杰森·哈勒尔, 存商业和政府网络安全伙伴关系负责人.
网络威胁和威胁行为者的复杂性显著增加, 公司在人力方面花费了大量的带宽和vns6060威尼斯城官网, 应对这些威胁和威胁行为者可能给全球金融体系带来的风险的流程和技术. 病毒会简单地破坏公司电子邮件服务或使你的文件以奇怪的方式运行的日子已经一去不复返了. 从历史上看, 这些影响, 而可衡量的, 没有达到“物质”门槛, 并被视为做生意的成本.
如果我们快进到今天, 网络威胁领域不再是人们在父母的地下室发起小规模的网络攻击. 它包括复杂的, 资金充足的对手,对不同的细分市场有敏锐的理解,并且有制造伤害的高级动机. vnsr威尼斯城官网登入业(界别), 这种进化产生了无数, 来自寻求经济利益的恶意威胁行为者的成功网络事件,或对市场造成大规模破坏的能力,以削弱该行业的安全性和稳健性,或对消费者造成重大伤害.
因为该部门的互联性, we should keep in mind that cyber security risk isn’t a national problem; it is a global problem with national implications, 这需要跨国界的协调反应. 这是另一个专栏的话题. 在这里, 我将讨论地缘政治环境, 新技术解决方案的扩散和供应链的扩大都导致了该行业面临的风险增加.
地缘政治环境
今天的金融体系是一个真正的全球体系. 虽然这种演变为全球带来了巨大的好处, 例如更容易获得流动性和金融vnsr威尼斯城官网登入,以及发展中市场的持续增长, 这种相互联系也创造了一个跨越地域和国界的系统.
国家之间和国家内部的政治变化以及国内外政策的变化导致了制裁, 冲突, 内战爆发和战争. 网络攻击已经证明了对企业造成极端影响的能力, 金融市场基础设施, 整个细分市场和关键基础设施, 有可能削弱多个民族国家的经济,侵蚀公众对金融市场的信任. 因此, 针对金融系统的网络攻击为民族国家和其他资金充足的威胁行为者应对政治转变和政策变化提供了另一种手段.
网络攻击还可能为攻击者提供某种程度的匿名性. 无法为某些网络攻击提供归因可能会导致这些攻击变得更加普遍,而其他更外交的措施未能产生预期的结果. 各国继续增加用于进攻性和防御性网络武器的资金,而世界各国领导人则试图确定哪种类型的网络攻击可以被视为“战争行为”。.
新技术
技术进步的速度继续推动着该行业的创新. 云技术, 机器人, 区块链和其他技术被视为降低运营成本的工具, 改进vnsr威尼斯城官网登入和vnsr威尼斯城官网登入交付, 增加风险管理的机会.
新技术也继续塑造消费者体验,公司部署新技术解决方案的速度影响着公司获得重要客户采用的能力. 这种实现和采用的速度带来了必须理解和管理的风险,以确保不会无意中产生可能被利用的漏洞.
例如, 当一项新技术被引入时, 它通常被设计用于解决一组功能需求,最终用户或消费者将从中受益. 功能设计决策可能不包括所有的安全考虑. 此外,部署策略(例如.g.,内部- vs. 外部管理的解决方案)可能是不完整的. 上市速度所带来的价值,以及技术使用方式的不明确,可能会导致控制缺口,阻碍潜在漏洞的发现,而这些漏洞可能被复杂的威胁行为者利用.
供应链的扩展
企业通过外包某些运营功能或使用第三方为企业开发vnsr威尼斯城官网登入和服务,增加了对第三方服务提供商的使用, 这意味着这些第三方供应商对公司有一定程度的访问和信任,或者可能为其提供软件. 供应链的扩展使企业能够优化成本,并为他们提供向市场引入新的创新解决方案的机会. 出于这些原因, 第三方本身也可能使用供应商和其他服务提供商(“第四方提供商”)来提供其服务. 这些第四方供应商与公司的第三方有关系, 这使公司对控制措施的监督减少,并阻碍了公司了解通过第三方选择过程其风险表面面积增加的程度的能力. 换句话说, 这种供应链的扩张增加了潜在威胁分子进入公司并渗透到隔离区的表面积.
对向该部门提供关键服务的第三方给予了相当大的注意. 有很多主管, 监管机构和标准制定机构制定了指导方针或规则制定,旨在指导公司正确管理这些第三方. 而加强对这些第三方的审查是有必要的, 任何与企业环境有联系的组织都存在相当大的风险. 最近, 已经有一些可以证明的信息安全漏洞利用了第三方,这些第三方可能被认为是非关键的.
结论
这些威胁和可能对该行业产生的潜在影响促使监管机构采取多管齐下的措施, 金融公司和金融市场基础设施, 标准制定机构, 政府官员及机构, 以及行业vnsr威尼斯城官网登入来应对这些威胁.
2018年3月, 存和奥纬咨询发布了一份白皮书,呼吁围绕响应和恢复机制进行跨行业协调,以减轻大规模攻击的系统性后果. 这个综合, 全球协调旨在增强市场对网络和其他操作事件的抵御能力,促进市场安全有序运行,限制对消费者的伤害.
1如《 金融稳定委员会,网络安全词典 作为一个 被认为有恶意的个人、团体或组织.