信息化觀察網(wǎng)

2017 年 69 起，2018 年 819 起，金融服務(wù)機(jī)構(gòu)上報(bào)的安全事件暴增 11 倍，其中還有 93 起是徹徹底底的網(wǎng)絡(luò)攻擊。

英國(guó)金融市場(chǎng)行為監(jiān)管局 (FCA) 2018 年接到金融服務(wù)公司上報(bào)網(wǎng)絡(luò)安全事件 819 起，幾近 2017 年 69 起的 12 倍。銀行是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，由銀行上報(bào)的網(wǎng)絡(luò)攻擊數(shù)量占比超過(guò)一半。批發(fā)金融市場(chǎng)緊跟其后，上報(bào) 115 起；散戶投資公司報(bào)告 53 起。

此外，2018 年里金融服務(wù)機(jī)構(gòu)遭遇了 93 起徹徹底底的網(wǎng)絡(luò)攻擊，其中一半是網(wǎng)絡(luò)釣魚，20% 是勒索軟件攻擊。

上述數(shù)據(jù)由 RSM 會(huì)計(jì)師事務(wù)所根據(jù)《信息自由法案》調(diào)查獲取。

不過(guò)，RSM 提醒，如此之大的增幅有部分原因出自 IT 安全意識(shí)的提高，以及 GDPR 引入后對(duì)信息泄露事件報(bào)告的要求。FCA 亦在推動(dòng)金融服務(wù)行業(yè)的 IT 安全意識(shí)提升，組建了金融行業(yè)網(wǎng)絡(luò)協(xié)調(diào)小組來(lái)共享安全信息與傳播最佳實(shí)踐。

有趣的是，F(xiàn)CA 數(shù)據(jù)表明：第三方事故是網(wǎng)絡(luò)事件最主要的根源，174 起事件源于第三方事故，占比 21%。硬件/軟件故障導(dǎo)致的網(wǎng)絡(luò)安全事件有 157 起 (19%)，變動(dòng)管理問(wèn)題引發(fā) 146 起 (18%) 安全事件。網(wǎng)絡(luò)攻擊反而在報(bào)給 FCA 的所有網(wǎng)絡(luò)安全事件原因中僅排到第四位。

RSM 技術(shù)風(fēng)險(xiǎn)保障合伙人 Steve Snaith 稱：盡管金融服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全事件數(shù)量的激增令人驚訝，但有部分原因恰恰是因?yàn)檫@些機(jī)構(gòu)在事件報(bào)告上更為主動(dòng)了。同時(shí)，這也反映出 GDPR 和最近 FCA 頒布的要求對(duì)安全事件與數(shù)據(jù)泄露報(bào)告責(zé)任的強(qiáng)化。

未能及時(shí)向 FCA 報(bào)告疑似網(wǎng)絡(luò)攻擊的事件可招致 FCA 的處罰和罰款。Snaith 認(rèn)為，即便增幅巨大，漏報(bào)現(xiàn)象可能仍很普遍。

數(shù)據(jù)凸顯出公司企業(yè)獲得其合作伙伴網(wǎng)絡(luò)控制第三方保障的重要性。同時(shí)，網(wǎng)絡(luò)釣魚居高不下的成功率也昭示出繼續(xù)提升員工網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)的必要性。變動(dòng)管理規(guī)程不足帶來(lái)的風(fēng)險(xiǎn)也應(yīng)引起注意。

總體上，某些金融服務(wù)公司的網(wǎng)絡(luò)控制措施有效性仍存在嚴(yán)重問(wèn)題。仍需努力根植網(wǎng)絡(luò)彈性文化和確保事件響應(yīng)過(guò)程在位及有效。