数字化时代，金融服务企业如何保障网络信息安全？| 深度观点分享

近日，一则关于银行未经客户本人同意，泄露了其近两年的个人账户交易信息的新闻，在网络上引发热议，金融服务业对个人信息保护问题被推上舆论的风口浪尖。

金融行业对信息安全有着极高的要求，保证用户和企业内部信息安全一直是首要大事，也是取得社会信任的关键因素。随着科技的发展，数据越来越成为一种资源，创新技术在安全领域的应用就好比在数据的大势洪流之中，建立一座水电站，让数据变成一种有价值的清洁能源。

企业如何通过数字化、智能化的技术手段高效识别潜在风险，降低损失？2020年金融业网络安全前景又会是什么样的？我们选取咨询公司埃森哲的报告《2019年网络犯罪成本研究报告》进行编译解读，希望能为您带来启发。

金融科技，网络安全及如何管理风险

Fintech, Cybersecurity and How to Manage Risk

文 |  Matt High

编译 | Airwallex空中云汇

金融机构的数字化升级正在继续加快。在这样的新常态下，网络和信息安全问题也在不断进化，挑战越来越大。这要求行业保持最高标准的技术水平和应急准备，并时刻紧跟网络发展趋势。

根据埃森哲的《2019年网络犯罪成本研究报告》，在其2018年调研的所有行业中，金融服务业在遭遇网络犯罪时，所遭受的损失最高。

这项研究中解释说：“随着行业的发展，大环境产生了巨变，由此产生的威胁在急剧扩大，其复杂性也进一步提升。这就需要通过更多安全方面的创新来保护公司的生态系统。网络安全问题为任何组织和经济体带来的后续成本都是巨大的，而这一数字还在不断增加。”

在调研中，埃森哲发现信息盗窃是网络犯罪最严重，也是增长速度最快的结果。普遍而言，不断发展的全球网络安全威胁背后有多种驱动因素：

• 新的目标：数据不再是黑客唯一的目标。越来越多的全球企业开始遭受包括控制系统和基础设施在内的核心系统入侵，这可能导致更大的破坏。

• 新的影响：网络威胁已经远不止窃取数据这么简单。在单纯的信息丢失之外，还有通过破坏或更改数据以造成不信任的情况出现。如今，数据完整性本身已经很脆弱。

• 新的技术：入侵手段正在迅速适应网络环境。很多网络攻击者将重点放在“人的层面”上，通过网络钓鱼和恶意内部攻击，将目标对准最薄弱的一环——人的安全意识。 

金融科技和银行业：网络安全威胁

金融服务业最大的数据危机事件发生在2017年9月，当时作为三大消费者信用报告机构之一的Equifax泄露了1.47亿人的个人信息。

这起事故是由一个未修补的Apache Struts漏洞引起的——Apache Struts是Equifax位于美国的Web应用程序之一的框架。用户的姓名、社保号码、出生日期和其他信息均在事故中被泄露，并直接导致Equifax的几名C级主管引咎离职。 

然而这并非个案。在Equifax事件之后，依然有数以万计的个人和家庭在重大金融服务数据泄露事故中受到波及，单次最大影响范围可多达1.3亿。

在2019年发表的文章《注意安全：金融服务业中的网络犯罪》中，埃森哲将“网络攻击”定义为“通过内部/外部网络或互联网，透过IT基础设施对组织进行的恶意活动，包括对工业控制系统的攻击”。

文章提到，来自公司防火墙内部的恶意攻击和威胁是最危险的，平均每次事件的解决成本高达243,000美元，处理周期长达50多天。

这一结果与银行和金融服务机构息息相关，并应受到重视。埃森哲发现，在银行业和资本市场中，只有18％的首席信息安全官（CISO）认为其员工应对网络安全问题负责。

从历史上看，银行和金融服务机构都有一个重要的使命：保护所有人的资金和信息安全。然而在这方面，埃森哲表示，较少的企业会优先考虑对内部信息保护手段进行额外投资，以阻止内部人员获取数据或信息。

技术与网络攻击

埃森哲认为，创新技术在网络安全应用中并未充分发挥潜力。

例如，报告发现，只有三分之一的公司正在部署机器学习或人工智能等高新技术，而只有24％的公司表示他们会对网络和用户行为进行分析，从而发挥自己的优势——这一数字比起一年前的31％甚至有所下降。 

埃森哲称这种趋势令人沮丧，指出“金融服务公司都致力于努力跟上新技术的快速发展，而没有将更多的精力投资在提高运营效率并降低风险上”。

在网络威胁持续多样化的当下，对正确技术进行更集中的投资可以带来更大的回报。

针对这一问题，埃森哲提出了金融服务公司加强安全性的五个关键步骤：

• 增强防御基于Web的攻击的能力

• 关注如何减少勒索程序的出现

• 构建能够持续推动公司核心竞争力的底层技术

• 加大对自动化、机器学习和人工智能等回报率较高的技术的投资

• 管理“不太有效”的技术的使用，如企业管理、高级边界控制技术和被广泛使用的数据丢失预防系统。 

使用不同安全手段所能产生的成本效益对比。数据来源：埃森哲《2019年网络犯罪成本研究报告》

网络安全：人与机器

尽管恶意内部攻击不断增加，但埃森哲指出，企业在网络安全“人为层面”上的支出只占到总预算的9%，这是远远不够的。而对于网络和应用层的投资量最多，分别为37％和27％。

投资占比方面，安全情报和威胁共享信息以79%位居第一，不过预计人工智能和机器学习等创新技术将在未来享有更高的优先级，因为它们能为企业节省最多的成本。

在未来五年内，银行业和资本市场分别面临着高达3470亿美元和470亿美元的经济风险。为了防止这种情况发生，埃森哲建议企业采取以下措施：在安全和危机防范方面进行更深入的员工教育；加强对于特别访问权限的管理，确保任何员工都无法有机会破坏信息安全；灵活运用诸如高级分析和自动化之类的新型安全技术。