信息安全风险上升

来源: 环球企业家

德勤调查报告显示经济危机给全球大型金融机构带来了更严重的信息安全风险
    全球经济危机为金融服务行业带来冲击，也增加了信息安全的风险。最近公布的2008年德勤(DTT)全球金融服务行业(GFSI)《第六次全球安全年度调查》结果显示，未来数月，因人为错误及雇员心情或情绪原因导致的违规操作可能成为信息安全遭受破坏的根源。德勤《第六次全球安全年度调查》的多数受访者(86%) 证实，人为错误是信息系统失败的主要原因。这个调查结果说明，虽然员工是机构的最大资产，但同时也是最脆弱的一环，特别是经济不景气时，担心职位不保及个人压力增加可能导致员工作出异常行为。 

    德勤全球金融服务行业调查结果来自访问100强全球性金融机构的高级安全主管所得，被公认为反映金融行业信息技术(IT)安全及隐私状况具代表性的全球指标。
    虽然过去12个月，全球金融机构内部及外部安全违规事件的数量均已下降，然而雇员行为失当却成为机构越来越担心的问题。超过三分之一(36%)的受访者表示担心机构内部员工行为失当，而担心来自外部攻击的受访者则仅有13%。此外，十个受访者中有六个(58%)对自己保护机构免受内部网络攻击的能力表示‘不是非常有信心'。
    随着越来越多人使用社交网站与及移动设备（例如USB、MP3播放器和PDA）的普及，内部及外部安全隐优越来越多。有趣的是，超过半数受访金融机构现在限制使用社交网络技术及即时通讯技术(分别为53%及58%)，而90% 受访者允许雇员使用移动设备。移动设备毫无疑问提高生产力。但是，它们同时也造成了保密资料在未经许可的情况被下载和储存至不受保护的媒体上的风险机会，而数据资料最容易在这种情况下泄露或遗失。令人惊讶的是，仅有55%的金融服务机构全面为信息加密。此外，不到三分之一(28%)的受访者配备了“静态”数据加密或信息外泄及内部威胁侦查工具。令人鼓舞的是32%受访人计划在未来12 个月内配备内部威胁侦查工具。
    46%的受访者称网上钓鱼及网址嫁接是最大的风险担忧。22%受访者表示，网上钓鱼及网址嫁接是他们曾经历的首要外部攻击方式。
    德勤全球金融服务行业小组企业风险管理服务领导人Adel Melek表示：“金融机构在保护消费者个人资料时现面对两大的挑战。一方面是入侵手段越来越高明，以及遗失数据及客户资料被盗的程度越来越严重，而发生频率也越来越高。另一方面，在一个具挑战的经济环境，公众对政府监管金融机构的要求越来越高，而大规模裁员导致员工情绪不稳及不满。在这种经济环境下，金融机构更需要加倍提高警觉，保护公司数据，检查及实施相关措施，减低安全系统失效的风险和影响。”
    金融机构减省成本的压力也加重了信息安全威胁。60%受访者认为公司提高了信息安全的预算，但仍不足以满足解除当前安全挑战和的需要。超过半数(56%)受访者表示，预算限制及或缺乏资源是确保信息安全的主要障碍，而33%受访者认为"缺乏资源"是信息安全项目失败的主要原因。此外，相比2007年的13%，越来越多的受访者 (15%)承认，信息安全方面的开支不能满足需求。
    Melek说：“随着金融危机进一步加剧，金融机构可能通过缩减IT预算及节省安全基础设施开支的办法来降低成本。这可能是一个诱人的选择，但现在并不是减省安全保护开支的时候。一旦放松警惕，便会有人把握“节省开支”所引致的漏洞乘机入侵系统。现在，金融机构更应比任何时候更维持及重视安全投资。”
    德勤中国企业风险管理服务合伙人顾向圣表示：“资料外泄事件响起了不少机构防盗及资料私隐的警号。2008年7月，香港金融管理局采取迅速行动，发出顾客数据保护的新指引。此外,现行的个人资料（私隐）条例要求所有法定金融机构对其现有的数据保护措施进行检讨。金融机构需要严格遵从新定立的指引。同时，这亦加强金融机构对现有的私隐数据控制进行定期检讨。”
    他指出：“不少企业现正面对安全入侵及个人和私人数据外泄的风险。我们通常将资料外泄事件归咎于技术问题。相反，对资料私隐及防盗的缺乏认知才是当前防盗缺口和私人资料外泄问题的根源。个人认知及管理是明显的关键，亦较任何高新科技更为重要。我们必须推行措施，改变个人对御卫数据私隐及防盗的行为和态度。为取得成效，必须透过明确的监控及程序架构，以加强个人的管理，藉以提高个人对数据私隐和防盗保护的认知。”
    其他调查结果包括：
    金融机构对信息安全的首三项考虑为: "安全合规性"、及同居次席的"身份与访问管理"及"数据保护与信息泄露"。2008年，金融机构录得外部及内部违规入侵的数字同告下跌，前者由2007年的65% 下跌至47%，后者则由2007年的30%下降至27%。推动金融机构保护客户隐私的因素首要为"遵照隐私法规"(79%)，其次为"保护声誉及品牌"(70%)。
    各地区结果择要
    欧洲，中东及非洲地区(EMEA): EMEA地区拥有最高百分比的受访者认为，他们拥有可以应对当前及可预见的安全要求所需能力(41%)。然而，半数在此地区的受访金融机构(49%)在2008年外部安全曾多次遭受破坏。只有三分之二受访金融机构(64%)，确定它们已向雇员提供最少一次的信息安全培训，百份比为全球第二低。此外，在此地区的受访者表示，承诺为满足监管要求而投入资金支持亦只仅过半数(56%)。
    亚太地区（不包括日本）(APAC)：亚太区金融机构部份的信息安全范畴在得到改善的同时，当与其他地区相比，录得最高的重复外部(58%)和内部(33%)安全破坏个案。再者，在过去一年，只有58%的机构曾为员工提供信息保安有关的培训，远比全球平均的百分比(72%)为低。亚太区四位的受访者中只有一位表示，他们具备所需能力处理当前及未来的安全需求(23%)。而此地区录得最佳的结果为，拥有最多受访者承诺为满足监管要求而投入资金支持(69%)。
    日本：在信息安全方面，日本的金融机构似乎比其他地区更胜一筹。2008年，与其他地区相比，日本不但录得最低的重复内部和外来入侵个案(17%)，而且在其他四个范畴都领先。这四个范畴包括员工培训(90%)、委任主管负责隐私事务(85%)、制订隐私合规管理程序(84%)。然而，纵使有上述优势，紧绌的预算似乎是日本金融机构面对的最大难题。只有四分一(25%)的金融机构增加了其信息安全预算，远低于全球的60%，而且表示信息安全开支"符合计划"或"超前于需求"的受访者数目(5%)，与全球(43%)相比亦属偏低。
    北美（加拿大和美国）：调查结果显示，认为系统安全已成为高层行政人员或董事局必须履行的责任的受访者数目，已大幅下降，由2007年的84%下跌至2008年的63%，反映金融海啸似乎已转移了北美行政人员对信息安全的注意。同时，与其他地区相比，北美(28%)最少受访者认为机构的信息保安与业务举措配合适当。另一方面，虽然超过半数的北美金融机构(51%)在2008年外部安全曾多次遭受破坏，但是与2007年比较，当时有78%的机构受到入侵，情况经已大大改善。而内部入侵的百份比亦明显由2007年的44%下降至2008年的27%，是跌幅最大的地区。
    拉丁美洲和加勒比海地区(LACRO)：当地的金融机构各方面的表现都得到最大的改善。2008年，该地区只居于日本之下，领先五个范畴。受访者认为，其机构的优势为实施一个清晰系统安全策略(68%)。四分之三的机构(75%)增加了其信息保安预算，超过全球平均的60%。十位受访者中六位(59%)证实，其机构的信息保安开支"符合计划"，甚至"超前于需求"。另一方面，调查显示拉丁美洲和加勒比海机构仍然面对建立隐私合规管理计划的困难，目前只有24%的机构有主管负责隐私项目。无论如何，只要这地区的机构继续朝着现时的正面方向，各种迹象显示，这些问题都应该可以迎刃而解。
    调查方法
    调查由德勤全球金融服务行业(GFSI)以面对面访问和在线问卷进行。调查样本由100强全球性金融机构来自银行、保险、证券和资产管理业的金融机构的高级信息技术行政员（首席安全官、首席信息官、安全管理团队等）所组成。问题所涵盖的范围包括管治、信息安全和风险的投资、安全技术的使用、操作质素与隐私。受访者代表来自五个地区（欧洲、EMEA、日本、APAC和LACRO）32个国家的公营和私营机构。由于受访机构的关注广泛，以及调查为定性研究，因此针对个别地区的部份结果，可能未能百份之一百甚至具代表性。