2024年1月17日,摩根大通资产与财富管理公司(JPMorgan Asset & Wealth Management)部门负责人Mary Erdoes在世界经济论坛(World Economic Forum)发表“银行是否做好准备迎接未来?(Are Banks Ready for the Future?)”主旨演讲,表示在摩根大通6.2万名技术人员中,有相当一部分人员专职应对每天遭受的450亿次网络攻击行为,这些攻击行为不仅频次上是2022年的两倍,且攻击的形式也更加复杂,全球金融机构所面临的网络安全挑战已经非常严峻。
尽管摩根大通首席执行官Jamie Dimon在世界经济论坛的后续发言中更正了Mary Erdoes关于“每天遭到网络攻击450亿次”的说法,称450亿次网络攻击行为是摩根大通的技术资产所监测到的网络攻击行为频次,行为本身可能是有意或无意(例如设置不当的网页内容抓取工具等)的,并不一定是有意针对摩根大通的,但不可否认网络安全已经越来越成为金融行业安全发展中不可忽视的关键问题,即使是2014年数据泄露事件五年后,Jamie Dimon也还将网络攻击的威胁描述为“对美国金融体系的最大威胁”。
摩根大通史上最严重的数据泄露事件
2014年9月,摩根大通公开承认在过去3个月遭遇数据泄露事件,超过7600万个家庭(约为彼时美国三分之二的家庭数量)和700万个小企业的部分敏感信息被泄露,包括电邮地址、用户名、真实姓名、住宅地址、电话号码等,该事件被认为是美国历史上最严重的数据泄露事件之一。
事件起因
根据调查,攻击者可能是通过入侵摩根大通一个职员的计算机而进入的内部网络,并获得了相当高的访问权限,渗入超过90个域名和服务器,攻击行为与2014年6月份开始,在7月下旬被摩根大通安全团队监测到,直到8月中旬才停止攻击。
事件处理
尽管部分数据泄露,万幸的是团队检测到攻击后就及时阻止了攻击者得到更加敏感的财务信息,摩根大通不必担心用户资金丢失引起的诉讼官司,但摩根大通仍无法松懈,根据纽约时报消息,攻击者似乎拿到了摩根大通在内部计算机上标准化安装的应用程序清单,这意味着攻击者可以根据清单上的应用程序对其存在的漏洞进行交叉针对性攻击,因此即使更换程序耗钱耗时,摩根大通也不得不与技术供应商重新谈判许可协议,并为数十万员工更换程序。
事件背景
值得关注的是,事件发生前摩根大通对网络安全相关人员被迫出现过一次大规模调整。2013年,摩根大通前联席首席运营官Frank Bisignano带着一部分摩根大通员工另立炉灶成立了First Data公司,挖走了彼时摩根大通首席信息官Guy Chiarello、网络安全主管Anthony Belfiore、合规主管Cindy Armine、运营管理主管Tom Higgins,网络安全方面只有首席信息风险官Anish Bhimani留任。为填补职位空缺,摩根大通在2013年年底紧急聘请了英国石油公司Dana Deasy担任首席信息官,在2014年6月(数据泄露事件前)聘请专业从事网络防御的前美国空军中校Greg Rattray为信息安全主管。
事件余波
摩根大通方面:事件结束后,摩根大通首席执行官Jamie Dimon在2015年的“致股东信”提到了该事件,称将每年在网络安全方面至少花费2.5亿美元,并雇佣至少1000人监督其系统是否遭遇网络攻击,但仍然悲观地表示“这是一场持续、无休止的对抗,不幸地是,不是每一次对抗都能获胜”。
同业相关:实际上,彭博社称“攻击摩根大通的黑客可能尝试攻击了13个金融机构,还有一家数据丢失的金融机构可能是富达投资”,华尔街日报称“至少还有花旗集团、汇丰集团、E*Trade、Regions Financial和ADP薪酬管理公司遭受攻击”。
监管方面:事件暴露出监管机构在面对网络攻击时存在监管漏洞,金融机构无需将没有造成客户经济损失的数据泄露、网络攻击事件上报至监管机构,每个州对金融机构处理数据泄露事件也有不同要求,部分州要求披露数据泄露情况,但时间限度长达1个月;部分州甚至没有要求披露这类事件。
进一步强化网络安全
数据泄露事件后,摩根大通更加重视技术方面的投入,技术支出水涨船高,占总支出比例由2013年的7.70%一路上升到2020年的15.51%,成为员工薪酬外的最大支出项,尽管2020年后技术支出占总支出比有所下降,但主要原因很可能是摩根大通调整了计算口径,新的“全球技术投资战略”金额与“技术支出额”的口径不同,也证实了摩根大通在信息技术相关费用的前瞻性理念:不是所有技术相关的投入都是“Expenses”(支出),有一部分的技术投入应该叫做“Invest”(投资),即图1和图2的技术支出口径存在区别。
图1  2013年至2022年摩根大通技术支出占总支出情况
资料来源:摩根大通  华锐研究所《金融科技洞察》
2022年3月,摩根大通首席信息官Lori Beer牵头制定并发布了摩根大通全球技术投资战略,旨在通过技术推动摩根大通业务升级和收益增长。在战略中,摩根大通将技术投资分为了“Change the Bank”(主要为“业务创新”方向投入)与“Run the Bank”(主要为“基础建设”方向投入)两类,并将其投入比从4:6调整到5:5。随后摩根大通持续增加数字化平台、云服务、网络安全、用户体验和技术研发等“业务创新”领域的支出,追赶上了以监管合规、内部运营、软硬件设备日常支出为主的“基础建设”领域的投入。在彼时部分经营机构还没有将信息技术风险单独防控的行业背景下,“网络安全”投入已经成为摩根大通主要发力的技术投资方向之一。
在2023年3月更新的全球技术投资战略(战略可能于2024年5月20日更新)中,摩根大通继续践行“Mobile First,Digital Everything”科技战略。摩根大通2023年的技术投资将上涨至153亿美元,并向消费者与社区银行(Consumer & Community Banking,简称CCB)业务定向倾斜,增加约4亿到5亿美元用于开发和升级技术产品,以提升客户使用体验和强化技术质量。
图2 2019年至2023年摩根大通全球技术投资金额
资料来源:摩根大通  华锐研究所《金融科技洞察》
图3  2023年摩根大通全球技术投资战略变化
资料来源:摩根大通  华锐研究所《金融科技洞察》
行业网络安全形势十分严峻
在国际环境日益复杂、GPT类工具涌现的背景下,网络攻击的频率更高、成本更低,而金融行业是网络安全不足的重灾区。
自2018年下半年开始,英国央行每隔半年就跟踪并量化市场参与者对英国金融体系稳定性的看法和信心,受访人为大型外资银行、资产管理公司、对冲基金、保险公司、养老基金等机构或单位的负责风险管理或财务职能的高管。
2023年10月,英国央行发布《2023年下半年系统性风险调查结果》,根据2023年下半年受访情况,受访者共提到26种风险,最常提到的5大风险分别是网络攻击、地缘政治风险、通胀风险、英国经济衰退风险、气候风险,其中网络攻击和地缘政治是调查以来占比一直居高不下的风险来源(见图4),网络攻击风险水平也是历次调查中最高的一次,受访者列举了一系列风险来源,包括全球局部冲突加剧、人工智能爆发、技术进步和关键市场基础设施的弹性不足。此次调查有7%的受访者首次提到人工智能带来的风险,包括给劳动力市场摩擦以及提高金融犯罪的可能性。
图4 英国金融体系主要风险来源(单位:%)
资料来源:英国央行《2023年下半年系统性风险调查结果》
受访者还认为网络攻击是目前英国金融体系的首要风险来源,相较2023年上半年的调查结果升高了17%(见图5)。
图5 英国金融体系的首要风险(单位:%)
资料来源:英国央行《2023年下半年系统性风险调查结果》
调查还要求受访者列出在管理中最具挑战的风险,网络攻击、地缘政治风险、通胀风险仍然是最具挑战性的三大风险,但认为网络风险最具挑战性的比例明显增加(见图6)。
图6 作为管理者认为最具挑战的风险(单位:%)
资料来源:英国央行《2023年下半年系统性风险调查结果》
简析
综上所述,2024年的网络安全形势将会更加严峻,经营机构需要进一步加强应对网络攻击的相关能力。目前来看,经营机构在网络安全上的投入主要有三大特点需要注意:
一是网络安全投入的“脆弱性”。经营机构在网络安全投入的主要目的是能够抵御网络攻击以及在遭遇网络安全事件后能够保障数据安全和业务平稳运行,但只要出现一次恶性安全事件,不仅会造成难以估量的经济损失和声誉损失,且现有的网络安全规划都需要做出新的调整,产出新的应对预案。因此,经营机构需要正视网络安全投入的“脆弱性”,接受“网络安全事件可能随时发生”这一现实情况,提高网络安全事件相关预案的灵活性,通过加强网络安全弹性应对复杂多变的网络安全环境,例如确定网络安全的优先事项并建立一套全面的策略和流程来应对各种安全威胁和风险;使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术,阻止未经授权的访问和攻击,并及时检测和应对潜在威胁;采取访问控制、身份验证、加密通信等多种安全措施增加网络的安全性和弹性;确保技术供应商和合作伙伴也符合相应的安全标准和要求,防止安全漏洞通过供应链渗透进来。
二是维护网络安全的“广泛性”。对于经营机构来说,无论是技术部门还是职能部门都需要具备一定的网络安全防护能力:管理层领导出于管理责任会对网络安全格外关注,必要时有专项技术人员协同防护;技术人员出于专业习惯也会定期检查电子设备的网络安全防护水平,且自身对网络攻击也有一定的识别和防御能力;但对于经营机构员工占比较高的非网络安全员工来说,则往往忽略了网络安全工作的重要性,也可能因为没有识别能力、抵御能力等原因无法做到有效处理网络安全问题,例如携带公司设备连接安全性未知的公共网络、点开未知邮箱发来的“年度绩效”表格链接等。此外,网络安全之于业务人员只是工作的一小部分,而网络攻击之于攻击者则是“全职”工作,这种“职责错位”让经营机构网络安全的攻防形势处于不对等的水平,使员工在抵御网络攻击时更加困难。经营机构可以通过对数据进行分类分级有效控制维护网络安全的“广泛性”问题,让技术能力不同的群体维护不同价值的数据集,运用网络安全访问控制机制限制对敏感数据的访问权限;对于机密和重要数据,采取加密和安全传输措施,确保数据在传输过程中的安全性和完整性等。
三是网络安全投入的“次重要性”。证券行业高度依赖技术发展水平,且无论什么样的新兴技术出现,经营机构不会也不能忽视其带来的新技术风险。尽管越来越多的经营机构开始重视信息技术部门和合规风控部门的内部协作并加强合规风控系统的建设,但也注定了网络安全虽然是长期的发展重点,却鲜有机构将其作为首要的信息技术投入目标。此外,由于和新兴技术的情况高度绑定,经营机构的网络安全攻坚方向也时常因为新兴技术的特性变化而变化。经营机构可以建设敏捷研发团队缓解这一问题,一方面在团队中补充具备网络安全能力的复合型人才,从开发阶段提高系统网络安全能力;另一方面敏捷团队能够根据技术发展情况、公司发展战略进行调整,及时对安全需求作出响应。
摘自华锐研究所《金融科技洞察》
声 明
本报告由华锐研究所提供,所载内容反映的是截至报告发表日的判断,如所载内容出现变动,我们将及时补充、修订或更新内容及观点。本报告版权属于华锐研究所,如需引用本文,请明确注明引自华锐研究所。
继续阅读
阅读原文