近年来,各类型数据泄露事件接二连三爆发,互联网、运营商、银行、制造业等各行业企业中都有失蹄者,其中银行业更是数据泄露事件的重灾区。
如何通过信息化方式帮助城市商业银行远离不合规或数据泄露风险是日前召开的“第九届中国区域性商业银行信息化发展战略高峰年会”的核心议题之一,也是全球领先的整合Web、数据和电子邮件内容安全解决方案提供商Websense能够给大中型企业带来的核心价值。日前,Websense中国区总经理穆军作为第九届中国区域性商业银行信息化发展战略高峰年会的演讲嘉宾,与来自全国40多家城市商业银行主管科技的副行长,信息科技部及电子银行部负责人围绕城市商业银行的数据泄露防护话题展开了深入探讨。
对比各大国有银行、股份制银行以及外资银行等金融企业,我国的城市商业银行发展较慢,信息化起步也较晚,但是他们所面对的网络威胁环境却是相似的。高级持续攻击(APT)、先进的恶意软件,针对性攻击不断泛滥,伴随云安全以及日益升级的移动安全问题一同严重地冲击着现代企业的安全防线。而且在大型银行不断升级安全防护水平的同时,不少黑客已经将视线投向了可能较容易被攻击的城市商业银行。众所周知,银行中的数据敏感度极高,一旦产生数据泄露事件其所受到的影响和损失必将是巨大的,同时监管部门的处罚也会非常严厉。所以,在当前的环境下,防止数据泄露俨然已经成为了城市商业银行发展过程中保持竞争力需应对的关键难题之一。
同时,保护数据安全也是监管部门在商业银行合规性条款中对所有银行的要求。目前中国商业银行GRC(信息治理、信息风险和信息法规遵从)需要满足的合规性要求有《商业银行信息科技风险管理指引》、《企业内部控制基本规范》、《中央企业商业秘密保护暂行规定》、《个人信息保护法》、《信息安全等级保护》等。
面对内外双重压力,加强安全防护系统并且部署适当的数据泄露防护(DLP)产品应该是城市商业银行最佳的应对决策之一。作为安全行业的资深人士,穆军指出一个好的数据泄露防护产品不仅能够提升企业安全性,同时还能为企业实现以下价值:
– 改善内部管理 数据防泄漏项目不仅仅是一个数据安全保护项目,同时也是一个信息安全风险控制项目。通过数据防泄漏的平台搭建,一是可以有效保障数据安全管理制度的落地,同时也可以对数据安全管理制度进行重新梳理,通过实际环境的运行进一步发现制度中存在的各种问题
– 提高客户满意度 目前客户越来越重视私人信息的机密性,随着公司业务的不断拓展,客户信息越来越多的集中到数据中心以及相关的业务平台,如果通过数据防泄漏体系能够有效保护客户的私人信息,不但使公司兑现了不泄漏客户信息的承诺,也可以大大提升公司在客户心目中的形象以及同行业中的领先地位
– 有效增加投资回报 Forrester公司曾经在全球范围内做过统计,数据泄漏的代价多少不一,主要是取决于数据的重要性以及公司的规范性。以金融行业为例,数据泄漏事件对于公司直接反映出的损失就是企业客户的流失、公司信誉的下降,而间接反映出的就是公司业务受损,因此通过数据防泄漏体系有效控制和降低数据泄漏的风险,其实间接地为企业提高了投资回报
– 满足国家/监管部门法令法规 已有的最佳实践和策略, 可以帮助快速实施全球化、行业性的法规遵从;DLP可以减少与法规遵从相关的直接成本, 使审计更容易, 同时减少违规的风险
Websense的数据泄露防护解决方案不仅能满足以上需求,在Websense统一安全架构Triton的支持下,Websense数据泄漏防护解决方案还能与Websense领先的Web安全、电子邮件安全和移动安全解决方案整合,它们既能作为整体的解决方案部署,也能作为单一通道的安全产品部署,但是与其他同类产品不同的是,这个单一通道产品已经嵌入了Websense领先的数据泄露防护功能。以Websense Email Security Gateway Anywhere为例,它就是业界首个能够防止基于邮件通道数据泄露的电子邮件安全产品,如此精心的设计,不仅帮助用户提升安全级别,更帮助用户有效节约安全拥有成本。
此外,穆军还表示:“在多起银行业数据泄露案例中,内部员工的恶意行为和粗心行为才是造成数据泄露的罪魁祸首。在防止非技术层面的数据偷窃行为时,一方面是加强对敏感数据的可视性,这一点Websense数据泄露防护解决方案可以帮您实现;另一方面也需要银行加强对员工的管理和教育。”
Websense以一年为阶段,为银行业企业推荐的数据泄露防护的实践如下:
一月至四月:侦测阶段:Websense 技术侦测敏感数据的位置,并监控员工滥用行为。此阶段的安全警报数量极多。
五月:员工教育:向滥用敏感数据的员工(如将密码发送到Gmail 帐户)发出违规通知。在教育阶段,警报的数量立减 50%。
六月至十二月:策略实施阶段:此阶段启用自动电子邮件加密、拦截违规事件、保护数据、警报数量继续下降,让IT 违规事件调查人员可以轻松控制。
银行所拥有的信息与公众利益直接挂钩,即使恶意份子只是获得了银行卡用户的联系方式而非卡号与密码,也已经足够使其进一步通过目标攻击获取更多的信息。例如:邮箱地址可以用来发送“钓鱼”信息,索取其他敏感信息;还可以通过电话进行钓鱼攻击,打电话冒充某个权威机构的工作人员,使受害者相信自己正在与一个正规金融机构的代表通话,并提供一些用户的敏感信息。维护银行品牌形象,提升储户信任度,防止各种银行信息诈骗,城市商业银行保护储户个人信息和企业自身关键信息势在必行。