​170%!金融服务业信息安全事件飙升

标签:信息安全普华永道棱镜门金融服务业

访客:31048  发表于:2013-12-17 14:49:55

【导读】今年伴随“棱镜门”事件的出现,信息安全保障成为网络服务的重中之重。而互联网环境下的金融业务信息安全问题日益突出。根据普华永道最新的全球信息安全状况调查,全球被检测到的信息安全事件总数同比增长了25%。增长量在各行业不尽相同,其中在金融服务业信息安全事件的增长高达170%。

170%!金融服务业信息安全事件飙升

普华永道的最新调查显示,数据仍是企业信息保护的重点,44% 的中国大陆及香港回复者称发生过数据丢失或损坏事故,相比 2012 年的26%有大幅度上升。全球范围内受访企业信息安全事故导致的平均经济损失与去年相比上升了18%,甚至有回复者称信息安全事故造成的经济损失超过1000万美金,同比增长51%;在中国大陆和香港,2013年因信息安全事故导致的平均经济损失高达180万美元,高于亚太地区平均的160万美金。

普华永道中国风险管理及内部控制服务合伙人冼嘉乐表示,“随着中国经济不断增长和愈加全球化,中国企业正受到以信息安全漏洞谋利之人的更多关注。随着业务的扩展,企业要应对日益增加的信息安全威胁,同时兼顾好信息安全治理、流程与技术之间的平衡。”

企业信息技术系统已经变得更加复杂,云技术和移动设备使信息技术系统更加分散化,应对信息安全攻击的成本也随之上升。调查显示,今年企业信息安全平均预算430万美元,较去年上涨了51%。以金融服务业为例,在这些增加的预算中,移动设备应用安全、数据保护、社交媒介安全保护、以及信息安全基础设施建设四个方面受到企业的普遍关注,投入意愿也相对更高。

在冼嘉乐看来,人员,流程和技术是目前信息安全领域需要重点关注的问题。从2008年金融危机以来,人员对于信息安全重要在意识上有所改变,但速度远不不及经济和技术发展。“有些公司往往会花大价钱购买新科技的设备,但是内部管控却没有跟上。”调查也显示,一半以上受访企业不对员工行为进行监控或分析,即使离任和在职员工被视为风险的可能来源。

随着业务应用正逐步向移动端迁移,智能手机、平板电脑等移动设备导致的信息安全范畴不断扩大,隐患不断增加;但是,移动安全管控方案的实施却没有明显增长。这要求企业需要更自主地制定移动设备安全使用策略。另外,对高层管理者而言,将网络犯罪和信息安全视为关键的业务问题,而非单纯的信息技术或技术问题变得愈加重要。

据了解,“2014年全球信息安全状况调查”是由普华永道、CIO杂志和CSO杂志共同发起,超过9600位企业高管应邀参与调查,其中包括遍布在 115个国家的首席执行官、首席财务官、首席信息安全官、首席信息官、首席安全官、信息技术与信息安全的副总裁和董事。21%的受访者来自亚太地区。

170%!金融服务业信息安全事件飙升

图说:普华永道中国风险管理及内部控制服务合伙人冼嘉乐从业21 余年,为中国大陆、香港和美国众多知名企业提供信息系统管理相关服务,工作涉及信息安全、IT风险管理和国有企业、上市公司以及外企在华的IT审计服务等方面。

信息安全几乎可以算是众多行业的一个共同的话题,在金融领域尤为重要。今年互联网金融风声水起,多种运作模式陆续出现,互联网金融作为一个新兴事物,呈现出强大的发展潜力,但新事物的产生都伴生着风险。对此,记者专访了普华永道中国风险管理及内部控制服务合伙人冼嘉乐。

记者:您觉得信息安全从调查开始,多年以来,信息安全重点出现问题的领域产生了哪些变化?金融行业是不是愈发问题明显?

冼嘉乐:近几年IT环境开始出现颠覆性变化,首先是与基础环境资源最为紧密的云计算和虚拟化;第二个是新的互联方式和访问边界的扩充,如物联网、移动互联等;然后是大数据及其推动的创新的业务模式。

分析近几年普华永道全球信息安全的调查数据发现,新技术和新的商业环境下信息安全问题也现了一些较为明显的变化:一是由信息安全攻击点由传统的信息系统转向应用和数据,并且数据泄漏导致的后果越来越重,影响的范围也越来越广。二是移动智能终端成为信息安全的“重灾区”,移动恶意流氓软件层出不穷,严重威胁用户隐私与合法权益。三是云安全问题是不可忽略的,包括云计算数据和系统的可用性问题,云服务提供商不能单靠服务等级协议(SLA)条款解决数据存储和应用安全的可靠性问题。。最后是大数据有助于提供创新业务模式、提高客户体验度,但提供商有可能放松了信息安全风险管控,金融行业是数据集中的行业,金融行业利用新技术创新的主动性最强,面临的风险也就更高。在创新支付模式下,这种风险被直接予以放大, “支付宝盗刷”提醒大家在便捷业务流程的同时,应注重安全风险控制。

记者:您认为互联网金融面临的信息安全问题有哪些?

冼嘉乐:互联网金融作为一种创新的业务模式在提供便利给用户的同时,也面临潜在的信息安全风险: 第一是客户信息被盗问题,在侵犯用户隐私问题的同时也给进一步资金盗用创造了可能的机会。第二是专业黑客或黑客组织利用其高超的黑客技术和系统漏洞直接盗取用户资金,尤其以移动支付更为明显。第三是随着新技术应用和“万物互联“的格局出现,其面临的信息安全风险和问题越来越复杂,作为互联网模式金融业务开展更加扩大了信息安全风险影响和后果。

记者:解决这些问题需要做哪些工作?

冼嘉乐:互联网金融最大的信息安全风险是信任风险,需要从国家层面、行业层面予以推动,解决互联网金融信息安全保障、风险防范及监管问题,建立适用于互联网金融模式的安全信任体系。

站在信息安全的角度来看应该从三个方面入手:首先是加强用户的信息安全教育、引导与宣传,使广大用户明白“互联网金融不是零风险”;其次互联网金融服务提供应具备交易风险欺诈能力,能够利用大数据平台对潜的交易风险进行预测和处置,并从业务操作角度进行梳理配合安全技术防护措施,做到“零死角”。

记者:P2P可以说在今年又了爆发式的增长,与此同时,倒闭网站的消息也不绝于耳,将借贷操作放在线上进行,您认为P2P从业者在信息安全上需要关注哪些方面?

冼嘉乐:P2P确实给用户带来了便利,但也给不法分子提供信用卡套现和洗钱提供了便利和隐蔽的条件。由于用款方信息不透明,不能充分评估借款人的信用和借款条件,使得网贷平台“跑路”事件时有发生。P2P从业者应做到尽责告知风险的义务,应有职业操作底线,梳理各业务环节是否存在瑕疵并对贷方的信息真实性提供保障,建立借贷双方尤其是贷方的资质审核流程,从业务流入手,结合线上线下交易建立完善的信用管理体系。另外,用如先进的安全技术手段进行控制。比如大数据、位置技术、生物认证技术以及反欺诈技术。

再有重要的一点就是,监管要根据P2P市场发展完善相关的管理制度。从国家层面、行业层面对业务操作规范和引导,杜绝“即担保又借贷 ,线上金融业务不按监管规定开展”等违法违规行为,同时牵头建立整个行业的安全可信认证体系,维护整个行业生态链的健康发展。

(本文系“经理+”首发,转载请注明来自“经理+”和本文链接)

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");