金融科技与网络安全:风险与应对
金融数据泄露事件频发,网络攻击成本上升
近日,一起银行未经客户同意泄露账户信息的事件引发公众热议,金融业的信息安全问题再度受到关注。信息安全始终是金融机构的关键任务之一,也是建立用户信任的核心因素。
科技发展使得数据成为重要资源,创新技术在安全领域的应用正如同在大势洪流中建设水电站,将数据转化为有价值的“清洁能源”。但同时,网络安全威胁也在不断进化,对行业提出了更高的技术要求。
根据埃森哲发布的《2019年网络犯罪成本研究报告》,2018年金融服务业在所有行业中因网络犯罪造成的损失最高。报告指出,随着数字化进程加快,黑客的目标和手段也趋于多样,网络威胁变得更加复杂。
报告强调了三个主要趋势:
- 新的目标:黑客不再仅仅追求数据窃取,而是将重点转向控制系统和基础设施,核心系统遭受攻击可能带来更大的破坏性后果。
- 新的影响:网络攻击不仅限于窃取信息,还涵盖更改、破坏数据等行为,数据完整性正面临严重挑战。
- 新的技术:攻击方式日益智能化,越来越多的网络攻击针对“人的因素”进行社会工程学攻击,例如网络钓鱼。
重大案例警示:Equifax事件
2017年9月,美国信用机构Equifax因未及时修复Apache Struts漏洞,导致1.47亿用户个人信息泄露,包括姓名、社保号、出生日期等敏感信息,并直接导致高层管理人员辞职。
类似的数据泄露事件并未停止,后续仍有数以万计的个人受牵连,最大单次事故影响范围高达1.3亿人。
数据显示,内部恶意攻击的处理成本高达平均每次243,000美元,平均解决周期超过50天。然而,仅有18%的金融企业首席信息安全官认为员工应当为信息安全负主要责任。
金融科技公司应如何提升安全能力?
报告指出,尽管人工智能、机器学习等新技术具备巨大潜力,但目前在金融行业的部署仍有限。只有三分之一的金融机构采用这些技术进行用户行为分析。
为此,埃森哲提出五个关键建议:
- 增强防御基于Web的攻击的能力
- 减少勒索软件的发生和传播
- 构建支持核心业务发展的底层技术架构
- 加大在自动化、人工智能、机器学习方面的投入
- 优化低效技术的使用方式,如传统的数据丢失预防系统
人力与技术并重,强化内部防控
报告显示,企业在“人为安全因素”上的支出仅占整体预算的9%,远低于网络层(37%)和应用层(27%)的投资规模。而内部人员违规行为带来的潜在危害正在加剧。
未来五年,银行业与资本市场预计将分别面临高达3470亿美元和470亿美元的安全相关经济损失。对此,埃森哲建议加强员工培训,严格权限管理,并结合高级分析、自动化工具等新型技术来提升整体安全性。
