依靠电子邮件作为业务沟通的基本功能已经存在了一段时间。但是，由于远程工作已成为2020年大多数企业的关键因素，因此可以说，远程通信作为一种通讯工具比以往任何时候都更加重要。每天发送和接收大约2064亿封电子邮件这一事实，意味着我们都非常熟悉那种以错别字，错误的附件或错误的联系发送电子邮件的可怕感觉。但这不仅仅是一个令人尴尬的错误-实际上，后果可能是灾难性的。 

特别是，对于处理包括货币交易和金融数据在内的高度敏感的信息的金融服务行业而言，此信息的后果落入不当之手可能意味着大量金钱的损失。这种性质的电子邮件是网络犯罪分子的圣杯。那么，金融服务组织如何保护其机密信息的安全，以保护其数据和声誉？ 

数据泄漏的成本是多少？

根据Ponemon Institute在其2020年数据泄露成本报告中的研究，组织平均花费385万美元从安全事件中恢复，而识别和遏制漏洞的通常时间为280天。埃森哲（Accenture） 2019年第九届网络犯罪年度成本发现，金融服务是所有行业中最高的网络犯罪成本。尽管外部威胁的例子似乎成为头条新闻，例如“首都一号”网络事件，但无意或内部人员的违规行为并不总是引起人们的广泛关注。然而，它们彼此一样危险。实际上，人为错误（包括通过电子邮件进行的误发送）导致确认数据泄露的可能性几乎是原来的两倍。

根据每次违规的程度，成本范围很广，但至少要有财务罚款，审计费用，以了解事件发生的原因以及需要实施哪些附加协议和解决方案以防止事件发生未来。偿还可能因违规而受到影响的客户的费用也可能涉及巨大的成本。

数据泄漏的损害无法估价！

数据泄露的后果远远超出了财务罚款和成本的范围。金融服务企业必须维护声誉，以维护忠实的客户群。那些无法保护客户敏感信息的公司将不得不应对负面新闻和对现有客户和潜在客户的不信任，这可能会严重阻碍整个组织。在如此竞争激烈的市场中，客户将钱花在其他地方并不需要太多–客户服务和声誉就是一切。

请检查！

在金融服务领域，风险很高，因此有效的分层网络安全策略对于降低风险和确保敏感信息的安全至关重要。因此，必须考虑三个关键组件： 

1. 身份认证：黑客可能试图直接攻击系统或通过不安全的传输链接来拦截电子邮件。安全协议旨在防止大多数情况下的未授权拦截，内容修改和电子邮件欺骗。将专用电子邮件添加到电子邮件加密服务到您的电子邮件安全性库中，可以增强您在此区域的保护。但是，身份认证并不能保护您免受人为错误和错误交付的影响。 

   
   

2. 数据加密和数据保护：对数据进行有效的保护，即使发生数据泄漏也不会对公司和组织造成重大的影响，这已是所有人的共识。但如何有效的对数据进行保护，采用哪种方式进行保护，则成为令人头痛的问题。确保密钥的安全，是解决头痛问题的最佳良药。您拥有需要加密密钥的数据保护解决方案或需要使用私钥的数字签名解决方案时，保护这些密钥至关重要。证明保护的有效性通常是能够满足您的行业、国家或国际法规的区别。HSM和KMS不仅提供了在其整个生命周期中保护密钥的安全环境，而且还提供了强大的控制权（在HSM的安全范围内强制执行），以控制谁被授予对密钥的访问权限以及如何使用这些密钥。他们可以确保仅在一定数量的管理者授权后才授予访问权限，并且可以根据用户的角色限制用户允许的任务。

   
   

3. 政策和培训：关于敏感财务信息的流通和存储的安全准则和规则至关重要，并且在发生安全事件时应遵循明确的步骤。员工在加入组织时必须接受网络安全意识培训，然后按季度或每月进行一次简短的有益会议，以参加正在进行的计划。该培训还应结合正在进行的网络钓鱼模拟以及模拟的网络钓鱼攻击，向用户演示这些事件如何出现，并教育他们如何识别并标记这些事件。此外，自动网络钓鱼模拟还可以提供关键指标和有关用户如何改进其培训的报告。加强了安全消息传递， 

   
   

4. 数据防泄漏（DLP）：DLP解决方案使公司能够实施安全措施，以检测，控制和预防危险的电子邮件发送行为。诸如机器学习之类的全面技术解决方案可以走得很远，以防止破坏，但是只有人为因素才能真正破译安全的内容和不安全的内容。在实践中，机器学习将阻止所有内容的发送-比给用户的支持更多的麻烦-或什么也不会阻止。DLP解决方案并没有禁用诸如自动完成之类的省时功能，以防止员工在选择合适的电子邮件收件人时变得自满，而DLP解决方案并不妨碍用户的工作习惯，而是为他们提供了再次检查的重要机会。

正是这种双重检查可能成为组织网络安全工作中的关键因素。可以根据可以指定的几个参数提示用户。例如，不同部门的同事之间互相交换机密文件，而外部供应商则意味着TO和CC字段中可能有多个收件人。如果没有适当的工具来向用户突出显示此简单错误的电子邮件地址或巧妙伪装的伪造电子邮件，并且反复来回发送电子邮件，则可能会丢失它们，从而使他们有机会再次检查电子邮件收件人的准确性以及附件的内容。

总结

电子邮件对于每个企业来说仍然是一种风险很大的工具。但是，有了由培训、身份认证工具（Token、Key、SmartCard、认证平台等）、数据保护和DLP解决方案组成的分层安全策略，组织可以最大程度地降低所涉及的风险并采取主动的方法来防御其网络防御。

考虑到行业的性质，金融服务组织是网络犯罪分子的主要目标。黑客对个人信息和金融交易的诱惑永远不会减少，因此金融机构必须优先考虑网络安全，定期评估风险，部署以人为主导的创新解决方案并教育员工队伍，以提供最佳防御。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规