ISACA Journal | 统一应对网络攻击、欺诈和金融犯罪
如今,公共生活的几乎所有方面都在网上可见。伴随这一趋势而来的是巨大的风险。组织更频繁地受到网络相关问题的负面影响,包括网络安全入侵、欺诈和金融犯罪(例如洗钱、贿赂、逃税)。金融机构遭受的影响可能更大,但其它行业也有类似的痛苦,并可能会从中吸取教训。
犯罪分子富有创造力和创新性,并能迅速发现什么有效,什么无效。如果客户遭遇恶意活动的影响,他们并不关心组织如何解决问题,只要问题得到及时有效的解决即可。组织必须准备好集结其全部资源。然而,因为孤立地处理网络安全、欺诈和金融犯罪,无意中他们的努力被削弱了,因此需要一种新的方法。
说明问题
根据Verizon 2021年数据泄露调查报告,经济利益仍然是网络攻击的最常见动机(图 1)。
尽管企业在网络安全方面的支出正在以惊人的速度增长,但相关的犯罪数量并没有放缓,反而在飙升。
从2021年到2025年,全球网络安全产品和服务的支出预计将累计超过1.75万亿美元。根据美国财政金融犯罪执法网络部门的数据,截至2020年9月,美国各地的企业每月因网络犯罪而损失总计10亿美元。这些数字本身就令人不安,但在欺诈案件中情况更糟,因为每被盗一美元,相关成本造成的额外损失可能超过3美元。
虽然存在许多网络犯罪的例子,但有一个著名的事件值得强调。2016年,黑客试图通过攻击银行向国际转移资金的系统(SWIFT),从孟加拉国银行窃取10亿美元。黑客使用定制设计的键盘记录软件窃取官方银行凭证和一个定制的恶意软件工具包来掩盖他们的踪迹。他们监控银行的活动并完美地安排转账时间,以使它们看起来是真实的。只是由于运气和印刷错误,黑客才被发现和终止了部分行为,使损失被控制在1.01亿美元以内。
黑客已经熟悉网络安全漏洞和银行的流程、控制和可能的攻击点。他们通过勒索软件攻击挟持企业。他们窃取机密信息、伪造身份并实施社会工程以获取访问和中断业务运作。他们的尝试是无限的。
管理风险的典型方法
在组织中防范风险需要一个微妙的平衡。考虑银行的一般客户行程(图2)。消费者已经学会信任数字环境并参与纯粹的在线客户体验,放弃与银行员工的人际互动。客户可以通过提交姓名、地址、电话号码和社会安全号码等重要信息在线开户。资金通过在线流程进行存入、管理和转移(包括向第三方支付账单)。但是每一步都会导致风险暴露。
银行如果能够为客户提供快速、统一和安全的体验就能获得收入增长,相比之下,那些不能做到的银行将遭受贬值和业务损失的结果。为了今天的竞争,银行必须在谨慎的风险管理和快速批准客户交易之间找到平衡。
为了保证用户数据和资产的安全,银行通常会采取三种对策(图 3):
1. 识别和认证客户
2. 监控和发现可疑交易和行为
3. 缓解风险和问题
无论风险类型如何,无论是针对网络安全漏洞、欺诈还是其他金融犯罪,这些对策都可以无差别地应用。即便如此,这三类风险通常由不同部门各自独立管理,每个部门都有自己的任务、职责和责任。
犯罪分子不会以这种方式限制自己。他们攻击最脆弱的接入点,不分部门。当银行把弱点加固后,网络犯罪分子就会转移到银行技术结构中的下一个弱点。网络攻击的日益成功表明了采用互相孤立的方法在保护组织方面的失败,迫切需要进行简单但根本性的改变。
©摄图网
风险管理的综合方法
为了更有效和主动地保护其客户和资产,金融机构应将这三种风险视为对企业的统一威胁。他们必须采取一种由外而内的方法,将网络安全、欺诈和金融犯罪的风险整合起来。如果维持独立的部门(而不是将所有部门合并为一个),企业管理层必须通过让各个部门承担同等责任并将奖惩与统一结果挂钩来促进协作。所有部门应共同努力降低组织的风险,同时帮助推动更好的客户体验。这些部门间的合作越紧密(可以选择合并为一个实体),结果就越有利。整合可以节省资金、减少控制之间的僵局并促进创新。它还被证明可以降低与网络犯罪相关的风险。
那些已经实现整合的企业正在受益。一家国际银行选择全面合并所有与犯罪相关的业务,从而将其运营成本降低了约1亿美元,同时更好地了解了端到端的客户风险。
为了开始这一整体行程,组织必须建立一个综合风险框架(图4)和评估流程,方法是为三种风险类型组合准备基本风险评级结构,然后利用一组通用数据元素设计控制措施。其目的是根据企业的风险偏好和业务战略来降低风险。
“为了更有效和主动地保护其客户和资产,金融机构应将这三种风险视为对企业的统一威胁”。
风险评估过程应在用户行程(例如客户或员工)中定义。在每个行程中,应确定端到端的业务流程,并在其中进行综合风险评估。
例如,考虑开设银行账户的客户行程和业务流程。首先,必须验证用户的身份以开发安全的自助注册流程,并且欺诈处理部门应评估是否有人在创建欺诈账户。整体风险评估方法包括两者。
威胁对策必须得到可靠分析的支持,为早期发现提供洞察力,在某些情况下,还可以预防网络犯罪。
人工智能可以增强网络威胁数据(例如妥协迹象)和欺诈/金融犯罪监控数据的分析和组合。
结论
一个完整的、统一的方法会更具包容性和更有效,可以降低客户风险、降低运营成本和提高抵御网络攻击的几率,所有这些都可以显著提高客户信任度。
编者注:本文出自ISACA Journal 2022年第2期。尾注略。文章内容仅代表作者本人观点。
ISACA Blog | 如何应对环境、社会和治理 (ESG)挑战
ISACA Journal | 环球银行金融电信协会(SWITF)的客户安全计划:对网络安全社区的启示
作者:Vishal Chawla是普华永道 (PWC) 的高级合伙人,专注于网络安全、风险和监管实践。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。