近年来,在移动互联网、云计算等各种新技术的加持下,银行产品和服务得到了极大的丰富,服务和效率也得以有效地提升。但与此同时,随着信息技术的深化应用,信息科技风险事件也随之凸显出来。
自上世纪80年代起步以来,我国银行已经大体完成了庞大的信息系统建设。但安全的重要性并没有被广泛认可,人们多认为只要满足监管需求,别出事就行。随着安全事件与攻击的频发,全球安全支出总额不断攀升,银行业的安全建设逐渐成为未来发展的重中之重。
(数据来源:Gartner)
银行安全受到社会关注
银行以其行业特殊性,其安全性受到社会的普遍关注。国家也出台了各种政策对银行及从业者加以约束,使得各项安全保障工作得以落实。但即便在金融强监管的大背景下,银行业发生的安全事件仍然时有发生,充分体现了钱在哪儿,攻击者就在哪儿这一定律。
内部人员监守自盗
据报道,原中国银行石家庄裕华支行员工张宝军,利用在银行内担任清点中心金库现金管理员职务之便,陆续截留3458万现金,交给他人用于经营、偿还贷款及日常消费等,自己从中收取好处费。案发后,该员工以挪用资金罪被判处有期徒刑八年。
无独有偶,2019年另有一起震惊银行业的大案。这起案件中,诈骗团伙联合内鬼,通过伪造假合同和萝卜章等方式,设下精心骗局套取银行协议存款,成功诈骗30亿,招行、广发、中信全中招。好在案发后,大部分资金都被银行追回。
内鬼频出,表示银行目前管理或审核流程上存在一定的风险。未来银行必然会把更多资源投放在在安全管理上,通过技术手段可以及时发现平台的异常操作和漏洞,规避许多潜在的风险行为。任何技术都不能提供绝对的安全保障,但合理的管理策略,有助于最大限度的降低此类事件造成的负面影响。
屡禁不绝的信息泄露
5月6日,脱口秀演员池子发布微博称,中信银行在未获其本人授权的前提下,私自将其个人账户流水提供给笑果文化,并透露已依法向公安机关、银保监会等监管部门进行了实名投诉,中信银行对这一事实予以承认,银保监会于5月9日宣布对中信银行启动立案调查。
中信银行为中国大陆第七大银行,其总资产为12000余亿港元,共有16000多名员工及540余家分支机构。同时,中信银行还是香港中资金融股的六行三保之一。很难想象,这么大的银行都做不到保护用户的信息,平素我们的信息被泄露到了一个何等恐怖的程度。
这些年来,包括个人征信、财产、住址及联系方式等个人信息被频繁泄露,甚至出现了倒卖银行个人信息的黑市。这暴露出,尽管银行有着制度守则,但显然存在着很大的执行缺陷。
(数据来源:腾讯安全)
另外,有业内人士表示:中信银行并非孤例,此前恒丰银行甚至重组差点被接管。究其原因,主要在于管理的松散,个别行长等管理人员利用手中权力寻租,使制度沦为摆设。
勒索病毒攻击
从2016开始,勒索软件出现包括WannaCry、GandCrab、Globelmposter、Satan等各种变种,带来的财物损失不断攀升。这其中,GandCarb将勒索病毒的气焰推上了高峰,而对银行业影响最大的当属WannaCry永恒之蓝。
(瑞星,2019年中国网络安全报告)
WannaCry勒索病毒 通过windows操作系统漏洞EternalBlue永恒之蓝发起攻击。数据统计,共有包括中国、英国、美国、意大利、俄罗斯等超过150个国家10万台电脑受到攻击。外媒称,银行是WannaCry的重要攻击目标,并表示全球大量银行已经受到该病毒的影响,将可能出现挤兑浪潮。尽管许多银行坚决否认自己受到了攻击,但现实是,英国很多大银行在囤积比特币储备,有外媒认为这是在为支付赎金做准备。
在中国,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。该通知要求各单位立即组织内网检测,一旦发现中毒机器,立即断网处置,严格禁止使用U盘、移动硬盘等可执行攻击的设备。可以确定的是,这款仅3.3M大小的电脑病毒,将会被永远写入人类互联网史册。
DDoS攻击加剧
据行业报告显示,由于具备发动成本低、容易实施的特点,DDoS攻击呈现出上升趋势。目前DDoS攻击目前已经占到整体网络攻击的70%。
俄罗斯历来是黑客进行网络攻击的重点目标,在2016年发生的一次DDoS攻击事件中,俄罗斯五家大型银行同时遭受DDoS攻击。俄罗斯央行官员称,该行代理账户遭黑客盗取了约20亿卢布的资金。此外,英国四大私有银行之一的劳埃德银行,也曾因受到DDoS攻击而宕机两天,所幸没有引发财务损失。无独有偶,在2018年末,有疑似黑客在twitter煽动利用DDos攻击全球银行的事件,其中,巴哈马银行被攻击超过了24小时。
另外,与2018年相比,2019年DDoS攻击次数明显增多,并于6月迎来一次爆发,可以预见,2020年DDoS攻击将会更加猖獗。
(数据来源:腾讯安全)
除上述安全风险外,其他如APT攻击、钓鱼软件、邮件安全等风险同样愈演愈烈,如何正确应对各种风险,成为了信息时代银行安全的一大考验。
未来银行业安全展望
随着各种新技术的研发和应用,目前安全行业受到前所未有的重视,其市场需求也是水涨船高。国际数据公司(IDC)《全球半年安全支出指南》数据表明,2018-2022年,安全相关硬软件及服务的全球支出总额年复合增长率将达9.2%,2022年安全支出额可至1,338亿美元。
以银行为代表的金融业自然也不例外。根据测算,2020年金融业信息安全市场规模约为80-100亿元,增长主要来自科技在整个安全中的占比不断提升。除了前文所说的内鬼出没、信息泄露、勒索软件及DDoS攻击等安全威胁外,未来银行业安全形势还将呈现出以下特征:
AI的攻击与防护
据Gartner预测,到2020年,人工智能在网络安全领域的份额,将从现在的10%增长到40%。人工智能基于大数据分析,能够对未知攻击做出预测,并结合态势感知平台,使之具备学习能力,从而实现银行机构对风险的主动防御和提前预警。
但另一方面,人工智能也可能会成为攻击者的工具,成为攻击者节约成本、提升攻击效率的新选择。如何正确防御由AI催生的攻击事件,或将成为未来银行安全的一个难题。
监管政策的更高要求
中国网络安全等级保护2.0(简称,等保2.0)已于2019年12月1日开始实施,等保2.0强调了安全管理的重要性,也对包括银行业在内的金融产业提出了更高的网络安全要求。
因为大型银行往往是黑客攻击的主要目标,中小银行对安全建设的重要性则相对认识不足。在等保2.0的要求下,大多数中小型银行将受到来自监管层的压力,将正视安全建设的重要价值。
新理念新技术的融合
2019年以来,国内银行的数字化转型、金融科技创新速度不断加快,其中又以区块链技术成为商业银行关注的重点;而等保2.0将云计算、移动互联网、物联网等新型技术都纳入等级保护的范围之内,新技术的应用创新成为银行数字化建设的重要方向。
另一方面,如零信任等新技术理念得到了行业的广泛重视。所谓零信任,指的是抛弃对整个内网的信任,假设内网中用户和设备都不可信,需要基于认证和授权重构访问控制的信任基础。未来,用新技术去实现新理念,或将新技术加入整合到新理念中,将显得愈发重要。
对安全建设的重视
对较大型银行的体量和规模而言,其安全建设除了需要满足目前自身安全现状外,还要兼顾将来第三方、操作、运营、数据等方面潜在的安全需求,这就注定了不能光靠通过对外界买买买来解决问题。即便规模相对较小的银行,也需要并将在安全上投入更多的成本,从而具备初步的纵深防御能力。
须知天下没有绝对安全的系统,银行管理者必须重点针对不可接受的风险进行详尽的风险分析,风险管理团队的价值将会较之从前有一个显著的提高。有分析认为,在如今中国的金融不断深化对外开放的前提下,本土银行倘若连基本的安全大关都守不住,拿什么同外资银行、保险公司、投行等金融机构同台竞技呢?
小结
目前,受到国民经济增速减缓、经济结构调整、外部形势愈加严峻、新冠肺炎疫情等内外部因素的影响,银行业在新形势下同样面临着诸多挑战与风险。
通过对上文中各种风险事件和未来趋势的预测我们发现,大数据时代,如何结合数据安全、身份验证、威胁情报、加密技术等领域的相关创新产品和服务,完成对银行业安全风险的检测、防护以及响应,保障银行的数据及业务安全,将成为行业持续关注的热点。
总体来说,未来银行业安全将在原有基础上不断结合新兴技术与产品服务,合理平衡信息化建设与信息安全,以期更好的适应未来复杂的环境和实际的应用需求。在下文中,我们将重点围绕银行业的检测手段、防御手段、响应手段三个方向对银行安全建设的策略加以分析并探索针对各种威胁的应对之道。
