金融服務是世界上監管最嚴格的行業之一。這些組織必須遵守無數的法規，包括 SOX、GDPR 和 PCI DSS，法規中對違規和資料外洩的行為都設立了高額罰款。其中許多組織還需要制定業務連續性和災難復原計畫，以盡最大能力減少網路攻擊造成的資料外洩，或是營運中斷造成的任何損害。

Sophos 資深安全顧問 John Shier 表示：「嚴格的金融服務業指導方針鼓勵企業採取強而有力的防禦措施。不幸的是，這也代表一旦勒索軟體攻擊得手，受害的組織得要付出高昂的代價。再加上監管罰款、重建 IT 系統和穩定品牌聲譽的代價，尤其是在有客戶資料外洩的情況下，就不難了解為什麼調查發現亞太地區和日本的中型金融服務組織在 2020 年遭受勒索軟體攻擊的復原成本超過 262 萬美元。

「另外兩個稍微令人擔憂的重點是，全球有 8% 的金融服務機構遇過所謂的「敲詐勒索」攻擊，亦即資料沒被加密而是被盜，攻擊者威脅要在網路公佈受害者的資料，除非他們支付贖金。備份無法防範這種風險，因此金融服務組織不應利用備份作為反敲詐勒索的防禦措施。此外，在全球接受調查的金融組織中，有 11% 的受訪者認為自己不會受到攻擊，因為他們「不會成為目標」。這個看法很危險，因為任何人都可能成為目標。最好的方法是假設您會變成目標並對應地建立防禦措施。」

在認為自己將來會受到攻擊的亞太地區和日本金融服務組織中，54% 表示今日的攻擊過於複雜，他們越來越難加以阻止。35% 的人認為他們會成為目標，因為同業已經是勒索軟體的目標。51% 的人認為，勒索軟體到處肆虐，他們遲早會被網路犯罪攻擊。

Shier 說：「金融業如果無法制定深入的防禦計畫來保護、偵測和阻止網路攻擊，那麼面臨的風險太大了。「雖然他們應該繼續投入備份和災難復原工作以大幅減少受到攻擊的影響，但還應該尋找結合技術和人為引導的威脅捕獵來消除當今先進的人為引導網路攻擊，以提升他們的反勒索軟體防禦能力。」

Sophos.com 上提供了完整的《2021 年金融服務業勒索軟體現況》報告。

《2021 年金融服務業勒索軟體現況》是一份針對 5,400 名 IT 決策者進行的調查，其中包括 550 名金融服務業的 IT 管理者，這些決策者分佈於歐洲、美洲、亞太地區和中亞、中東和非洲等 30 個國家/地區。

- 新聞稿有效日期，至2021/10/16為止

上一篇：紅帽加入 OS-Climate 開源專案 助金融業迎戰氣候變遷
下一篇：Zoom 推出 Zoom Phone 端到端加密、自帶金鑰與身分驗證