用戶數據在黑市有高需求,如果是涉及金融服務的價值就更高。因此 Fortinet 認為該行業仍然是 2017 年網絡犯罪分子的首要目標,建議企業從雲端保安、雙重認證、物聯網等方面作好準備。
Fortinet 香港、澳門、蒙古區域總經理馮玉明表示:「基於數據的機密性,這 些資訊在網絡黑市有極高價值,所以金融服務行業仍然是網絡罪犯眼中的主要目標。這行業的網絡環境日益複雜,網絡黑客亦同時尋找更 多新方法來攻擊和試圖越過安全檢測。隨著攻擊數量和複雜性增加, 金融服務企業必須妥善準備,偵察和減低威脅,以保護數據。」
Fortinet 2017 年為金融服務行業作出 5 個網絡安全威脅預測如下:
1. 加強雲端保安
多年來,金融服務行業在轉移數據至雲端方面比其他行業落後一點。資料保安仍備受關注,但最近大型金融服務公司在近年逐漸轉移數據至公共雲端服務供應商如 AWS 和 Rackspace。現今的公共雲端給予相當高的可擴展性,靈活性和可靠性,同時也允許機構按需 付費。這些因素有助降低成本和增加營運效率,但企業仍需加強網絡安全意識。
今年雲端運算在整個行業中越來越普及,金融機構需確保在雲端穿梭 的數據必須與所有其他數據得到同樣的審查。維持數據的可見性固然重要,與此同時,安全策略和執行必須能應用在儲存在不同平台上的數據。我們期待目睹雲端保安方案有持續的進展,令防護系統更精簡和有效。
2. 雙重認證(2FA)
有幾家大型銀行在去年遇到了數據洩露問題。在少部分個別案例中,網絡罪犯偷竊傳統的登入和密碼資料來進行欺詐交易,從而損害了企業聲譽。
為了解決這個問題,Fortinet 預計雙重認證將在 2017 年以額外的防禦層出現。雙重認證把用戶已知的密碼和不同類型的認證方式混合,而該認證方式已與用戶本身擁有的帳戶連接,例如傳送到用戶手機的一次性數字密碼。
這項解決方案既能夠保留傳統登錄和安全措施,亦可以在管理敏感的金融交易時候,為客戶(和金融機構)提供更強的安全保障。
3. 保護物聯網(IoT)
根據 Gartner 的預測,在 2020 年前全球將會安裝超過 240 億個物聯網裝置,因此物聯網的威力是不容忽視的。有一些國家的 保險行業會透過車上的電訊設備來收集駕駛行為數據,以訂立相應的保險費率,可見保險行業已應用物聯網作日常工作。銀行業亦希望通過物聯網計劃(如個性化客戶獎勵)協助改善零售客戶體驗。
金融服務機構必須妥善保護收集到及共享的數據,以保障客戶私隱。 Fortinet 期望金融服務機構可以控制網絡訪問、分段流量, 並投放資源在適合的解決方案上,以幫助他們管理現在所面對的複雜 網絡環境。
4. 政府將提高其參與度
去年年底,美國有多個團體提出實施網絡安全規例,並致力於全球論壇(如 G20 峰會)上討論網絡犯罪議題。香港的施政報告和財政預 算案亦強調對這方面的投資,可見網絡安全在 2017 年仍將是政府發展的中心,金融機構需要作好準備以滿足這些標準。不遵守網絡安全規例有機會面臨高昂罰款,或損壞聲譽。因此,金融服務機構必需投放更多資源於網絡安全解決方案上,面對這些日益增長的規例要求 。
5. 智能解決方案以應對更複雜的攻擊
隨著網絡安全解決方案的出現,網絡攻擊也發展得越來越複雜。 2017 年金融服務機構應考慮採用保安纖維(Security Fabric)的架構,提供安全要素的認知和可見性,將它們集成到一個單一、可操作的防禦和反應系統中,並允許通過單一管理平台 做到集中式編排和自動化。此架構還應提供開放式 API( 應用程序接口),務求與其他第三方網絡和安全解決方案的無縫集成和智能共享。