自冠状病毒疫情爆发以来,各行业数字渠道的应用呈指数级增长。这一变化使96%的组织对某种形式的数字曝光持开放态度,为网络犯罪分子和欺诈者提供了网络攻击的机会。
金融机构的数据泄露、欺诈和勒索软件攻击急剧增加。因为他们处理一些最敏感、最有价值的个人身份信息,所以这已经敲响了警钟(PII),而且是国民经济的基石。
数据泄露对金融服务公司的影响是昂贵的,不仅因为数据本身的价值,还因为声誉损害和监管负担。随着未来数字化的发展,漏洞的频率不断增加,金融机构必须优先考虑提高其安全性。
数字化和网络攻击:同一枚硬币的两个方面
在过去的一年里,人们目睹了大规模的数字迁移,因为几乎所有的事情都在网上进行。作为回应,金融服务业经历了快速而令人震惊的变化。
现在,50%的消费者每周至少通过应用程序或网站与银行互动一次,两年前只有32%。随着在线时间的增加,客户的期望也在增加。客户现在选择在线银行或移动银行,无论他们使用什么设备,无论他们在工作、在家还是在路上,他们都可以获得更好的体验。在创造更好用户体验的竞争中,金融服务提供商必须通过改进数据使用来更好地了解客户是谁,他们在哪里,他们使用什么设备。
这种数字化的速度和规模使金融服务业更加脆弱。继医疗保健行业之后,金融服务业成为网络攻击者的主要攻击目标,占所有数据泄露事件的12%。ForgeRock公司最近发布的一份调查报告显示,金融服务业勒索软件攻击增加了471%——从2020年第一季度报告的7起事件增加到2020年第二季度的40起。
勒索软件和未经授权访问的大量漏洞表明,当金融服务机构最容易受到网络攻击时,网络犯罪分子专门针对金融数据。在实施新数字解决方案的热潮中,一些金融服务公司在建设足够的安全基础设施方面存在不足。
最重要的是,金融服务业正经历监管转型期。金融服务公司一直承担着符合欧盟通用数据保护条例的规定(GDPR)、修订后的支付服务指令2(PSD2)以及英国和欧盟开放银行等法律法规的压力。在瞬息万变的环境中,许多企业难以遵守规定,从而将消费者数据和安全置于危险之中。
网络安全漏洞的真正成本
不可否认的是,数据泄露的严重性,尤其是勒索软件攻击。在几次备受关注的网络攻击后,司法部宣布将对勒索软件攻击的调查提高到类似恐怖主义的优先级。与此同时,英国网络防御官员警告说,勒索软件攻击现在比一些在线间谍活动对英国国家安全构成了更大的威胁。
2019年,金融服务业为英国经济贡献了1320亿英镑,占经济总量6.9%。鉴于金融数据的价值,网络犯罪分子不断攻击金融服务业也就不足为奇了。预计今年勒索软件攻击的损失将增加到149亿英镑,这是必须阻止的趋势。
但这不仅仅是财务和成本的首要任务,违规行为可能会破坏企业的声誉。2020年英国最引人注目的网络安全事件之一是对英国外汇公司Travelex该公司的勒索软件攻击因计算机病毒入侵而被迫关闭其网络。后来,该公司向黑客支付了180万英镑的赎金,受到了业界的批评,认为它将鼓励更多的网络攻击。该公司陷入了经营困境,不得不重组并裁员1300人。
建设严格的安全基础设施
为了扭转日益严重的威胁,金融服务公司需要优先加强其安全状况——他们应该采取三个关键步骤来帮助他们保护消费者数据,防止声誉受损,避免非法成本。
安全从业人员知道,网络攻击可能来自任何地方:消费者、员工或物联网设备(即连接网络的设备)。因此,金融服务公司必须实施解决方案来解决这三种潜在的攻击媒介,而不仅仅是一两种。做到这一点的最好方法是专注于它“数字身份”构建安全设施的概念——即使用实时场景数据来识别客户、员工或连接设备是谁,他们应该访问什么。采用以身份为中心的方法有额外的好处。一旦有足够的保证知道它是正确的设备、客户或员工,它也可以建立更好的用户体验。
一旦金融服务公司具有围绕身份构建的安全功能,下一步应包括在内“零信任”政策。在实践中,这意味着每个设备上的每个用户都需要在授予访问权之前获得适当级别的权限和身份验证。为了应对当前级别的复杂攻击,企业应该假设第三方在其他方式验证之前不能信任。建立一个混合访问控制平台意味着金融服务公司可以确保他们在任何环境下部署服务,他们都知道谁在访问他们的系统——并将有效边界从网络边缘移动到每个单独的存储数据。
最后,企业应该利用人工智能的新应用来加速和简化这种增强的身份和访问管理(IAM)系统。身份治理是一个自动化系统,其中最先进的系统使用人工智能自动识别和应用适当的用户访问权限。它还可以自动识别可疑的访问请求模式,并在违规前发出警报。这对企业的影响是,负责监督用户访问的安全团队可以更快地完成任务,资源更少——他们从被动防御转变为主动防御。
结论
网络犯罪分子充分利用了疫情带来的混乱和影响。数字迁移暴露了金融服务公司普遍存在的系统安全漏洞,使得保护敏感数据越来越困难。金融服务公司要想在新数字时代蓬勃发展,必须优先加强网络安全。
金融服务公司将以身份为中心的安全方法、零信任情况和现代人工智能支持的身份治理解决方案相结合至关重要。成功的回报将是持续的客户忠诚度和成功,但失败的成本可能是巨大的。