金融行業網路安全聚焦：識別、評估與保護

本文概述了當前影響金融行業的主要網路安全風險，包括近期事件和新興威脅。我們還重點介紹了我們能夠解決金融機構面臨的網路安全性漏洞而設計的專業保險解決方案。閱讀本文，助您優化組織的網路安全風險管理方法。

金融行業發生了哪些網路安全事件？

金融行業的網路索賠

金融機構行業的網路索賠通知仍然居高不下

根據WTW的網路索賠資料，儘管2024年上半年索賠通知數量低於預期，但金融機構行業在索賠通知數量上仍位居第二（在14個行業中），占WTW收到的所有通知的17%。其中，35%的通知歸因於惡意資料洩露，25%歸因於勒索軟體。隨著下半年結果的納入，這一現狀可能會有所變化，特別是在CrowdStrike事件後，系統故障導致的業務中斷損失將被考慮在內。

來源：WTW專有索賠數據

攻擊途徑

領先的網路保險公司Canopius觀察到，2024年第二季度針對金融機構的國家支持攻擊有所減少，延續了自2023年以來的趨勢，即該行業的大多數攻擊（約50%）源自以經濟利益為動機的威脅（而非間諜活動、駭客主義和恐怖主義）。

為防禦這些攻擊，終端上的行為預防（如EDR技術）是緩解針對該行業攻擊類型的最有效控制措施，其次是“過濾網路流量”（使用網路設備過濾進出流量並執行基於協議的過濾）。

監管環境

自2025年1月17日起，《數字運營韌性法案》（DORA）在歐盟生效。該法案將影響從信貸機構到保險組織的廣泛金融機構。法案的重點是確保韌性和建立強大的網路防禦程式。儘管許多歐盟內的先進金融機構可能已具備這些措施（如漏洞管理計畫和事件報告程式），但Akamai建議，為準備DORA法規的合規性，受覆蓋實體應進行差距分析，以評估現有部署措施是否滿足部分或全部適用要求。

我們對金融行業網路安全市場趨勢展望

今年，網路保險市場對金融機構而言仍然有利，主要和超額層級競爭激烈。倫敦市場的承保能力依然充裕，因為保險公司對該行業的網路安全資質充滿信心。此外，金融險保險公司渴望加深其在跨險種（職業責任保險、犯罪保險、董事和高管責任保險以及網路保險）中的交叉銷售，進一步推動競爭結果。保險公司還提供了更靈活的自保選項，承保額超過500萬美元的保單現在已司空見慣。

儘管購買條件有利，但金融機構的保額購買基本保持穩定。許多WTW客戶採用基於風險的方法來評估保額充足性，利用諸如WTW的Cyber Quantified 2.0等分析工具來指導決策，而不是依賴投保人的可用預算。

相反，包括自保選項在內的保障範圍分析已成為首要關注點，其中包括將內部應急回應程式與網路保險通知要求以及供應商面板解決方案相結合。這越來越引起資訊安全團隊的關注，他們可以利用保險公司的供應商來補充自己的面板。此外，一些保險公司還為投保人在其基礎設施上部署選定的資訊安全工具（例如EDR解決方案）提供折扣，包括諮詢服務。例如，Beazley建立了自己的內部網路安全部門（Beazley Security），我們預計這一趨勢將在2025年將進一步發展。

金融機構仍在研究在網路保險計畫中部署自保公司的問題。自保公司可以提供具有競爭力的豐厚保障選項。然而，儘管當前保險市場競爭激烈，但自保公司尚未在該行業定期部署，儘管許多客戶經常在其他險種（如專業賠償保險/犯罪保險）中部署自保公司。