Kaspersky 金融機構保安風險報告:每次網絡安全事故平均損失近百萬美元

資訊安全解決方案供應商 Kaspersky Lab,近日發表金融機構保安風險報告,報告針對 2016 年金融行業面對網絡攻擊威脅問題展開統計,發現金融機構遭遇網絡安全事故,每次平均損失接近 100 萬美元,並就調查結果向金融機構提出 2017 年的五項保安策略建議。

資訊安全解決方案供應商 Kaspersky Lab,近日發表金融機構保安風險報告,報告針對 2016 年金融行業面對網絡攻擊威脅問題展開統計,發現金融機構遭遇網絡安全事故,每次平均損失接近 100 萬美元($926,000),並就調查結果向金融機構提出 2017 年的五項保安策略建議。

單一機構最高損失200萬美元

問卷調查針對金融業界專業人士面對的主要網絡威脅,以及世界各地面對網絡攻擊的經濟損失,當中發現讓金融企業蒙受最高損失的事故,始源於Point-of-Sale (PoS) 系統的安全漏洞,令單一機構因此事件而損失 2,086,000 美元,針對流動裝置的攻擊排名第二位,導致企業損失 1,641,000 美元,第三位屬於造成 1,305,000 美元損失的針對性攻擊。

63% 機構認為:單純符合規格要求並不足夠

符合監管要求 (Compliance),通常是銀行和金融機構增加 IT 保安資源的最大誘因,然而調查發現,63% 企業認為單純符合保安的規格並不足夠。另一個促使企業增加保安預算的原因,是日益複雜的網絡基礎設施環境,例如,中型金融機構採用虛擬桌面基礎設施 (Virtual Desktop Infrastructure. VDI),管理大約 10,000 名終端用戶,而當中大約一半屬於智能電話和平板電腦。其他增加 IT 保案資源的原因,主要是內部專業知識不足、高層管理指令和業務拓展,83% 受訪金融企業預期未來將會增加 IT 保安的預算。

 

Kaspersky 專家五項建議

研究顯示,金融機構面對保安挑戰,傾向採取通過增加威脅情報和進行保安審計的方法,73% 企業認為以上措施有效。然而,金融機構都不太願意採用第三方保安服務,只有 53% 機構認為具有效用。Kaspersky 的專家,對金融機構提出 2017 年的五項保安策略建議:

1. 注意針對性攻擊

對金融機構的針對性攻擊,可能會經過第三方企業或承包商來發動,這些企業通常防護意識較低,能夠透過惡意程式或網絡釣魚作為攻擊的起點。

2. 不要低估較簡單的威脅

騙徒可以使用簡單的工具發動大規模攻擊,憑數量獲取可觀的收入,75% 的騙徒透過社交工程行騙,只有 17% 採用較精密的惡意程式行事。

3. 平衡資源分配

IT預算通常都會側重於滿足保安規格,但是也要兼顧強化保安和採用新技術的需要,達致合適地平衡分配資源。

4. 定期進行滲透測試

現實的環境往往存在未被發現的保安漏洞,使用精密的偵測工具進行滲透測試,漏洞和事故便有機會浮現,不要放過任何弱點或漏洞以策安全。

5. 留意內部威脅

職員也可能被網絡罪犯利用,有效的保安策略除了周邊的防護,也應該包括偵測內部可疑活動的技術。