- 共同發(fā)布《金融服務(wù)業(yè)軟件安全狀況》報(bào)告
- 超過(guò)一半的金融服務(wù)機(jī)構(gòu)由于不安全的軟件導(dǎo)致客戶數(shù)據(jù)被盜
對(duì)于金融服務(wù)業(yè)來(lái)說(shuō),客戶信任、隱私和風(fēng)險(xiǎn)管理至關(guān)重要。但最新一份研究報(bào)告顯示,超過(guò)一半金融服務(wù)機(jī)構(gòu) 都曾經(jīng)歷因網(wǎng)絡(luò)攻擊而導(dǎo)致客戶數(shù)據(jù)被盜、系統(tǒng)故障與宕機(jī)等安全問(wèn)題。
新思科技(Synopsys, Inc.,納斯達(dá)克股票代碼:SNPS)近期發(fā)布了《金融服務(wù)業(yè)軟件安全狀況》報(bào)告。數(shù)據(jù)安全中心Ponemon Institute對(duì)金融服務(wù)行業(yè)當(dāng)前的軟件安全實(shí)踐進(jìn)行了獨(dú)立調(diào)查。報(bào)告重點(diǎn)呈現(xiàn)了金融服務(wù)行業(yè)的安全現(xiàn)狀及解決安全相關(guān)問(wèn)題的能力。調(diào)查顯示超過(guò)一半的受訪機(jī)構(gòu)曾由于不安全的金融服務(wù)軟件和技術(shù)而導(dǎo)致客戶敏感信息被盜或系統(tǒng)故障及停機(jī)。此外,許多機(jī)構(gòu)難以管理其供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),且無(wú)法在軟件發(fā)布前正確評(píng)估其安全漏洞。
新思科技軟件質(zhì)量與安全部門安全咨詢總經(jīng)理Drew Kilbourne表示:“盡管如今金融服務(wù)行業(yè)在軟件安全方面已經(jīng)相對(duì)成熟,金融機(jī)構(gòu)仍需要應(yīng)對(duì)快速發(fā)展的技術(shù)環(huán)境,以及日益復(fù)雜的競(jìng)爭(zhēng)對(duì)手。單憑一種方法確保軟件安全顯然是行不通的。報(bào)告明確指出加強(qiáng)供應(yīng)鏈風(fēng)險(xiǎn)管理極其重要。這有利于許多金融機(jī)構(gòu)將他們的軟件安全計(jì)劃實(shí)施于所有業(yè)務(wù)關(guān)鍵的應(yīng)用。也能有助于將將安全‘向左移’,在軟件開發(fā)生命周期(SDLC)早期就已經(jīng)將安全考慮在內(nèi)。”
新思科技委托了知名數(shù)據(jù)安全研究中心Ponemon Institute對(duì)金融服務(wù)行業(yè)當(dāng)前的軟件安全實(shí)踐及風(fēng)險(xiǎn)進(jìn)行了調(diào)查。研究人員訪問(wèn)了來(lái)自金融服務(wù)行業(yè)各個(gè)領(lǐng)域的400 多名IT 安全從業(yè)人員,包括銀行、保險(xiǎn)、抵押貸款/ 處理和經(jīng)紀(jì)領(lǐng)域。調(diào)研參與者的職務(wù)涵蓋開發(fā)、安裝和實(shí)施金融應(yīng)用等。
報(bào)告重點(diǎn)發(fā)現(xiàn)如下:
多數(shù)金融服務(wù)行業(yè)機(jī)構(gòu)無(wú)法有效防止網(wǎng)絡(luò)攻擊。據(jù)56%的受訪者稱,由于不安全的金融服務(wù)軟件和技術(shù),他們的機(jī)構(gòu)遭遇過(guò)系統(tǒng)故障;超過(guò)一半(51%)表示客戶的敏感信息被盜。毫不意外的是,調(diào)查顯示更多機(jī)構(gòu)在檢測(cè)(56%)和控制(53%)網(wǎng)絡(luò)攻擊方面充滿信心,而在從源頭防止攻擊方面則較弱。
許多機(jī)構(gòu)難以管理其供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。幾乎四分之三(74%)的受訪者關(guān)注或極其關(guān)注第三方軟件系統(tǒng)的安全性。除此之外,只有43%的受訪者表示他們要求參與金融軟件技術(shù)開發(fā)過(guò)程的第三方驗(yàn)證其安全實(shí)踐。以及,只有43%的受訪者表示他們有既定的流程來(lái)編目和管理軟件產(chǎn)品中的開放源代碼。
金融服務(wù)機(jī)構(gòu)無(wú)法在軟件發(fā)布前正確評(píng)估其安全漏洞。雖然大多數(shù)金融機(jī)構(gòu)遵循安全軟件開發(fā)生命周期流程,但是,平均而言,金融機(jī)構(gòu)僅對(duì)34% 的金融軟件/ 技術(shù)進(jìn)行網(wǎng)絡(luò)安全漏洞測(cè)試。此外,即使是對(duì)金融軟件/ 技術(shù)進(jìn)行網(wǎng)絡(luò)安全漏洞測(cè)試,只有48%的受訪者表示這項(xiàng)活動(dòng)是在SDLC流程的軟件預(yù)發(fā)布階段開展,例如需求和設(shè)計(jì)階段或開發(fā)和測(cè)試階段。
點(diǎn)擊:《金融服務(wù)業(yè)軟件安全狀況》免費(fèi)下載報(bào)告。
點(diǎn)擊金融服務(wù)領(lǐng)域的軟件安全 ,了解更多。
