后疫情时代的网络安全，聚焦金融服务

我来简单概括一下《后疫情时代的网络安全，聚焦金融服务》这篇报告的内容，以下是报告的一部分内容，更多内容请参考原报告。

1.短期措施应迅速转化为长效机制

受疫情影响，金融科技企业不得不加速推出多个项目以 支持远程办公员工，协助各业务线提供数字化优先的产 品和服务。为了跟上这些变化的步伐，企业需竭力适应 完全不同的员工和客户互动模式，因此许多项目一直处 于“测试或试点模式”。

现在，既然混合型员工队伍和虚拟交互将继续存在，那 么就不能再停滞于测试阶段——企业需要确定将哪些变 化纳入长期考量，又有哪些挑战仍有待解决。

2.传统系统将逐步淘汰

虽然董事会和监管机构愈发重视网络安全，但随着全行业致力 于提供高效的在线和移动服务并实现员工线上办公， IT团队需 要进一步完善其基础设施。

从积极方面来看，大部分所需的数字生态系统均已到位，可以 迅速扩展。但是，在这一基础上，我们的调研7 结果表明，金 融机构（尤其是大型机构）仍处于云技术应用的早期阶段。

3.扩展企业生态系统需要更强有力的监测和控制机制

虽然第三方风险管理是多年来的监管要求，但不断加速的趋势 （如开放银行和金融科技关系等）更提高了这一要求。德勤金 融服务行业研究中心的一项调研9 发现，有五分之一的美国消 费者认为开放银行业务具有价值，千禧一代和Z世代对此的兴 趣尤为浓厚。传统金融机构和金融科技公司之间的关系已经改 变了金融服务的建立、交付和消费方式，带来了前所未有的颠 覆性变革和无限创新。

尽管优势明显，安全漏洞仍然存在。企业不断开发新的开放式 应用程序接口（API）以连接银行和其他机构，引发了关于客 户金融数据所有权的争论。而企业急于创建新的金融技术解 决方案的同时，网络攻击数量也明显增多。仅在2021年上半 年，针对金融应用程序的攻击就同比增长了38%。

因此，网络安全专家面临更大的压力来保护更加以合作伙伴为 中心且虚拟程度更高的企业。事实上，受访者认为，扩展企业 的控制缺陷是如今许多金融机构面临的第二大威胁（去年被视 为第三大威胁）。

此处的“扩展企业”指支持金融机构和/或其客户的第三方供 应商、提供商、代理商、经纪人和合作伙伴组成的扩展生态系 统，如技术解决方案供应商、支付处理商、清算机构等。

4.有些事，亘古不变

尽管环境多变，我们的调研13 仍然强调了两个永恒的话题： 企业投资网络安全管理的意愿，以及员工无法遵循常识性风 险管理规定的情况。

就第一个话题而言，企业的网络安全措施预算仍然充足。过 去的三年里，企业每年网络安全支出占年收入的比例不断增 长。 2021年，基础设施安全、物联网（IoT)、工业控制系统（ICS） 和运营技术（OT）共占据约20%的预算分配，其次是威胁 情报、监测和监控（14%），以及网络转型（14%）。

而在2020年的优先级排序中，19%的预算被分配给网络监 控和运营、18%被分配给终端和网络安全、16%被分配给身 份和访问管理。14 首席信息安全官需要不断增加风险管理工 具（包括采用风险量化技术）以实现网络安全投资收益。