2023 年金融服务行业领导者网络安全指南

去年，欧盟理事会主席国和欧洲议会就数字运营弹性法案 (DORA) 达成临时协议，以提高欧洲金融机构的网络安全。 一旦 DORA 被欧盟国家采用，金融公司将需要确保他们能够应对、响应各种类型的信息和通信技术 (ICT) 中断和威胁并从中恢复，最终目标是预防和减轻网络威胁。 监管采取差异化的方式监管小型、微型和相互关联的实体。

测试灵活性

欧洲监管机构 (ESA)，即欧洲银行管理局 (EBA)、欧洲证券和市场管理局 (ESMA) 以及欧洲保险和职业养老金管理局 (EIOPA) - 正在制定“所有金融服务机构必须遵守的技术标准”遵守”。 此外，关键的第三方 ICT 服务提供商，特别是欧盟金融机构的云提供商，将需要在欧盟内部设立子公司以进行适当的监督，审计师将参与未来的法规审查。

新法律将迫使欧盟的 FSI 公司测试其组织的弹性； 也就是说，他们基本上需要管理风险并使用风险治理框架来满足 DORA 的需求。 因此，建议所有金融行业的 CISO 考虑与完全掌握 DORA 最新信息的网络安全供应商和合作伙伴合作。

2023 年针对金融服务 CISO 的进一步建议

还为金融部门机构规划 2023 年提出了其他更具体的建议。 在金融服务行业工作的 CISO（信息安全负责人）需要了解 2023 年与 2022 年不同； 巨大的变化正在发生，网络风险正在增加。

转变为干预和恢复心态

勒索软件越来越多，这是所有机构的头等大事，而不仅仅是金融机构。 传统上，金融服务业的心态是：“不，我们不想冒险。” 到目前为止，一切都是关于保护和检测。 然而，鉴于当今网络风险的性质，这种方法不再现实。

金融行业的 CISO 需要了解快速变化的威胁形势，并专注于提高弹性。 这意味着金融部门机构的战略应该从试图避免所有风险转变为能够从攻击中快速恢复。 这自然会导致对支持端点检测和响应 (EDR)、扩展检测和响应 (XDR) 以及安全编排、自动化和响应 (SOAR) 等功能的平台进行投资。

嵌入式金融带来的风险

2023 年金融机构 CISO 需要考虑的另一个问题是嵌入式金融的上升趋势。

什么是嵌入式金融？

“嵌入式金融是将所有金融服务整合到一个地方而不是与传统机构打交道的过程。 它提供了一种安全、简单且高效的方式来收集零售商可以在单一、易于管理的模型中使用的所有服务。 金融解决方案可以集成到企业的基础设施中，促进获得金融服务，如贷款、保险或支付交易，而无需将人们引导至第三方目的地。 这意味着需要处理的应用程序更少，处理金钱的人更少，需要担心的更少，花在跟上金融物流上的时间也更少。 在过去几年中，对该行业的兴趣迅速增长。 美国嵌入式金融市场在 2020 年达到 22,5 亿美元，预计到 2025 年将增长十倍，达到 230 亿美元。” （NCR，8 年 2022 月 XNUMX 日）

金融将在 2023 年及以后的世界中变得更加普遍。 例如，考虑嵌入式金融，其中非传统组织使用金融产品进行“先买后付”销售。 这种方法增加了销售额，但也增加了组织的风险。

银行即服务 (BaaS) 和应用程序编程接口 (API) 技术促进了嵌入式金融。 预计到 2026 年，这种方法将为银行带来超过 25 亿美元的年收入，到 2025 年，现有银行会将 25% 的中小企业收入转移到现有渠道。 （嵌入式应用程序：银行的新收入和新风险 (garp.org)

对于 2023 年及以后，FSI 的 CISO 需要特别注意以下几点：

• 组织需要确保他们拥有强大的网络安全和数据保护政策，包括防止数据泄露和未经授权访问敏感信息的措施。
• 如果机构与可能不具备相同水平的金融服务专业知识或经验的非金融合作伙伴合作，他们必须监控数据滥用或误用的潜在风险。
• 在将金融产品和服务整合到非金融产品或平台时，应考虑潜在的利益冲突，机构应向客户公开这些产品和服务的条款和条件。
• 有必要及时了解与嵌入式金融相关的监管动态，并确保组织遵守所有相关法律法规。
• 该组织应与专业公司合作或考虑咨询该领域的专家，以确保其拥有有效管理嵌入式金融背景下的网络安全和隐私风险的知识和资源。

意识也很重要，因为单靠技术无法实现这一点。 金融机构需要开始对员工进行 DevSecOps、人工智能、机器学习和 API 安全方面的培训。 在这一点上，Fortinet 强调其致力于通过 TAA 计划和教育学院计划帮助缩小网络技能差距并提高网络意识。