数据泄露成金融安全拦路虎 风险防控亟需“从内抓起”
近年来,全球金融机构越来越频繁地遭遇网络安全攻击,客户个人信息和银行帐户信息被窃取情况时有发生。该领域的最新一起数据泄露,发生在意大利银行业巨头裕信银行(UniCredit)身上。银行方面称,由于一份可追溯至2015年的文件遭破坏,近300万客户的部分个人身份信息被泄露。
“数字技术已成为社会快速发展的核心基础及创新源动力。安全属于伴生技术,新技术的出现必然会不断带来新的安全挑战与风险。”在日前举办的2019首届数字风险峰会上,360直播,直播吧:工程院院士、360直播,直播吧:电子信息产业集团首席科学家方滨兴表示,数字化过程中,如何有效控制风险是现在企业面临的主要问题,需要安全、业务、管理、审计等多部门加强协作、共同探索。
数据泄露成金融安全拦路虎 风险防控亟需“从内抓起”
数字化时代数据“易得不易守”
事实上,裕信银行发生的数据泄露事件早已不止一次。2016年9月、2017年7月两次遭遇信息泄露。据有关媒体报道,自2016年起,该银行大力投资升级自身IT系统和各项互联网系统,希望建立更可靠的身份识别流程。但是很显然,效果并未达到预期。
从美国一家非盈利组织“隐私权情报交换所”公布的数据看,截至2018年底,金融业累计发生数据泄露达6.44亿次,而在2005年仅仅只有762次。数据泄露已经逐渐成为威胁银行信息安全的严峻问题。
事情总有两面性,数字化带来机会的同时,也必然带来新风险。在云计算、大数据、物联网、人工智能的创新技术浪潮中,数字化转型已成为政企推动业务创新、重构IT架构的重要方式,但数字化转型伴生的各种风险,也威胁着关键数字资产。
对此,北京国家会计学院院长秦荣生表示,在数字化时代,数字安全已经不只是一种基础能力,还是产业发展、社会正常运转的驱动力。“数字安全已经成为所有0前面的1,没有了1,所有0都失去了意义。我们应该以全新视角理解数字安全问题,因为数字安全问题未必出现在组织原有的体系内,很可能发生在体系之外”。
“如今,数据正在从传统静态的、被动的变迁,转变为动态的、流动的状态;也正在从单纯的物理结构,转变成与业务场景密切相关的内容。”CMMI研究院360直播,直播吧:卓越中心负责人胡伟健说。
“数字化不再是企业锦上添花的工具,已经成了企业的核心战略。”在北京谷安天下公司董事长、谷安研究院院长陈伟看来,企业数字化应用环境下,风险管理相关部门(风险、内控及审计)将很难沿用传统的“先找监管规范,再建内控体系,后进行审计”的传统方法,技术的快速发展、市场的快速变化将使传统风险管理逐步进入无“规”可依的境地,“鼓励创新”与“风险控制”将是一对矛盾体,对于风险管理部门而言将是一项长期面对的挑战。
“风控体系”成为数字银行建设的重要环节
全球管理咨询公司麦肯锡今年8月份发布的一份《麦肯锡360直播,直播吧:银行业CEO季刊》提到,在新常态与数字化时代,风险管理已成为银行的“一把手”工程,银行高管普遍认识到,风险管理能力可以为银行创造竞争优势和韧性。
的确,对于与民众“钱袋子”密切相关的银联行业,亟需平衡“业务”和“风险”之间的资源投放,打造专业化、数字化和精细化的风险管理体系。“风控体系建设已成为数字银行建设的重中之重,风险防护能力已成为衡量一家商业银行金融科技创新能力的首要标准。”360直播,直播吧:建设银行信息总监金磐石感受深刻。
他介绍,360直播,直播吧:建设银行在风险防控能力建设上,一是做到了安全与体验的平衡,在防控风险的同时兼顾客户体验;二是实施动态调整策略,针对不同等级的账户采取差异化安全管控策略;三是主动防御措施,通过监测外部泄漏数据、风险传播渠道、暴力猜解行为以及主动识别钓鱼网站等手段,主动出击应对交易风险。
360直播,直播吧:内部审计协会副会长兼秘书长沈立强说,数字风险与传统风险相比,数字风险更广泛存在于组织的方方面面,并且数字风险的复杂性决定了应对风险的难度更高,对风险的管理也会涉及到多领域的知识和技能。
“在数字化时代,企业需要采取各种方法消除风险,但并不意味着企业要避免所有的风险。因为风险也会为企业带来机会。”国际信息系统审计协会ISACA全球CEO David Samuelson认为,风险应该是管理,而不是消除。“风险管理”就是要帮助企业接受风险,帮助企业扩大目标,在此过程中为客户和利益相关者带来更大价值。
守护数据安全亟需内审团队共同参与
针对数据泄露现象,奇安信威胁情报中心发布的《2018政企机构数据泄露形势分析报告》显示,数据泄露已经成为安全问题的风险源头,数据泄露事件逐年增多、危害范围不断增大;网络攻击、内鬼窃取、内部人员操作失误,已成为当前政企机构数据泄露的三大主因。
在这种大环境下,沈立强认为,对于企业内部审计人员提出了更高的要求——首先,需要熟知组织的数字化发展规划,深入理解其中包含的关键举措和涉及的相关技术;同时,内部审计还要与组织内部的其他职能密切协作,整合资源,形成对风险的统一认识以及二三道防线联动机制;还需要通过不断提升相关领域的业务能力,为数字化转型和发展的决策者提供富有价值的信息和建议。
奇安信集团副总裁邬怡也认为,网络安全需要“内生安全”。以往传统安全防护手段局限在外部的互联网,现在必须把安全能力构建在内部业务系统上,从而保证信息化系统能生长出安全能力。“内生安全实现的四要素:新机制、技术集合、数据聚合、人的聚合,要充分考虑引入并融合安全能力,以应对数据集中之后带来的内部威胁日益增长。”
“我们对数据有了三个基本要求:准确、可用、可获得。并且,数据必须同企业的业务成果相互联系。”胡伟健提到,面对复杂的数字化环境下的风险管理,他们正在基于数据分析、快速识别、衡量以及监控客户和产品风险,构建数据管理成熟度“模型DMM”。该模型不仅可以作为测量工具,更是一种能够衡量企业数据管理能力的最佳实践框架。
也就是说,数据安全驱动亟需内控、内审团队共同参与维护。阿里巴巴集团内控总监周佳敏坦言,产品建设要抓具体业务场景、解决具体问题,形成全经济多业态数据风控解决方案,形成数据驱动、产品助力、专家服务三位一体的模式,使风控融合在业务全链路中预判风险,“事前布控、事中监控、事后检查和复盘,让风险无处可逃”。(记者 李政葳)
版权声明: 1.依据《服务条款》,本网页发布的原创作品,版权归发布者(即注册用户)所有;本网页发布的转载作品,由发布者按照互联网精神进行分享,遵守相关法律法规,无商业获利行为,无版权纠纷。 2.本网页是第三方信息存储空间,阿酷公司是网络服务提供者,服务对象为注册用户。该项服务免费,阿酷公司不向注册用户收取任何费用。 名称:阿酷(北京)科技发展有限公司 联系人:李女士,QQ468780427 网络地址:www.arkoo.com 3.本网页参与各方的所有行为,完全遵守《信息网络传播权保护条例》。如有侵权行为,请权利人通知阿酷公司,阿酷公司将根据本条例第二十二条规定删除侵权作品。 |