Healix Risk Oracle 2021年报告确定了大流行之外的六种主要风险

国际风险管理和援助专家Healix International在其《 2021年风险甲骨文》报告中为全球组织确定了六个关键风险领域，除了COVID-19的持续影响。

1. 自然灾害 –极端天气事件与自然灾害发生频率的增加在频率和严重性方面都变得更加明显。建立抵御自然灾害的能力是一项重要的工作。
2. 不露面的威胁  –在日益孤立主义和更多时间上网的背景下，个人与规范性社区活动的联系将越来越疏远，犯罪和暴力事件相对增加，‘faceless’ lone actors.
3. 供应链中断 –构成全球经济的高度复杂的物流网络在设计时就充分考虑了成本和效率。除非开始将弹性纳入这些考虑因素，否则供应链中断仍将是重要的运营风险因素。
4. 网络攻击  –它们不再只是不便，而是潜在的灾难。更令人担忧的是，针对政府基础设施的攻击正在增加，而在此领域进行的任何网络破坏都可能产生前所未有的影响。
5. “社会契约”的衰变 –在“假新闻”的大流行中，对不平等的不满，对腐败的政治精英的冷嘲热讽以及对包括媒体和大企业在内的更广泛的公民社会的不信任感可能会导致公众的不满情绪和政治凝聚力的恶化。
6. 社交媒体助长了国内政治凝聚力的侵蚀 –复杂的政治问题发现自己以“帖子”，“分享”或“ tweet”的形式被歪曲。这种动态将在2021年变得更加普遍，并导致更大的社会和政治分歧，在“文化大战”最为明显的地区，政治风险的水平将不断提高。

正如Healix International风险管理服务总监Chris Job MBE所解释的那样，对于具有国际影响力的组织而言，至关重要的是要确保将除冠状病毒之外的无数风险视为重点。 “ 2021年可能是一年充满挑战的全球性事件，其中有些是可预见的，而有些则是前所未有的。通过新的，尚未确定的正常情况以及全球对经济增长的驱动力来覆盖这种期望，显然需要强有力的组织弹性计划。现在的关键是确保始终如一且可靠的监控与对最合适资源的访问相结合，以确保员工的福利仍然是首要任务。

“凭借我们在现代技术基础上扎根的内部医疗和安全专业知识，Healix为2021年及以后提供了单一来源的全面，引人注目且功能强大的风险解决方案。”

可以从以下网址下载2021 Healix国际风险Oracle报告以及全球安全风险图 //info.healix.com/download-risk-forecasts-2021

通过 尼克·萨金森 ，Yubico首席解决方案工程师

今年，消费者开始大量使用技术来工作，购物和管理财务。尽管在线访问始终提供便利，但随着人们撤回其计算机和电话（而不是大街）来访问银行服务，今年在线访问已变得非常必要。消费者进行交易和管理货币的方式发生了重大变化，突显出我们所有人都依赖于我们的数字身份。保护这些身份至关重要，这意味着需要采取措施进行有效且安全的身份验证。

据此，对在线和移动银行的需求已经如此增加，以至于88％的银行高管表示他们的组织已经完全不堪重负。 欧洲调查 。这为银行业揭示了一个有趣的事实：许多以前的电话或亲自出行的银行客户现在必须变得更加熟悉和适应其在线银行服务。他们获得的好处，包括立即访问帐户状态和其他银行服务，很可能是促使这些新的在线操作习惯得以坚持的促成因素。

越来越多的向网上银行转移的趋势可能对具有数字化议程的金融机构以及消费者都是有利的。但是，此举并不一定会无忧。例如，虽然TSB的移动银行用户中有三分之二表示他们受益于便捷和24/7全天候访问帐户，但是安全性仍然是老年人群体关注的问题。尽管在锁定后的三个月中，手机银行注册的数量几乎增长了三倍， 电信标准化局发现 55岁以上的人中有39％的人担心欺诈，而37％的人担心丢失手机，结果其银行详细信息遭到破坏。

防线

在线安全的第一道防线通常是用户名和密码，并辅以其他措施来防御一系列威胁，包括：

• 凭证填充 –这是针对一系列数字服务尝试窃取的详细信息，目的是获得尽可能多的帐户。这种类型的攻击利用了不明智的密码重用做法，不幸的是，这种做法很常见，因为每天要管理大量密码是一项挑战。因此，人们经常在多个服务中重复使用他们可以记住的密码，从而使许多帐户容易遭到破坏。一旦网络攻击成功获得密码访问权限，只需使用自动化系统或程序在不同帐户中尝试相同的密码，即可进行多个帐户接管。
• 网络钓鱼 –涉及诱使人们泄露个人信息，例如他们的登录凭据。这可以通过伪装成合法服务提供商（例如其银行服务）的非法发件人的电子邮件来进行。非法发送者通常会在其电子邮件中包含一个链接，该链接随后会将用户带到伪造的站点，在该站点中要求用户输入其凭据，从而使非法发送者能够在真实站点上使用那些新骗的凭据并获得收益访问该用户的帐户。
• 中间人（MiTM）攻击 –发生在攻击者秘密地中继并可能改变了认为自己正在相互通信的两方之间的通信时发生的情况。即使对于那些非常了解网络的人来说，也很难识别这种类型的攻击，因为攻击者会创建与目标相关的高度个性化的消息。它们的路由可能包括未受保护的Wi-Fi网络和可操纵的URL，看起来像合法站点。同样，最终结果是获得访问帐户所需的凭据。
  

  尼克·萨金森

多因素或两因素身份验证（MFA / 2FA）通过添加第二层来帮助减轻这些常见的安全威胁以及其他威胁，从而增强了传统的用户名/密码身份验证。需要注意的是，并非所有MFA都能完全抵御安全威胁-例如，使用一次性代码的基于移动的MFA可以提高帐户安全性，但仍然容易受到现代MitM和网络钓鱼攻击的影响。此外，它可能不是最方便的解决方案，因为它依赖于您的移动设备，当在移动受限或没有蜂窝接收位置接收代码的位置时，可能无法访问该设备。

金融服务提供商可以并且应该采取步骤来帮助客户增强其在线帐户保护。这与增加教育以帮助减少对安全性不太了解的数字鸿沟有关，在任何组织的数字转型中都至关重要。保护在线银行帐户的强身份验证应：

1. 防止帐户接管遭受网络钓鱼和MiTM攻击 –通过规避薄弱的安全措施并通过虚假链接和更改的通信方法欺骗用户，网络犯罪分子有能力进行交易，获得重要的个人识别信息和其他可能严重破坏财务的活动。
2. 提供方便的用户体验 –无摩擦的安全性应该简单，无缝和快速。输入密码容易出错，并且会增加登录时间。
3. 集成到现有系统 –为客户提供强大的身份验证不需要对现有系统或工作流程进行大修。相反，对于现有和将来的产品和服务，应该易于集成。

通过硬件安全密钥等工具进行的强身份验证可增强安全性，而不会给客户带来麻烦。通过利用领先的平台和浏览器（例如WebAuthn和FIDO2）支持的全局身份验证标准，开发人员可以将强大的身份验证解决方案集成到其产品和服务中，从而为用户提供保护其帐户和设备的能力。既然我们已经意识到传统的身份验证方法并不总是最安全的，那么在线服务提供商应该超越基本的MFA，以提供基于标准的强大身份验证来阻止帐户接管。

实际上，对于金融服务机构而言，使用FIDO等技术可提高用户安全性和易用性。它还增加了可用安全选项的灵活性，从增强的用户身份保证到能够实施硬件支持的“信任根”过程，甚至是交易签名解决方案，都更加灵活。

随着消费者越来越多地上网管理日常活动的更多方面，他们将对旨在保护其帐户安全的安全措施充满信心。基本安全措施可能容易受到一系列安全威胁的影响，应通过易于部署和使用的强大身份验证来加强这些基本安全措施。现在是时候通过提供最高级别的保护以及无缝的用户体验来满足在线访问金融服务时客户的期望。

通过 约翰·爱迪生 Oracle金融服务部金融犯罪和合规管理产品全球负责人

金融犯罪从未如此盛行和如此复杂。恰当的例子：最近几个月，政府的大流行支持贷款一直是金融犯罪的重要受害者， 防止了超过11亿英镑的涉嫌欺诈[1] 到目前为止，仅在“反弹”计划中。政府和大型银行都在应对大规模的金融犯罪，并拥有适合其广泛需求的技术，但是，与大型机构承受同样压力的小型机构又如何呢？

洗钱是金融犯罪的一个领域，对于罚款最高的行业来说，这尤其成为问题   3600万英镑 [2] 在2020年的前六个月中。中型银行尤其面临遭受此类违规行为的风险，与大型机构相比，与之合作的资源要少得多，它们需要更多的支持。现有的反洗钱申请通常是不完整的，并且缺乏使小型金融机构最大化效率的灵活性。

面对大流行，英国退欧和更多法规的压力，至关重要的是较小的金融机构必须配备技术来赢得反洗钱的斗争。云可以大大帮助您 新的应用 使中型银行能够简化合规性活动并迅速识别异常客户行为，以制止非法活动。

最脆弱的是重灾区

较小的银行需要在最佳时机压缩每一分钱。他们的商业模式取决于通过创新和收购来发展的雄心勃勃的计划。他们需要的系统可以随需扩展和改进，并且在此前所未有的时间里，随着洗钱和其他非法活动的风险增加，这些系统将得到保护。简而言之，他们需要获得大型银行采用的世界一流技术，但要以易于管理，经济高效的方式为其量身定制。

约翰·爱迪生

像大型金融机构一样，小型金融机构发现其反洗钱程序受到低发现率和高误报率的困扰。较大的金融机构可以解决此问题。这些措施包括内部构建新的场景和机器学习模型，与利基供应商合作以解决特定问题，或购买一流的端到端解决方案。相比之下，规模较小的金融机构在内部构建这些功能或将细分解决方案拼凑在一起的资源较少。因此，他们的核心反洗钱系统需要自己提高检测效率和准确性。

新一代反洗钱技术

鉴于这些威胁和较小银行的特殊需求，需要一种新型的保护措施。此新软件需要提供大型银行所享有的相同质量的保护，而无需花费时间和金钱来实施和维护本地解决方案。这两个问题的关键都在于云。与传统程序相比，基于云和端到端集成的解决方案具有关键优势。

对于较小的银行而言，每个小时都是至关重要的，不能浪费在管理耗时的部署和升级上。这些解决方案开箱即用，基本上是自给自足的，配备了强大的行业认可观察名单和制裁名单基础，以及用于自定义方案设计，分析，阈值模拟和调整的内置工具。这是软件检测和防止洗钱企图，从而在越来越少的监督下提高速度和效率的全部燃料。对人为干预的需求减少，使原本已经超负荷工作的IT和反洗钱团队腾出了关键时间，以处理需要他们的经验和个人接触的更复杂的问题。

基于云的编程的另一个主要优势是，可以轻松地扩展和重新配置每个银行的特定需求。银行可以购买与其特定需求和漏洞相关的服务，而不必投资于很少能为集团创造价值的系统。随后，随着银行的发展，银行可以对其进行更多投资，增加新服务或根据需要扩展现有功能。

云还比任何传统的同类产品更具成本效益。这不仅消除了对额外硬件和中间件的需求，而且还消除了安装成本，并降低了实施成本。云还消除了管理，修补和更新软件和硬件的不可预测的成本。

银行业的新未来

金融犯罪不会很快消失。中型银行特别脆弱，无法享受大型银行提供的同样的现代犯罪检测功能。但是，为满足其独特需求而设计的新工具可以帮助他们在这种环境中生存，尤其是在反洗钱应用程序方面。基于云的保护以易于管理和经济高效的方式提供了小型金融机构所需的所有功能和灵活性。通过以最佳成本关注效率和效率，云解决方案可以帮助中型金融机构保持安全，合规并为业务增长做好准备。

[1] //www.ft.com/content/4d2a9837-c233-4d16-8ec4-5d7deaa403ab

[2]//www.lawgazette.co.uk/practice/aml-fines-falling-global-survey-suggests/5105306.article#:~:text=UK%20fines%20for%20money%2Dlaundering,m%20(%C2%A398.2m).