需重新思考資安防護策略
(中央社訊息服務20160727 09:44:42)近期發生銀行遭駭客攻擊事件,對於台灣及全球發展金融科技都是一大挑戰。有鑑於此,資誠聯合會計師事務所於今(27)日公布《2016全球經濟犯罪調查報告─金融服務業》,受訪者為全球115國共1,513位金融服務業的高階主管及各部門主管。
調查顯示,儘管企業在法規遵循的投資持續增加,也持續受到法規的審查規範,但金融業的犯罪事件仍然增加,這代表企業需要重新思考在法規遵循上的投資以及如何打擊經濟犯罪。
●53%的金融業在過去一年增加了打擊經濟犯罪的支出,55%的受訪者認為未來仍將持續增加此支出。
●46%的全球金融業在過去一年曾發生經濟犯罪事件,比上屆調查(2014年)增加1%。
●16%曾發生經濟犯罪事件的金融業,遭受逾100個犯罪事件;6%曾發生經濟犯罪事件的金融業甚至遭受超過1,000件犯罪事件。
●49%的金融業曾經歷網路犯罪,比上一屆多出10%。
●37%的金融業坦承,過去一年來受到網路犯罪事件的影響。
●金融服務業面臨法規遵循專業人才的短缺問題,尤其在反洗錢防制及反恐金融法規遵循方面。
資安防護支出增加
仍無法減少經濟犯罪事件
根據《2016全球經濟犯罪調查報告─金融服務業》,46%的全球金融業在過去一年曾發生經濟犯罪事件,比上屆調查(2014年)增加1%,再往前兩屆調查(2009年、2011年)則都是44%。顯示過去七年來,金融業儘管增加在法規遵循和資安防護上的投資,仍無法減少經濟犯罪事件的發生。
不只經濟犯罪案件的數量增加,金額也增加。46%的金融業表示每件經濟犯罪造成的損失在10萬美元以下,較上屆的40%來得高;損失介於10萬美元到100萬美元之間的金融業則有24%,較上屆增加1%。
預防勝於補救
主動評估資安防護缺口
資誠企管顧問公司執行董事張晉瑞分析,面對層出不窮且手法日新月異的金融犯罪事件,金融服務業必須在資安防護上有一個嶄新的思維,以更有效打擊經濟犯罪及增加法規遵循投資的價值。企業不能被動等到遭受攻擊與損失後,才對新的網絡威脅作出回應,平日就可主動評估資安防護上的缺口 (Breach Indicator Assessment),建立資安事件處理流程並進行演練,以便在發生事故時迅速採取行動,主動面對資安風險與挑戰。
回到台灣金融業,張晉瑞觀察,現今大部分企業的資安防禦姿態仍停留在被動回應,認為砸大錢建置的資安設備應可發現惡意攻擊,但網路威脅沒發生不代表不存在。惡意程式一定進得了企業內部網路,企業應思考如何及時發現以避免更大的損失發生。
他舉PwC新世代資訊安全策略轉型規劃為例,近來整合大中華區的資源,協助某金融機構整體評估資安防護上的缺口,並以鑑識科技的手法在過程中發現潛伏的惡意程式,這正是預防勝於補救、化被動為主動的轉型思維。
張晉瑞強調,此份調查報告及近來的駭客事件對台灣發展金融科技是一個省思的機會,企業追求創新、技術與速度的同時,更不能忽略風險的重要。資安是永遠做不完的專案,但不是補不完的破網,期望資訊安全與新興科技發展同步並進,為台灣發展金融科技帶來契機。
下載《2016全球經濟犯罪調查報告─金融服務業》,請至:www.pwc.com/crimesurvey-fs
訊息來源:資誠聯合會計師事務所
本文含多媒體檔 (Multimedia files included):
http://www.cna.com.tw/postwrite/Detail/197913.aspx