐私和安全等极其重要的领域，联邦可能需要优先采用州法律。底线是，不同的，有时甚至是相互冲突的法律和法规会分散我们的资源，实际上增加安全风险和漏洞。

促进监管平等:确保所有提供金融服务的实体都被要求遵守与目前受监管的金融机构同样有意义的安全和隐私标准，特别是在金融机构和IT服务提供商之间的界限变得模糊的情况下。

鼓励教育和理解:我们要继续工作coUaborativelywith你在种安全，健康和安全方面所必需的消费者信心和经济的增长促进了电子商务的发展。我们会很乐意提供简报，编写白皮书，提供专家，并在任何方式适合于帮助您的工作和其他人了解参与我们的关键基础设施的安全性问题的关键特性和复杂性。乐动冠军

封闭的思想
主席先生和委员会成员，我已经给你我们对关键基础设施保护的问题如何严重的是对金融服务行业，是位时，PCIS，金融和安全社区的其他成员已经采取了领导的观点;而关于如何国会提出了一些建议可能会接近这个问题。我们认为，这是新兴的强有力的公共/私营部门的伙伴关系是正确的做法。我们将与您委员会的工作和其他国会议员更具体在哪里，法律法规需要对齐，其中规定应适用于为了让所有的玩家坚持安全和风险管理priilciples，并在进一步教育和理解是建议需要。
我想感谢PCIS在准备这份证词时的合作和协助。

谢谢你给我这个机会来作证。我很高兴回答你的任何问题，我们会很高兴，以满足委员会的工作人员或任何成员亲自来讨论更详细的证词方面。

额外的信息

Catherine A. Alien，首席执行官
佩吉·利普斯，高级总监
BITS
金融服务圆桌会议
805 15FH街西北，600套房
华盛顿20005年
(202)289 - 4322电话
（202）289-0193传真
(电子邮件保护)
(电子邮件保护)
www.bitsinfo。org

附录
当前的网络安全环境
虽然新技术创造新的机会，他们也开门新类型的攻击，新威胁和新的安全漏洞。大约100种新的漏洞每月添加到米特的通用漏洞披露（CVE）列表。攻击包括窃取数据的网络敲诈，信用卡信息被盗质量，服务的自动拒绝，并协同行动目标美国电子金融和电子商务网站举办的黑客团体的情况。所有这些风险都对经济，我们国家的安全，当然消费者信心产生负面影响的可能性。

计算机安全协会（CSI）于2001年3月公布了其第六次年度的成果“计算机犯罪和安全调查。”调查证实，从计算机犯罪和其他信息安全漏洞的威胁有增无减，而且财务收费的安装。最严重的经济损失，通过专有信息和金融欺诈盗窃发生。从病毒的损失，内幕滥用的网络访问，并受到外界系统的渗透也很大。据调查：

“对于连续第四年，更多的受访者（70％）引述他们的Internet连接作为攻击点频繁引用相比其内部系统的攻击（31％）的频繁点。”

94％检测到的计算机病毒，从85％，2000年。

40％检测到的系统的渗透从外部，从25％，2000年。

以互联网电子商务为例，78%的受访者表示拒绝接受服务，高于2000年的60%;13%的受访者表示交易信息被盗，高于2000年的8%。

由于这种攻击的结果，安全的产品和服务市场预计以每年28％的速度到2005年支出最大的2500全球总部位于美国的公司之间的安全成长在未来两年将增加55％。