仅有一半的信息安全专业人员具备较高的网络安全知识;密码学理解率更低,为34%
- 由于交易硬件保护采用率较低,各行业依然脆弱;
- 企业采取的安全措施仍停留在表面;
- 高成本和缺乏监管义务是采用更复杂解决方案的障碍;
- 云加密服务被视为安全且经济实惠的替代方案。
金融和支付行业是巴西受网络攻击最严重的行业之一。随着市场上新型服务的出现和交易数量的增加,安全威胁也随之增加。根据专门从事密码学和网络安全的跨国公司 Kryptus 的调查,尽管存在潜在的漏洞,但该国的一些机构仍然 很少投资于更强有力的保护措施.
该公司对来自金融机构的 30 名技术和信息安全经理进行了一项调查,这些机构包括来自圣卡塔琳娜州、巴拉那州、圣保罗州、米纳斯吉拉斯州、里约热内卢州、圣埃斯皮里图州、塞阿拉州和帕拉伊巴州等八个州的银行、信用社、财团管理者、中介机构、养老金计划和信用卡管理者。研究指出,这些领域在网络安全方面仍然不够成熟。 Kryptus 产品负责人 Willian Oliveira 表示:“在分析用于保证公司信息安全的主要产品和服务选择时,可以注意到采用了一些处于表面安全层面的措施,例如 VPN 和用户/密码验证。”
当涉及到复杂的架构时,需要更大程度的投资或技术知识的更强大的安全措施,公司的收购就会减少。超过一半的样本没有促进更深层次安全的解决方案,例如安全中心。 安全运营(SOC)、数字证书的安全管理以及 加密安全模块(HSM).
在表示没有 HSM 的机构中,45% 甚至没有考虑投资该技术的可能性。即使那些认识到需要使用 HSM 的受访者仍然认为价格、缺乏行业监管和对其好处的了解是有效采用的主要障碍。
当有人指出 42% 的受访者声称不使用任何其他类型的解决方案来加密和保护加密密钥时,情况变得更加糟糕。 “这表明,监管对于优先投资的重要性,因为除了强制性之外,它还可以作为教育工具,让那些由于缺乏技术知识而不愿投资的决策者受益,”该高管解释道。
关于信息安全专业人员的熟练程度,仅有50%的样本表示对网络安全有较高的了解。另一方面,了解密码学的人所占比例甚至更低,仅为 34%。
根据这些数据,奥利维拉考虑了两个假设。 “首先,尽管从事该领域的专业人士意识到公司面临的风险,但他们无法倡导优先投资于适当的解决方案;其次,这些专业人士缺乏对风险及其缓解措施的更深入了解——在这种情况下,公司必须在专业合作伙伴的帮助下,投资培训和更新他们的团队,”他建议道。
关于公司愿意采用的解决方案类型, 云端 HSM 受到支付机构的更多认可。在这个范围内,60% 的受访者已经考虑过获取该技术。 Oliveira 指出:“较低的投资价值、可扩展结构的优势以及与内部 HSM(现场安装)相同的安全级别,这些特点吸引了这些公司的注意,无论其规模大小。”
另一方面,银行、信用合作社和财团管理者则展现出不同的面貌。只有 30% 的人评估了对云 HSM 的需求。 “这是因为该行业倾向于在现场安装设备,因为 更好地控制身体管理 这种类型的设备所提供的功能”,他总结道。
