2023 年数据泄露的成本之金融行业的影响

根据IBM 《2023 年数据泄露成本报告》，2023年数据泄露的全球平均成本为 445 万美元，比 2020 年增加 15%。为此，51% 的组织计划今年增加网络安全支出。

然而，对于金融业来说，全球统计数据并不能说明全部情况。金融公司每次数据泄露损失约 590 万美元，比全球平均水平高 28%。此外，不断变化的监管问题在金融公司如何应对网络攻击以及在何处投资以降低总体风险方面发挥着重要作用。

从数字来看：金融公司数据泄露的真实成本

在计算金融公司数据泄露的真实成本时，金钱损失只是一个开始。

考虑常见的威胁向量。虽然 48% 的金融攻击是由恶意行为者发起的，但人为错误占 33%。网络钓鱼和泄露凭证占据初始攻击媒介的首位，分别为 16% 和 15%。如果攻击者成功，他们通常可以访问数百万条交易和客户记录——破坏 5000 万条或更多记录的平均成本现在高达 3 亿美元。

然而，这也不全是坏消息。在检测和遏制数据泄露方面，金融组织处于领先地位。在全球范围内，公司需要 204 天来识别违规行为，并需要 73 天来遏制违规行为。在金融行业，违规行为平均需要 177 天被发现，并在 56 天之内得到遏制。

金融公司在哪里投资网络安全？

超过一半的组织今年将增加网络安全投资。

对于金融公司来说，首要投资领域包括安全人工智能、自动化和事件响应 (IR)。2023 年，39% 的金融组织报告“广泛使用”安全人工智能和自动化，与全球平均违规成本相比，节省了 85 万美元。与此同时，在 IR 团队和测试方面，拥有强大事件响应框架的公司平均节省 200 万美元。

金融业如何保护关键数据？

金融业在有效的数据保护方面面临着独特的挑战。最普遍的问题之一是需要确定全球法规并将其纳入日常银行业务实践中。这可能包括加州 CCPA 和欧洲 GDPR 等立法规定的客户数据隐私义务，以及 FINRA 和 FinTECH 监管的减少欺诈工作。此外，欧盟数字金融战略等新法规正在兴起，以管理不断增长的加密货币市场。

还值得注意的是，金融公司因未能满足监管要求而面临巨额罚款。考虑到 2022 年，美国证券交易委员会 (SEC)因网络安全缺陷对十几家银行处以近 20 亿美元的罚款。

为了帮助应对新出现的威胁并确保遵守不断变化的立法，金融公司可以从包括以下要素的多管齐下的方法中受益。

DevSecOps 集成

DevSecOps 安全方法使公司能够在应用程序、工具和平台级别集成保护以增强控制。在这里，成功取决于全面集成和定期测试。

强大的数据发现

82% 的数据泄露涉及云环境中的数据。通过实施强大的数据发现工具，金融组织可以识别他们面临风险的地方以及他们可以采取哪些措施。

安全人工智能和自动化部署

人工智能和自动化可以减少 IT 员工的工作量并简化数据密集型流程。部署人工智能工具还可以降低总体安全成本并提供更快的数据泄露识别。

攻击者视角的采用

知识就是力量——在攻击者行动之前就知道他们会做什么，这为金融组织提供了决定性的优势。通过使用攻击面管理工具和对手模拟技术，公司可以更好地了解攻击角度，以查明可能的妥协途径。

当谈到金融行业网络安全时，这不仅仅是数据泄露的前期成本。相反，它是关于创建能够解决当前威胁的可靠且可重复的流程，纳入新的监管期望并为持续防御奠定基础。

原文始发于微信公众号（河南等级保护测评）：2023 年数据泄露的成本之金融行业的影响