勒索软件攻击事件近年来总是成为头条新闻。从安盛集团到CANFinancial,金融行业也无法避免风险。对于许多企业来说,最初的担忧集中在赎金成本上,但是,他们面临更广泛的损害和越来越多地与安全、收入损失和声誉损害相关的问题。例如在Kaseya公司遭遇的网络攻击事件中,勒索的赎金为万美元,这也表明“受信任的”服务提供商和第三方供应链参与者可能带来的风险越来越大,其乘数效应可以迅速影响万个端点。
金融服务部门的网络效应使所有利益相关者受益者。然而,共享数据和服务的增长增加了网络攻击的风险。而且,正如人们所看到的勒索软件对燃油管道公司甚至食品加工商带来的影响,系统锁定对企业和个人的影响是巨大的。如果客户无法在整个供应链中获得资金或与服务提供商进行交易,其带来的焦虑和成本就会升级,企业的商业声誉也会迅速受损。
简单的出路是什么?
很多企业曾经将支付赎金视为解决勒索软件攻击问题的一个“快速解决方案”。然而,随着美国证券交易委员会(SEC)和美国海外资产控制办公室(OFAC)正在考虑在法国和美国禁止支付赎金,这一选择现在可能会成为过去。在澳大利亚,却有人呼吁强制通知勒索软件受害者支付赎金。
金融部门还需要考虑到,即使支付了赎金,解密过程和恢复正常业务的过程也可能非常缓慢。随着受供应链勒索软件攻击影响的规模不断升级,越来越多的事件表明恢复时间至关重要。如果不能信任来自网络攻击者的解密密钥,那么建议投入时间和精力从头开始重建、重新配置和保护IT系统和服务,以确保它们的完整性。
尽管支付赎金可能会成为非法行为,但网络保险仍将是企业为快速恢复和运行以及减少中断提供资金的有效工具。而保险公司要求,在获得网络保险单之前,承保者现在必须证明其拥有足够的网络安全控制措施。事实上,越来越多的勒索软件威胁使得保险费用可能会进一步增加,因此获得可验证的网络风险管理能力可能会在企业董事会的优先事项列表中进一步上升。
充满挑战的环境
金融部门还面临一些其他特殊的挑战。许多金融机构持有大量个人数据,无论是账户、交易、用户还是报告。使这一问题复杂化的是开放银行立法,例如英国/欧盟的PSD2和澳大利亚的CDR法规,它要求客户批准共享其个人数据的过程简单易行。消费者在金融行业参与者之间持有和传输其个人信息的这些权利,将必然会重新分配该行业的网络安全责任。因此,在适应不断变化的环境的这段时间内,会增加网络安全风险。
金融服务业已经成为对网络犯罪分子有吸引力的目标。客户对其数据的访问有更大控制权的要求增加了为应对全新级别的勒索软件做好准备的要求。企业可能面临多种风险,从心怀不满的员工的破坏到网络欺诈,再到旨在大规模窃取个人数据的勒索软件攻击。那么金融行业可以采取什么措施来保护自己?
为应对勒索软件攻击做好准备
部署防病毒软件和网络防御以及端点检测和响应的兴起,可以帮助企业管理和应对网络攻击。但这些解决方案首先依赖于检测恶意活动。如果端点或网络解决方案在没有警告的情况下遭遇了网络攻击怎么办?企业是否了解正在发生的事情?是否有其他控制措施可以减轻威胁?它们是否作为IT风险管理计划的一部分进行监控和管理?
在勒索软件造成严重损害之前,必须更加注意防止或至少限制成功的勒索软件攻击。而实施基本的网络安全控制并努力保护公认的威胁向量,确实会带来好处,因为这些正是勒索软件攻击者可能利用的弱点。
有三个方面需要重点