我来简单概括一下《后疫情时代的网络安全,聚焦金融服务》这篇报告的内容,以下是报告的一部分内容,更多内容请参考原报告。
受疫情影响,金融科技企业不得不加速推出多个项目以 支持远程办公员工,协助各业务线提供数字化优先的产 品和服务。为了跟上这些变化的步伐,企业需竭力适应 完全不同的员工和客户互动模式,因此许多项目一直处 于“测试或试点模式”。
现在,既然混合型员工队伍和虚拟交互将继续存在,那 么就不能再停滞于测试阶段——企业需要确定将哪些变 化纳入长期考量,又有哪些挑战仍有待解决。
虽然董事会和监管机构愈发重视网络安全,但随着全行业致力 于提供高效的在线和移动服务并实现员工线上办公, IT团队需 要进一步完善其基础设施。
从积极方面来看,大部分所需的数字生态系统均已到位,可以 迅速扩展。但是,在这一基础上,我们的调研7 结果表明,金 融机构(尤其是大型机构)仍处于云技术应用的早期阶段。
虽然第三方风险管理是多年来的监管要求,但不断加速的趋势 (如开放银行和金融科技关系等)更提高了这一要求。德勤金 融服务行业研究中心的一项调研9 发现,有五分之一的美国消 费者认为开放银行业务具有价值,千禧一代和Z世代对此的兴 趣尤为浓厚。传统金融机构和金融科技公司之间的关系已经改 变了金融服务的建立、交付和消费方式,带来了前所未有的颠 覆性变革和无限创新。
尽管优势明显,安全漏洞仍然存在。企业不断开发新的开放式 应用程序接口(API)以连接银行和其他机构,引发了关于客 户金融数据所有权的争论。而企业急于创建新的金融技术解 决方案的同时,网络攻击数量也明显增多。仅在2021年上半 年,针对金融应用程序的攻击就同比增长了38%。
因此,网络安全专家面临更大的压力来保护更加以合作伙伴为 中心且虚拟程度更高的企业。事实上,受访者认为,扩展企业 的控制缺陷是如今许多金融机构面临的第二大威胁(去年被视 为第三大威胁)。
此处的“扩展企业”指支持金融机构和/或其客户的第三方供 应商、提供商、代理商、经纪人和合作伙伴组成的扩展生态系 统,如技术解决方案供应商、支付处理商、清算机构等。
尽管环境多变,我们的调研13 仍然强调了两个永恒的话题: 企业投资网络安全管理的意愿,以及员工无法遵循常识性风 险管理规定的情况。
就第一个话题而言,企业的网络安全措施预算仍然充足。过 去的三年里,企业每年网络安全支出占年收入的比例不断增 长。 2021年,基础设施安全、物联网(IoT)、工业控制系统(ICS) 和运营技术(OT)共占据约20%的预算分配,其次是威胁 情报、监测和监控(14%),以及网络转型(14%)。
而在2020年的优先级排序中,19%的预算被分配给网络监 控和运营、18%被分配给终端和网络安全、16%被分配给身 份和访问管理。14 首席信息安全官需要不断增加风险管理工 具(包括采用风险量化技术)以实现网络安全投资收益。
