新浪财经讯 5月24日消息,由亚洲银行家举办的第二届“全球未来金融峰会”暨第十九届“亚洲银行家峰会”今日开幕,本次峰会聚焦数字经济领导力、重塑全球交易、网络安全和“一带一路”四大行业变革型领域。法国兴业银行全球首席信息安全官与董事会成员Stephane Nappo参加“数字时代的网络安全”分论坛,并介绍了金融领域数字时代的网络安全。
Stephane Nappo:我的名字Stephane Nappo,我来自法国兴业银行,我是全球首席信息安全官,这是非常大的一个银行集团,在这样一个集团之内,和一个特定的一个团队一起工作,我们的工作范围覆盖了67个国家,我想跟大家方向一些比较务实的案例。首先,非常荣幸来到这里,因为我是从法国来到了中国,跟大家分享我自己今天的想法,而在世界范围内,我们可以看到中国方方面面的进步,但是中国在进步的时候,其实也可能面临着一些威胁,中国来说对金融的发展是非常重要的,我们的视觉范围、我们的焦点是在中国。
今天我的主题是“数字时代的网络安全”,尤其把重点放在金融方面,我们来看一个短片。
(短片播放)
这是我们精彩的今天,这不是过去、不是未来,是今天,我个人相信,我们安全领域的工作者是非常重要的,我也是全球首席信息安全官,我在很多国家工作,我想今天给大家分享的是我们非常务实的一些案例。
第一个,创新,创新是一个新的服务,但是创新必须要以遵守我们安全方面的法律法规为基础,同时要有可持续性,我们必须要记住,我们四个领域的创新现在已经受到了黑客的攻击。所以我们任何的创新,它都可能受到网络威胁,但是有时候也会有更多欺诈的行为,因此,我们要更好的保护我们的安全,其实这并不是某一个小的工具。我们在这方面的投资必须要包括预防欺诈的行为。技术是一个可用的仆人,但是它会是一个危险的主人,这就是我们的挑战,其实在美国、非洲、中国、澳大利亚等等在全球层面,我们必须要掌握这样的一个技术,我们必须要维护客户的信心。因此,安全是最重要的一个工具,其实它并不是企业主要的目的,但是并且是他们最重要的目标。
我们也经常看到,比如说创新,就像是一个乌托邦,恐惧的乌托邦一样,我们现在面临着安全的重要问题,在这方面我们做了很多的工作来阻止这样一种恐惧的心理,其实它并不仅仅是乌托邦,其实它是一种软件的应用和它息息相关。还有一个小的问题,最主要的网络风险会是什么呢?一个很简单的问题,比如说,对政府来说,对董事会来说,对我们人来说,他们认为,这个风险是不存在的,所以觉察非常重要,我们要了解这种风险的现实。因此,我们要能够应对所有的风险,如果我们认为这个风险不存在的话就很危险,我们要意识到这种风险,而且可以进行一些选择来保护自己。当然,安全它并不仅仅是一个IT的话题,很多的高管不应该参与其中,很多大的CEO,他们在网络安全方面其实已经达成了一致,这点确实非常重要。
金融是基于什么呢?金融它不是基于数字,它并不是基于金融本身,金融是基于信任或者说客户的信心,如果没有信任的话,就没有客户,也就没有业务了。今天安全也就是对金融行业的一个信息,我们需要花20年的时间来打造一个好的生意,但是只需要几分钟的时间,如果发生了网络安全事故,所有的名誉毁于一旦了。还有另外非常重要的一点,我们来看一下中国、美国、法国,IT情况怎么样?个人身份怎么样?我们要保护我们自己,对我们来说在金融行业,要做到防御,其实它有非常多的目的,并不仅仅是一个话题,我们要实现数字转型,也就是说在镜子的另一面,作为服务方面,比如说俄罗斯、罗马尼亚、法国等等,50美元就可以买到某一个东西,但是30到50美元就可以来进行攻击,这是我们要考虑到的。可能会攻击银行,甚至你个人,而且它的成本基本上没有,很低,这是一种新的犯罪在防御方面非常重要,其实它并不是直接的攻击,如果不是银行家的话,你就是目标,他们要的不仅仅是钱,他们想要这些信息,把这些信息卖给别人来挣钱,包括你孩子的一些信息,还会有这些造假的卡片等等,这些人他们是需要一些信息,并且把这些信息卖出去。对于这些黑客来说,信息具有巨大的价值。因此,我们如何获得创新呢?其实这并不是不可能的事情,也就是共生,一方面要安全,同时也要创新,这是共生的,可以达到平衡的。
什么是数字的业务呢?我们会有政策监管,同时也是服务、也是创新,信息也非常重要,如果不这么想的话,其实就会有麻烦,我们都了解到了Facebook的问题,我们要保护个人的隐私,比如说银行的法律监管,怎么样获得客户的信任,在你的层面或者第三方的层面以及合作者的层面都做到这一点。其实这也并不是那么复杂,你、我、我们都有机会来进行防卫,或者说也会进行一些攻击,如果你的预算安全不好的话,就会受到攻击。其实我也想和大家分享一点,现实的风险方法,并不仅仅是威胁或者说你的房间、在银行里的一个问题,比如说业务的发展合规,技术的发展以及威胁,这些都纠结在一起,我们怎么样有一个好的框架,其实预防非常重要,我们要了解可能存在的这些风险,并且进行管理、进行预防,探测或者是了解有什么样的风险,这也是非常重要的,我们遭受风险之后能够重建我们的公司。
在风险方面,我们不要采取一种追溯的方法,对网络安全来说,所有的这些事情好像在汽车前面一样,比如说,索尼这些公司来说,我们要根据过去发生的一些事故来吸取教训。所以我们要考虑到这个风险是在正前方的,而不是采取一种追溯的方法。安全和敏捷性也是息息相关的,我们要了解到我们采取什么样的保护方式,有什么样的法律法规来遵守,它像是一个循环一样,因为有很多的客户他们会接受我们的那些服务,涉及到很多钱的问题,其实我们要有一个线性的项目模式,我们要采取持续的、连续的、安全的措施,就好像是某个银行卡的安全性一样,如果有好的安全措施,我们就可以很好的保护我自己,同时必须要采取一些迭代的措施,其实这种安全问题并不仅仅是警察的问题,包括很多,包括风险的分析以及了解风险的影响,了解到风险哪些是可以接受的、哪些是不能接受的。
最后一点,我们要必须在整个供应链上到我们的价值链上渗透,包括上游和下游公司,我们要有一个正面的、安全的文化,今天基本上90%的网络攻击都是和觉察相关的。但是我们仅仅是在IT上面进行投资,我们没有在人的方面进行投资,我们有觉察、我们有规则,我们同时也要有行为,以及有一个框架,我们有一个流程来阻止事故的发生。感谢大家的聆听。我想和你们分享一些实用的想法,现在我们都是面临同样的威胁,而且我们要共享一些应对的方法,谢谢。
