自冠状病毒大流行爆发以来,数字渠道的采用在各个行业呈指数级增长。这种转变使96%的组织对某种形式的数字曝光持开放态度,为网络犯罪分子和欺诈者提供了攻击机会。金融机构经历了数据泄露、欺诈和勒索软件攻击的急剧增加。这已经敲响了警钟,因为它们处理一些最敏感和最有价值的个人身份信息(PII),并且是国民经济的基石。数据泄露对金融服务公司的影响代价高昂,这不仅是因为数据内在的价值,还因为随之而来的声誉受损和监管负担。随着未来数字化的发展和违规频率的持续上升,金融机构必须将提高安全性作为首要任务。数字化和网络攻击:同一枚硬币的两面?在过去一年左右的时间里,我们目睹了大规模的数字迁移,因为几乎所有事情都发生在网上。作为回应,金融服务业经历了快速而巨大的转变。50%的消费者现在每周至少通过应用程序或网站与银行互动一次,高于两年前的32%。随着在线时间的增加,客户的期望也会增加。客户现在选择在线或手机银行以获得更好的体验,无论他们使用什么设备,无论他们是在工作、在家还是在旅途中。在创造更好用户体验的竞赛中,金融服务提供商必须通过改进数据使用,更好地了解他们的客户是谁、他们在哪里以及他们使用什么设备。这种数字化的速度和规模使金融服务业更加脆弱。在医疗保健行业之后,金融服务行业是网络攻击者的首要目标,占所有数据泄露事件的12%。ForgeRock最近的一项调查发现,针对金融服务行业的勒索软件攻击增加了471%——从2020年第一季度的7起报告事件增加到2020年第二季度的40起。勒索软件和未经授权的访问漏洞的大量增加表明网络犯罪分子专门针对金融数据在金融服务组织最容易受到网络攻击的时候。在急于实施新的数字解决方案的过程中,一些金融服务公司未能建立足够的安全基础设施。最重要的是,金融服务业正在经历一段监管转型期。金融服务公司一直面临着满足欧盟通用数据保护条例(GDPR)、修订后的支付服务指令2(PSD2)以及英国和欧盟的开放银行等法规的压力。在瞬息万变的环境中,许多企业都在努力遵守法规,将他们的消费者数据和安全置于风险之中。网络安全漏洞的真实成本不可否认数据泄露问题的严重性,尤其是勒索软件攻击。在发生几起备受瞩目的网络攻击之后,美国司法部宣布将对勒索软件攻击的调查提升到与恐怖主义类似的优先级。与此同时,英国网络防御负责人警告说,勒索软件攻击现在对英国国家安全构成的威胁比某些在线间谍活动更大。2019年,金融服务业为英国经济贡献了1320亿英镑,占经济的6.9%。鉴于金融数据的价值,网络犯罪分子继续通过网络攻击瞄准金融服务行业也就不足为奇了。今年勒索软件攻击造成的损失预计将增至149亿英镑,这一趋势必须制止。但这不仅仅是财务和成本上的当务之急,数据泄露还会损害企业的声誉。2020年英国最引人注目的网络安全事件之一是针对英国外汇经纪商Travelex的勒索软件攻击,该公司因计算机病毒入侵而被迫关闭网络。后来透露,该公司已向黑客支付了180万英镑的赎金,此举被业界批评为鼓励更多的网络攻击。该公司在这里遇到了经营困难,不得不重组并裁员1300人。构建强大的安全基础设施为了扭转这一日益严重的威胁,金融服务公司需要优先加强其安全态势——他们应该采取三个关键步骤来帮助他们保护消费者数据、防止声誉受损并避免违规成本。安全从业者很清楚网络攻击可能来自任何地方:消费者、员工或物联网设备(即连接到网络的设备)。因此,金融服务公司必须实施一种解决方案来解决所有三种潜在的攻击向量,而不仅仅是一两个。做到这一点的最佳方法是围绕“数字身份”概念构建安全基础设施——使用实时上下文数据来识别客户、员工或连接的设备是谁,以及他们应该访问什么。采用以身份为中心的方法还有一个额外的好处,即一旦有足够的保证知道它是正确的设备、客户或员工,就可以构建更好的用户体验。一旦金融服务公司拥有围绕身份构建的安全功能,下一步应该是纳入“零信任”政策。这在实践中意味着要求每个设备上的每个用户仅具有适当级别的权限,并在被授予访问权限之前进行身份验证。为了应对当前水平的复杂攻击,组织应该假设第三方在经过其他验证之前是不可信任的。构建混合访问控制平台意味着金融服务公司始终可以确保,无论他们在什么环境中部署服务,他们都知道谁在访问他们的系统——并将有效性的边界从网络边缘转移到每个人存储数据.最后,企业应利用人工智能的新应用来加速和简化这种增强的身份和访问管理(IAM)系统。身份治理是一个自动化系统,其中最先进的系统利用人工智能自动识别和应用适当的用户访问权限。它还会自动识别可疑的访问请求模式,并在违规发生之前发出警报。对企业的影响是,负责监督用户访问的安全团队可以用更少的资源更快地完成工作——他们从被动防御转变为主动预防。结论网络犯罪分子充分利用了爆发的混乱和影响。数字迁移暴露了金融服务公司普遍存在的系统安全漏洞,并使保护敏感数据变得越来越困难。如果金融服务公司想在新的数字时代蓬勃发展,他们必须将加强网络安全作为优先事项。将以身份为中心的安全方法、零信任态势和现代人工智能驱动的身份治理解决方案相结合,对于金融服务公司来说至关重要。成功的回报将是持续的客户忠诚度和成功,但失败的代价可能是巨大的。
