《中国金融业数字风险报告（2021年度）》重磅发布

2021年，跌宕起伏的新冠疫情成了一把双刃剑，在严重影响着人们日常生活的同时，也加速了全球数字化经济进程的脚步，金融业机构越来越依赖社交和数字渠道来提高日常生产力、客户参与度和业务增长。由于这种依赖，组织需要保护这些渠道免受钓鱼仿冒、品牌侵权、数据泄露等风险。数字风险防护Digital Risk Protection的使命，即是保护现代企业免于遭受各种形式的数字威胁。

正确地应对数字化转型风险，可以让金融企业充分利用数字化转型技术，真正享受到数字化转型所带来的收益。越来越多的企业已经认识到保护其品牌、人员和数据的重要性。这将成为他们竞争优势的驱动因素。

然而，我们发现风险管理团队的能力已经难以跟上他们所要监管的数字化资产的增长，数字风险在覆盖范围和治理复杂度方面都超越了单个团队的能力，只有通过现代技术驱动的数字风险解决方案，才能帮助他们制定相应的应对策略。

数字风险态势呈现出速度、幅度变化的多样性，为了进一步帮助金融机构提高对其数字资产的保护意识，更好地抵御外部风险和威胁，天际友盟对金融业2021年全年度的数字风险进行了完整的梳理和分析，重磅推出了2021年度的《中国金融业数字风险报告》，希望对现代企业的数字风险应对有借鉴意义。

该报告分为金融行业的数字风险概述、2021年金融行业数字风险统计、典型案例、金融行业加强数字风险的措施、总结五大部分，以下为部分内容节选。

数字风险总量NO.1：侵权欺诈

侵权欺诈包含钓鱼欺诈与品牌侵权。钓鱼欺诈的数量仍然“独占鳌头”，远远领先于其他数字风险，这源于钓鱼欺诈可带来直接利益。在一定时期内，钓鱼欺诈仍将是数字风险的重点防范对象。品牌侵权相对较少，商标滥用而造成的连带影响为主，但风险影响而言，并不亚于钓鱼。

数字风险增长NO.1：数据泄露

作为信息安全CIA（机密性、完整性、可用性）的其中一个重点C（机密性），网络安全失守带来数据的“双杀”困境，一是被加密勒索、二是数据泄露带来的多种衍生风险。数据泄露无疑会成为数字风险的一个大比例组成，且保持快速增长。

域名服务商NO.1：GoDaddy

很多服务商为了谋求一己私利，一味地为攻击者提供网络庇护，从而间接成为了数字风险的帮凶，自身平台也演变成了数字风险的隐藏据点。按主流域名注册商排列的金融业数字风险分布，GoDaddy排名第一，占比16.7%。

网络服务商NO.1：Alibaba Cloud

按IP所属网络服务商来划分金融业数字风险，占比最大的为Alibaba Cloud，高达21.82%，为4300余起数字风险提供了网络服务。

网站风险国家NO.1：美国

在攻击中多次被复用的IP地址与网络域名均可体现犯罪团伙强烈的攻击意图与主观恶意。2021年按攻击者域名划分的金融业侵权欺诈网站数字风险，排名第一为美国，占比高达36.79%。

风险应用商店NO.1：历趣

第三方应用商店对上架的APP未能进行全面的安全审核，因此存在大量商标侵权、未授权上架、携带恶意软件或病毒等损害其他品牌及用户权益的现象。排名第一的应用商店为历趣，占比2.49%。

社交媒体风险平台NO.1：微博

金融业的社交媒体数字风险共涉及了19个平台，其中超过43.38%的风险集中于微博。

数据泄露平台NO.1：百度文库

各类文库平台是企业文件及数据大肆泄露传播的重灾区。上传者以付费浏览或下载的方式对组织机密文件进行不正当牟利。这不仅损害企业的声誉，同时对其技术成果、项目运营都将造成严重威胁。百度文库占比37.64%，位居榜首。

代码泄露平台NO.1：Github

随着互联网的迅速发展，各种技术研发手段逐渐成熟，越来越多的应用与系统给人们在生活和工作上带来了巨大便利。在享受科技红利的同时，品牌方的科研成果也可能会因为某些有意或无意的行为而面临潜在危机。很多用户上传了组织内部的研发代码，供网友传阅学习。这势必会增加企业安全防护的压力，也使企业用户的利益受到一定影响。代码泄露平台第一名为Github，占比高达73.55%。

数字风险的重点发展趋势有如下几点：

如同网络安全风险意识是网络安全的重要部分，数字风险意识决定了企业管理数字风险的态度，是数字风险防护的源头。金融业的市场、法务、风控、人力资源、财务、高管、技术团队等等，都可能是数字风险的潜在目标。因此培养内部人员的风险意识，是数字风险防护体系中不可缺少的一环。数字风险意识管理，可以从以下方面着手：1.落实管理机构在数字风险防护工作中，首要任务是成立专门的团队，团体成员应来自包括IT、法律、财务、业务在内的多个部门。团队应明确数字风险防护的策略、规范，落实相关责任，保证工作能够长期持续的得以执行。2.在线宣传教育利用企业网站、APP、公众号等途径，进行网络安全文化宣传及普法宣传。同时，通过课程学习、自测考试、游戏竞赛、主动推送等方式，对内部员工进行在线教育，提升员工的安全保密意识。

3.专业讲师培训

由专业的培训讲师，举办现场讲座，组织网络安全方面的知识学习，向内部员工讲解、展示、演示各种社工攻击或窃密手段，提升人员的网络安全意识。

根据IDRR框架，企业可以建立起完备的数字风险防护机制，包括：

1.识别数字资产

明确有价值的数字资产，对数字资产足迹及暴露面进行评估，并对可能的数字风险及损失进行分析，制定针对性的防护策略。企业的数字资产包括但不限于官方域名、移动APP、社交媒体账户、企业数据、版权文件、核心代码、搜索引擎排名。

2.实时监测风险

针对品牌或目标资产，在互联网上实现持续性监测，以识别网络安全事件和异常活动，评估事件风险程度，以确保监测范围的全面性、监测结果的快速性及精准度。

3.多种方式告警

对于已发现的风险事件，具有邮件、短信、微信、电话等多种告警方式，确保责任人第一时间知悉风险情况，以便及时执行响应机制，消除事件影响，防止事件影响的扩散。

4.快速关停处置

对已确认的数字资产面临的各类风险，无论风险事件发生在境内或境外，均可实现快速关停处置，缓解或消除事件影响。同时，具备充分的维/权依据、完整的授权链条，以确保处置操作本身的合法合规。

5.持续跟踪监控

欺诈或侵权团伙在遭到打击后，也会调整策略，做持续性对抗。对已处置的数字风险，可进行持续跟踪监控，如出现风险“复活”的情况，可以立即重启响应机制，确保风险的彻底消除。

6.深度风险分析

对于已监测的数据，可以进行数据汇总，并生成深度分析报告，吸取其中经验教训，将之纳入今后的改进恢复计划。主动发现、积极防御，将数字风险防护融入到日常工作流程中。

2021年是充满挑战的一年，虽然现在已经步入2022年，但这并不意味着犯罪分子会放慢诈骗活动的速度。而这些攻击也将永不停歇。网络钓鱼经济作为一个整体，逐年呈现指数级增加的趋势，因为其开发人员所用的 Web 技术和技能与企业保持敏捷和领先所用的技术和技能是相同的。网络时代下，越来越多的小型金融机构将会响应国家的号召完成数字化经济转型。他们也慢慢意识到数字风险防护的重要性，也越来越重视维护自身的数字资产及品牌形象，以及背后隐藏的价值。天际友盟希望通过本篇报告能够为金融机构的业务管理者提供了数字风险管理方法的思路和风险应对、决策所需要的态势数据，望对现代金融组织的数字风险防护有借鉴意义。以上为《中国金融业数字风险报告》部分节选内容，您可以访问天际友盟官网，获取更多信息。