欧洲央行正敦促欧元区各银行投入更多资金用于网络安全,警告称人工智能正在放大数字攻击的规模和速度。在一份发给受监管机构的最新指令中,欧洲央行表示,人工智能驱动的威胁激增要求大幅提升防御支出——而不仅仅是渐进式的修补。监管机构强调,未能跟上步伐的银行不仅危及自身系统,还可能威胁整个金融网络的稳定。
为何此时发出警告
网络犯罪分子已开始利用生成式人工智能和机器学习工具,制作更具欺骗性的钓鱼邮件、自动扫描漏洞并规避传统检测系统。欧洲央行近几周与银行共享的评估指出,这些攻击来得更快,且留下的痕迹更少。一个被攻破的凭证可能在银行安全团队发现入侵之前就引发跨境连锁泄露。央行的信息直白:旧套路行不通了。
时机并非偶然。欧洲银行已在应对更严格的资本规则和经济疲软。在此之上加入网络安全军备竞赛会令预算紧张,但欧洲央行明确表示,投资不足已不再是选项。GFdaily查阅的内部欧洲央行文件将当前威胁环境描述为“速度和范围前所未有”,但该行拒绝透露触发警报的具体事件。
欧洲央行的要求
该指令并未设定具体的支出目标——没有收入百分比或固定欧元金额。相反,它要求每家银行针对人工智能驱动的攻击向量进行新的风险评估,并提交多年投资计划。这些计划必须展示具体措施:招聘专业人员、升级威胁检测软件、运行模拟人工智能入侵的红队演练。拖延的银行将面临更频繁的现场检查,在极端情况下,还会因网络风险而被要求增加资本缓冲。
欧洲央行还希望银行更积极地共享威胁情报。“没有银行再是一座孤岛,”指令中写道。“在攻击模式和防御工具上的合作对整个系统至关重要。”几家大型欧元区银行已开始通过欧洲银行管理局运营的一个试点平台汇集数据,欧洲央行期望这一努力能够扩大。
更广泛的监管图景
来自法兰克福的这一推动与更广泛的监管趋势一致。欧盟《数字运营弹性法案》(DORA)已于2025年1月生效,要求金融公司定期测试其网络防御,并在数小时内报告重大事件。欧洲央行最新的呼吁更进一步,专门聚焦于人工智能层面。这表明监管机构将这项技术视为一种独特的威胁,而不仅仅是风险清单上的又一个项目。
规模较小的银行——通常缺乏大型竞争对手的雄厚财力——面临最大的挑战。欧洲央行已承认这一差距,并正在探索是否提供共享网络安全服务或协调采购防御工具。尚未宣布具体计划,但央行董事会预计将在6月会议上讨论相关选项。
目前,时间紧迫。银行必须在第三季度末之前提交人工智能风险评估和投资路线图。错过截止日期的银行将面临正式审查,并可能被欧洲央行监管报告公开点名。
