金融機構的數據泄露、欺詐和勒索軟件攻擊急劇增加。這已經敲響了警鐘,因為它們處理一些最敏感和最有價值的個人身份信息(PII),并且是國民經濟的基石。
數據泄露對金融服務公司的影響是代價高昂的,不僅因為數據本身具有的價值,還因為隨之而來的聲譽損害和監管負擔。隨著數字化在未來的發展,漏洞發生的頻率不斷上升,金融機構必須將提高其安全性作為優先事項。
數字化和網絡攻擊:同一枚硬幣的兩個方面?
在過去的一年多時間中,人們目睹了大規模的數字遷移,因為幾乎所有的事情都在網上進行。而作為回應,金融服務行業經歷了快速而震撼的轉變。
現在,50%的消費者每周至少通過應用程序或網站與銀行互動一次,而兩年前其比例只有32%。隨著在線時間的增加,客戶的期望也在增加。客戶現在選擇網上銀行或移動銀行,無論他們使用什么設備,也無論他們是在工作、在家還是在路上,都可以獲得更好的體驗。在創造更好的用戶體驗的競爭中,金融服務提供商必須通過改進數據使用來更好地了解他們的客戶是誰、他們在哪里以及他們使用什么設備。
這種數字化的速度和規模使金融服務行業變得更加脆弱。而繼醫療保健行業之后,金融服務行業成為網絡攻擊者最主要的攻擊目標,占到所有數據泄露事件的12%。ForgeRock公司日前發布的一份調查報告表明,針對金融服務行業的勒索軟件攻擊增加了471%——從2020年第一季度報告的7起事件增加到2020年第二季度的40起。
勒索軟件和未經授權訪問漏洞的大量增加表明,網絡犯罪分子在金融服務機構最容易受到網絡攻擊的時候專門針對金融數據。在實施新的數字解決方案的熱潮中,一些金融服務公司在建設足夠的安全基礎設施方面出現了不足。
最重要的是,金融服務行業正在經歷監管轉型期。金融服務公司一直承受著滿足歐盟通用數據保護條例(GDPR)、修訂后的支付服務指令2(PSD2)以及英國和歐盟的開放銀行等法規的壓力。在瞬息萬變的環境中,許多企業難以遵守規定,從而將他們的消費者數據和安全置于危險之中。
網絡安全漏洞的真正代價
不可否認數據泄露問題的嚴重性,特別是勒索軟件攻擊。在發生了幾起備受關注的網絡攻擊之后,美國司法部宣布將把對勒索軟件攻擊的調查提升到與恐怖主義類似的優先級。與此同時,英國網絡防御負責人警告說,與一些在線間諜活動相比,勒索軟件攻擊現在對英國國家安全構成的威脅更大。
2019年,金融服務行業為英國經濟貢獻了1320億英鎊,占經濟總量的6.9%。鑒于金融數據的價值,網絡犯罪分子不斷針對金融服務行業進行網絡攻擊也就不足為奇了。預計今年勒索軟件攻擊的損失將增長到149億英鎊,這是必須阻止的趨勢。
但這不僅僅是財務和成本的當務之急,違規行為可能會破壞企業的聲譽。2020年英國最引人注目的網絡安全事件之一是對英國外匯商Travelex公司的勒索軟件攻擊,該公司由于計算機病毒入侵而被迫關閉其網絡。后來發現該公司已向黑客支付了180萬英鎊的贖金,這一舉動被業界批評,認為將會鼓勵更多網絡攻擊。該公司在此陷入運營困境,不得不進行重組,并裁員1300人。
構建嚴密的安全基礎設施
為了扭轉這種日益嚴重的威脅,金融服務公司需要優先加強其安全態勢——他們應該采取三個關鍵步驟,來幫助他們保護消費者數據、防止聲譽受損,并避免違規成本。
安全從業人員很清楚,網絡攻擊可能來自任何地方:消費者、員工或物聯網設備(即連接網絡的設備)。因此,金融服務公司必須實施一種解決方案來解決這三種潛在的攻擊媒介,而不僅僅是一兩個。做到這一點的最佳方法是圍繞“數字身份”的概念構建一個安全設施——即使用實時場景數據來識別客戶、員工或連接設備是誰,他們應該訪問什么。采用以身份為中心的方法有一個額外的好處,一旦有足夠的保證知道它是正確的設備、客戶或員工,那么也可以建立更好的用戶體驗。
一旦金融服務公司擁有圍繞身份構建的安全功能,下一步應該是納入“零信任”政策。這在實踐中意味著要求每臺設備上的每個用戶都只有適當級別的權限,并且在被授予訪問權限之前經過身份驗證。為了應對當前級別的復雜攻擊,企業應該假設第三方并不能讓人信任,直到他們以其他方式進行驗證。構建混合訪問控制平臺意味著金融服務公司可以始終確保他們無論在何種環境中部署他們的服務,他們都要知道誰在訪問他們的系統——并且將有效邊界從網絡邊緣移動到每個單獨的存儲數據。
最后,企業應該利用人工智能的新應用來加速和簡化這種增強的身份和訪問管理(IAM)系統。身份治理是一個自動化系統,其中最先進的系統利用人工智能自動識別并應用適當的用戶訪問權限。它還能夠自動識別可疑的訪問請求模式,在違規發生之前發出警報。這對企業的影響是,負責監管用戶訪問的安全團隊可以用更少的資源更快地完成任務——并且他們從被動防御轉變為主動預防。
結論
網絡犯罪分子充分利用了疫情帶來的混亂和影響。數字遷移暴露了金融服務公司普遍存在的系統安全漏洞,并使保護敏感數據變得越來越困難。如果金融服務公司想在新數字時代蓬勃發展,他們必須將加強網絡安全作為優先事項。
將以身份為中心的安全方法、零信任態勢和現代人工智能支持的身份治理解決方案結合起來,這對金融服務公司來說至關重要。成功的回報將是持續的客戶忠誠度和成功,但失敗的代價可能是巨大的。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號