洞察与分析

网络安全——金融科技企业该重视了吗?

Published: Feb 2020

企业司库的重要职责之一就是保护其组织免受网络犯罪和支付诈骗的侵害。但是,在愈加复杂的支付领域,金融科技企业对于网络安全的需求是否予以了足够重视呢?

最近几个月,各地网络犯罪事件层出不穷。总部位于东京的日本经济新闻社(Nikkei)因企业电邮入侵(BEC)诈骗,蒙受了高达2200万英镑的损失。在美国,众多城市和学区也接二连三地遭受了勒索软件的侵袭。

企业司库的重要职责之一就是保护其组织免受支付诈骗和网络犯罪的侵害,但有些企业对此却还不够重视。2019年普华永道(PwC)在全球司库标杆比照调查(2019 Global Treasury Benchmarking Survey)——数字司库:人机共舞(Digital Treasury – It takes two to tango)中警告说,尽管公众对网络安全感到愈加担心,“但许多企业司库似乎低估了支付欺诈和网络安全的风险,也未对管理此类风险的职责予以足够的重视。”

然而,该调查显示,在56%的受访者所在的组织里由集团司库负责管理支付欺诈风险。此项调查报告也强调了最佳实践的重要性,如提高安全意识、强化流程管理、使用科技手段等,并强调“企业司库应与IT供应商协作,在数据加密和认证方面至少采用最基本的安全控制,确保接口稳健可靠,定期进行渗透测试并保证足够的网络隔离。

科技与欺诈

科技作为手段,可有效地应对支付欺诈和网络攻击。举例来说,专用的司库管理系统能够提供用户接入控制、职权分割、异常交易监控等关键控制工具,帮助企业司库识别风险。

但随着支付领域不断扩展,金融科技企业也纷纷推出各类支付产品和创新服务,它们在企业司库所重视的安全需求方面投入了多少关注呢?有意思的是,凯捷咨询(Capgemini)在2019年发布的世界金融科技报告(2019 World Fintech Report)发现,将近三分之二的银行认为网络安全是开放式银行面临的一大挑战,然而金融科技企业中却只有42.5%认同这一观点。该报告也发现,金融科技企业与银行相比,对于数据安全和客户隐私的重视程度不足——“可能是因为对金融科技企业而言,数据隐私遭窃的后果不如银行那么严重。”

艾特集团(Aite Group)的高级网络安全分析师约瑟夫·克鲁尔(Joseph Krull)指出,金融科技企业善于创新、打造数字旅程、为无障碍交易提供支持,“但对威胁、安全和内控却缺乏理解。尽管有些金融科技企业在其宣传材料中提及安全,但我所研究的大多数金融科技企业都只把安全性放在次要的位置。”

克鲁尔指出,当前金融科技企业更愿意强调其在人工智能和机器学习等尖端科技领域的投入,“却没有听到它们强调在其产品中加入优秀的内部控制,能够防止不应出现的欺诈行为。”

双向通道

这并不是说我们没有改进的机会。金融科技企业可以通过积极正视安全关切而获得竞争优势。克鲁尔指出,“如果一家金融科技企业强调其竞争优势之一就是重视内控和可审计性,并进行大量的记录和监控,那么它就能够与客户组织中负责经营风险的管理者对上话。”

但要做到这一点,克鲁尔指出,客户组织也需要主动地向金融科技企业表明自身的需求。这样才能促使金融科技企业在产品开发的过程中更加注重安全性。

“这是一个双向通道,金融科技企业的客户组织需要推动这样的对话。”克鲁尔说道,“它们需要向金融科技企业表明,‘这个产品看上去真不错,可以让交易更加迅速,但其中有哪些安全特性,以确保我在运行时没有后顾之忧?’”

All our content is free, just register below

As we move to a new and improved digital platform all users need to create a new account. This is very simple and should only take a moment.

Already have an account? Sign In

Already a member? Sign In

This website uses cookies and asks for your personal data to enhance your browsing experience. We are committed to protecting your privacy and ensuring your data is handled in compliance with the General Data Protection Regulation (GDPR).