不想被开巨额罚单？银行需筑起数据安全“护城河”

文/ Veritas公司大中华区技术销售与服务总监 顾海巍

今年三月,英国金融监管机构宣布,对国民西敏寺银行(NatWest)提起刑事诉讼,理由是该银行涉嫌洗钱。如果罪名成立,这家银行将可能面临 "无限"罚款。

现在,国内外银行越来越被置于监管的显微镜下。数据管理和保护也将是银行面临严格审查的另一个领域。随着在线和移动银行服务的兴起,银行需要管理越来越多的高敏感客户数据,同时随着新冠疫情期间远程办公模式的不断普及,这些数据变得比以前更加零散。为此,银行不得不通过云、虚拟机和本地基础设施的复杂组合来迅速扩展其IT基础设施,这导致数据越来越碎片化,也越来越难管理。Veritas研究发现,目前大多数银行备受困扰——由于安全措施落后于复杂的IT基础设施,63%的银行在数字化转型和数据管理之间存在着差距,这意味着银行在数据可视性和对数据的控制力方面做得比以前更差。

如果持续下去,银行将有可能面临三重危害:成为网络犯罪的受害者、面临不符合监管规定的巨额罚款,以及侵蚀消费者信任。事实上,网络犯罪分子已经在瞄准这个 "差距"——SonicWall的报告显示,仅在2020年上半年,勒索软件的攻击就增加了20%。

银行业数据安全现状

《2020中国电子银行调查报告》 中显示,2020年个人手机银行用户比例达到71%,企业网上银行渗透率为83%;2019年银行业金融机构网上银行交易金额超过1600万亿元;手机银行交易金额超过330万亿元,数据类型涵盖工资、公积金、消费贷款等结构化数据以及文档、音像和地理位置信息等非结构化和半结构化数据。庞大的用户群体、交易规模以及丰富的数据种类,其中所蕴含的价值不言而喻。

当客户选择与一家银行合作时,他们愿意提供大量敏感的个人信息,归根结底是因为信任。信任是银行赖以生存的基础,也是吸引和留住客户的重要原因。毫无疑问,客户希望这些信息能够被充分保护。随着金融科技在整个银行业广泛应用,尤其是云计算和大数据的发展,银行可以利用这些数据来为客户提供个性化的服务,或者是创造出新的金融业务模式。然而,这也使得银行成为了网络犯罪分子的重点狙击目标。

事实上,许多银行由于没管理好客户数据,目前正面临着无法通过合规审查的巨大风险。Veritas研究发现,46%的银行或从未测试过他们在勒索软件攻击下的灾难恢复计划,或已经超过90天没有进行过测试。尽管近三分之二(63%)的银行承认在以前收到过勒索软件的攻击,超过十分之一(14%)的银行认为,如果数据能够恢复的话,则至少需要1个多月的时间。这些数据表明,银行原本可以更好地保护自己的数字资产,却没有为潜在的攻击风险做好准备。并且,有一半(50%)的受访银行承认为恢复客户数据支付了赎金。

筑起数据安全“护城河”,消除潜在风险

在疫情的催化下,银行纷纷加码数字化转型。怎样才能落实数据保护战略?答案不仅仅是简化IT基础设施:随着存储数据的不断激增,银行必须面对多云环境复杂性的挑战。如何解决这个问题?有一个办法:使用工具将管理企业数据的系统进行标准化,如此一来,银行便能获取有价值的数据。

但是,在采取行动之前,必须先解决“其中多少数据是真正有用的”,存在哪里、是否为有害数据。想要了解清楚,首先就要进行数据洞察。对于银行来说,更是如此。作为金融业重要的组成部分,银行信息化建设已经走在各个行业前列。数据爆炸式的增长以及云被大量的应用,让银行数据管理的成本也越来越高。

Veritas 在EDSP(多云数据服务平台)之上提出了“API框架”,倡导用平台的视角审视企业的整体数据。A是Availability(数据可用性),P是Protection(保护),I是Insight(洞察)。在本地银行信息化建设快速发展的当下,数据洞察就显得尤为重要。数据洞察是在数据保护和数据高可用解决方案前的“前导工作”,能够帮助银行实现数据合规,去除风险以及降低成本。

一旦银行对关键业务数据有了全面了解,想要保护好这些数据,就必须对业务连续性和灾难恢复流程进行优化。在发生勒索攻击时,加密的备份是唯一的防线。但需要注意的是,任何没有经过试验和测试的备份计划都是没有意义的。

测试灾难恢复计划有助于帮助企业发现从未发现过的漏洞。备份是否被充分隔离并且能够有效避免感染扩散?有价值的数据是否有足够的副本?这些副本的保留时间是否足够长?只有定期的演练和测试才能对这些情况了如指掌。测试并不复杂,例如:安排工作人员检查以确保在主应用程序发生故障时备份网站能够正常运行,或执行单一文件恢复并检查恢复的副本是否与原始文件相符。但是,必须是定期的、可重复的,这也是企业备份策略的重要组成部分。

未来,对数据具备完备的掌控力,并能有效利用数据的价值将成为银行提升自身核心竞争力的重要手段。Veritas也将通过提供统一的多云数据服务平台(EDSP),帮助银行建立完整的数据治理体系和数据安全保护机制,实现业务不停,数据不丢,应用上云,管理合规,推进数据的深入挖掘和智能化应用,发挥数据价值,助力智慧银行建设。