根据英国央行最近进行的一项系统性风险调查,79%的调查参与者认为网络攻击是英国金融体系中最常见的风险。需要指出的是,在俄乌冲突之前进行的一项调查中也提到了此类事件风险增加的警告。除了连续第二年成为银行业的头号威胁外,65%的参与调查的金融业公司还认为网络攻击是面临的最具挑战性的风险。为了更好地抵御潜在的网络攻击,金融机构需要开始以不同的方式思考网络安全、风险和弹性。为什么会这样?物联网和其他运营技术设备极大地扩展了金融行业的攻击面,同时也出现了多个防御盲点,这是一个未被充分认识的安全挑战。无法确保自己摆脱网络风险和恢复力的泥潭当谈到网络风险和恢复力时,光有“网络保险”是不够的。英国央行在其最新的弹性商业报告中证实,在网络方面,网络保险缺口仍然很大,90%的网络风险损失没有投保。如果这不能说服加强网络风险管理的最佳实践应该成为企业的优先事项,那么未来会怎样?英国金融行为监管局(FAC)将运营弹性定义为“商业、金融市场基础设施和金融部门预防、适应和响应、从运营中断中恢复并从中学习的能力”。正如该机构指出的那样,这种“吸收冲击而不是加剧冲击”的能力至关重要。作为英国金融行为监管局(FAC)规则和指南的一部分,它适用于银行、建筑协会、英格兰银行审慎监管局(PRA)指定的投资公司、保险公司、认可的投资交易所、范围扩大的高级管理人员根据2017年支付服务条例授权和注册的人员和认证制度公司和实体,以及根据2011年电子货币条例授权和注册的实体。从2022年3月31日到2025年3月31日,这些实体必须做出必要的投资以在其影响容限内继续运营。金融行为监管局(FAC)和英格兰银行审慎监管局(PRA)建议,为了从高层次理解网络弹性,企业需要能够回答以下问题:您如何识别和保护关键资产?您如何检测和响应事件以恢复业务并从中吸取教训?了解企业技术债务并找出网络安全盲点可以弄清楚一件事:金融机构内部的IT安全绝对不是普遍不完善。但是,当您开始深入研究物联网和其他运营技术(例如楼宇管理系统)为网络安全世界带来的设备细节时,事情开始变得有些模糊。金融机构使用的任何带有互联网网关的设备都可能带来额外的风险,这是另一个弱点。特别是如果这些机构没有充分评估对此类硬件和软件的支持或缺乏支持的水平,则此类硬件和软件可能被视为网络攻击者可以利用的漏洞。这种“技术债务”可以被视为增加的安全成本,其中遗留设备要么不再受支持,要么即将失去其安全更新和漏洞补丁以及影响防御的安全网。例如,物联网网络安全公司Armis曾经进入并扫描了一家金融机构的环境,结果发现该机构依赖的是思科系统,而思科系统又依赖于即将淘汰的技术。不幸的是,即使在高度监管的金融服务领域,这种缺乏可见性以及因此无法正确评估业务安全风险的情况并不少见。可见性是扩展网络安全和提高业务弹性的关键您拥有哪些访问权限。问题在于,当人们谈论物联网时,传统的IT安全工具、策略和流程不太可能提供“内容、地点、人员和方式”。这可能是供应链中的物联网和安全摄像头之类的东西,这些东西可能由外部承包商管理,但仍构成您业务不断扩大的攻击面的一部分。信息技术和运营技术的融合,业务网络和控制系统的跨界,都非常有利于金融机构的数字化转型;与其他技术一样,它们也会带来额外的网络风险。因此,需要一个资产视图来实时跟踪每个设备、审计和验证企业中的每个环境。通过获得每项资产(包括以前未发现或管理不善的资产)的统一和多维视图,可以更好地检测和缓解网络威胁。在减轻企业风险时,需要这种可见性来提供清晰度。但是,此解决方案还需要具有反应性,以便在提供与现有工具的集成时不会中断日常操作。将其视为发现和识别真正风险的网络资产情报,以便您可以主动缓解威胁。这是一种与正常情况不同的思维方式,但也许现在是人们需要以不同方式思考网络安全、风险和弹性的时候了。
