"Standard Chartered CEO on why cybersecurity has become a 'disproportionately huge topic' at board meetings"這篇,是由Adam Janofsky所撰寫、2024年4月29日在The Record刊出的。內容是對倫敦渣打銀行Bill Winters的訪談,因為該銀行過去十年很重視投資員工訓練、董事會討論。以反應此威脅的嚴重性。這一篇談的幅度頗廣,有俄羅斯的烏克蘭戰爭、北韓在對銀行網路攻擊和勒索的看法,還有談加密貨幣(比如對洗錢的影響)。內容相當多,在此僅介紹與企業文化、董事會等有關的部分。
Winters最近與Recorded Future News(RFN)談到了處理加密貨幣、人工智慧的方法,還有他如何對這個8.5萬員工的公司建立網路安全文化。
RFN:AI如何轉變公司處理網路安全的方法?
Bill Winters(BW):我們最早或許是從遵循面開始著手的,經由掃描處理數百萬筆的交易資料、總在尋找可能是非法資金流動的模式或資料點。我們銀行有很重大的義務要找出問題並進行報告。我們需要更適當地結構化。
或許過去十年在銀行做過最大的投資,就是投入整體金融犯罪遵循制度,因為這對銀行而言最為重要,如果出錯,就會被吊照。
我們興趣從使用第三方資料、或把資料傳輸到銀行外開始,這開啟了管道—讓我們的資料有重大保密問題,同時還有網路的問題。這件事不斷在變化,而非每件事都可控管的。我們從未發生過重大事故,因為都很小心謹慎。
當你進入某些生成式AI的領域,我們會非常擔心資料外洩到銀行外。渣打的電腦不用ChatGPT,我們會在沙盒上做,但我們放入非常重要的協議,以確保私人的銀行資料不會外洩,或存取了某些資料—這些都會造成我們違反義務。
RFN:你在影響組織網路安全文化方面,用過最好的方法是什麼?
BW:這是一個持續性的挑戰。銀行有某些真正優異的資安長,也有某些真正優異的外部顧問。或許最大的挑戰就是,如何讓整個企業瞭解:他們在網路防衛上要扮演什麼角色,因為很多人不是科技專家。
我一開始是與每個業務主管合作,協助他們瞭解、或說明我們一定要保護的關鍵資產為何。及早開始這個工作,可以看到某些業務主管多麼不瞭解他們自己的重中之重。一旦你找到、並搞清楚了重中之重,那就必須對此打造防禦機制。這裡面的每件事都要花錢、減少彈性,要是做錯了,就會影響到客戶經驗。真正解決問題並讓他們參與結構自己業務的網路風險,是一個持續的過程,我不認為我們會有完成的一天。我認為網路意識的文化在今日有大幅升高,而網路團隊、科技專家與企業領導人之間的互動,未來會更為緊密,這有大幅的進步。
RFN:董事會會多久討論網路安全一次?
BW:我可以說在董事會上這是非常重大的主題,其反應的不只是我們認真看待網路安全,也代表我們的監理機關認為網路安全十分嚴重。監理機關接觸公司的點通常就是董事會和管理階層。在香港、新加坡、美國...他們都想要董事會參與網路風險流程之監督。當然,他們想要知道管理階層如何對此負責,也想要知道網路團隊有獲得足夠的資源,而且夠專業,能夠有適當的工具執行他們的任務。在董事會上,這是非常、非常重要的主題。
RFN:當提到網路安全支出時,你認為渣打會提高還是減少投資?你認為他們會更關注的領域為何?
BW:過去十年間我們一直大幅增加網路安全方面的支出,這反應了此威脅的嚴重性。相當的投資是投入到基礎設施、基本補救措施上。而對持續變化的威脅也有一直投入預算。基礎設施和補救措施狀況都很不錯。
持續變化的威脅,變得更為複雜。因此我們把基礎設施投資轉往不斷變化的威脅。我認為AI一定會帶來新的威脅—很明顯地會提高攻擊者的複雜度,而且能夠摧毀防禦機制。財務模組化正在增加,而全球金融的分歧也在增加中。監理機關越來越希望把重大部分留在自己的國家裡。這代表複製基礎設施及跨境分享資料或資訊,許可的程度會更大。這些連結裡的每個部分,都會有漏洞...我們會大幅增加對第三方風險評估的關注。
銀行在這方面或許領先,但我們客戶未必。很多漏洞是經由第三方供應商入侵公司的,而非公司自己。我認為當供應團隊重新架構,而這將會是需關注的關鍵領域之一。
資料來源:https://therecord.media/standard-chartered-ceo-bill-winters-cybersecurity-culture-board-focus
沒有留言:
張貼留言