张如旭
自从新型冠状病毒疫情发生以来,数字渠道的采用在各行业领域都呈现指数级增长。这种转变使 96 %的组织对某种形式的数字暴露持开放态度,为网络犯罪分子和欺诈者提供了网络攻击的机会
金融机构的数据泄露、欺诈和勒索软件攻击急剧增加,已经敲响了警钟,因为它们在处理一些最敏感和最有价值的个人身份信息(PII),并且是国民经济的基石。
数据泄露对金融服务公司的影响是代价高昂的,不仅因为数据本身具有的价值,还因为随之而来的声誉损害和监管负担。随着数字化在未来的发展,漏洞发生的频率不断上升,金融机构必须将提高其安全性作为优先事项。
数字化和网络攻击
在过去的一年多时间里,人们目睹了大规模的数字迁移,因为几乎所有的事情都在网上进行,金融服务行业经历了快速而震撼的转变。
现在,50 %的消费者每周至少通过应用程序或网站与银行互动一次,而两年前其比例只有 32 %。随着在线时间的增加,客户的期望也在增加。客户现在选择网上银行或移动银行,无论他们使用什么设备,也无论他们是在工作、在家还是在路上,都可以获得更好的体验。在创造更好用户体验的竞争中,金融服务提供商必须通过改进数据使用来更好地了解他们的客户是谁、在哪里以及使用什么设备。
这种数字化的速度和规模使金融服务行业变得更加脆弱。而继医疗保健行业之后,金融服务行业成为网络攻击者最主要的目标,占到所有数据泄露事件的 12 %。Forge Rock 公司日前发布的一份调查报告表明,针对金融服务行业的勒索软件攻击增加了 471 %,从 2020 年第一季度报告的 7 起事件增加到 2020 年第二季度的 40 起。
勒索软件和未经授权访问漏洞的大量增加表明,网络犯罪分子在金融服务机构最容易受到网络攻击的时候专门针对金融数据。在实施新的数字解决方案的热潮中,一些金融服务公司在建设足够的安全基础设施方面出现了不足。
最重要的是,金融服务行业正在经历监管转型期。金融服务公司一直承受着满足欧盟通用数据保护条例(GDPR)、修订后的支付服务指令 2(PSD2)以及英国和欧盟的开放银行等法规的压力。在瞬息万变的环境中,许多企业难以遵守规定,从而将他们的消费者数据和安全置于危险之中。
网络安全漏洞的真正代价
不可否认数据泄露问题的严重性,特别是勒索软件攻击。在发生了几起备受关注的网络攻击之后,美国司法部宣布将对勒索软件攻击的调查提升到与恐怖主义类似的优先级。与此同时,英国网络防御负责人警告说,与一些在线间谍活动相比,勒索软件攻击现在对英国国家安全构成的威胁更大。
2019 年,金融服务行业为英国经济贡献了 1 320 亿英镑,占经济总量的 6.9 %。鉴于金融数据的价值,网络犯罪分子不断针对金融服务行业进行网络攻击也就不足为奇了。预计今年勒索软件攻击的损失将增长到 149 亿英镑,这是必须阻止的趋势。
但这不仅仅是财务和成本的当务之急,违规行为可能会破坏企业的声誉。2020 年英国最引人注目的网络安全事件之一是对英国外汇商 Travelex 公司的勒索软件攻击,该公司由于计算机病毒入侵而被迫关闭其网络。后来发现该公司已向黑客支付了 180 万英镑的赎金,这一举动被业界批评,认为将会鼓励更多网络攻击。
构建严密的安全基础设施
为了扭转这种日益严重的威胁,金融服务公司需要优先加强其安全态势,他们应该采取 3 个关键步骤,来帮助他们保护消费者数据、防止声誉受损,并避免违规成本。
安全从业人员很清楚,网络攻击可能来自任何地方:消费者、员工或物联网设备。因此,金融服务公司必须实施一种解决方案来解决这 3 种潜在的攻击媒介,而不仅是 1~2 个。做到这一点的最佳方法是围绕数字身份的概念构建一个安全设施——即使用实时场景数据来识别客户、员工或连接设备是谁,他们应该访问什么。采用以身份为中心的方法,优点是,一旦有足够的保证知道它是正确的设备、客户或员工,那么也可以建立更好的用户体验。
一旦金融服务公司拥有围绕身份构建的安全功能,下一步应该是纳入零信任政策。这在实践中意味着每台设备上的每个用户都只有适当级别的权限,并在被授予访问权限之前经过身份验证。为了应对当前级别的复杂攻击,企业应该假设第三方并不能让人信任,直到他们以其他方式进行验证。构建混合访问控制平台意味着金融服务公司可以始终确保无论在何种环境中部署服务,都可以知道谁在访问他们的系统—— 并且将有效边界从网络边缘移动到每个单独的存储数据。
最后,企业应该利用人工智能的新应用来加速和简化这种增强的身份和访问管理(IAM)系统。身份治理是一个自动化系统,其中最先进的系统利用人工智能自动识别并应用适当的用户访问权限。它还能自动识别可疑的访问请求模式,在违规发生之前发出警报。这对企业的影响是,负责监管用户访问的安全团队可以用更少的资源更快地完成任务,并且从被动防御转变为主动预防。
網络犯罪分子利用了疫情带来的混乱和影响。数字迁移暴露了金融服务公司普遍存在的系统安全漏洞,并使保护敏感数据变得越来越困难。
将以身份为中心的安全方法、零信任态势和现代人工智能支持的身份治理解决方案结合起来,这对金融服务公司来说至关重要。成功的回报将是持续的客户忠诚度,但失败的代价可能是巨大的。