ATM安全性从头开始

康明斯·艾里森ATM产品经理Mike Ruth

根据FICO的调查，从2014年到2015年，犯罪分子入侵的美国ATM机数量猛增了546％。共识是，这一激增是由于犯罪分子在美国EMV迁移达到临界规模并使得略读无益。

但是即使将EMV迁移视为已完成，ATM仍会保留现金，犯罪分子仍会尝试窃取现金。而且，在有足够的时间，工具和决心的情况下，他们最终将找出方法。

登上董事会

幸运的是，任何组织都可以从以下步骤开始改善其ATM安全状态：

• 从董事会和高层管理人员开始。考虑到ATM攻击的潜在影响范围，安全性必须是组织的企业风险管理策略的明确组成部分。和
• 确保高级管理人员拥有他们需要的信息和资源，以正确地了解组织的ATM安全需求的全部范围以及解决这些需求所需的资源。高管们并没有掌握所有技术细节，但是他们确实需要能够量化风险，以便投入足够的资金来使运营团队能够制定出涵盖所有威胁的有效安全策略。

联邦金融机构考试委员会还建议金融机构委员会：

• 在董事会会议上讨论自动柜员机的风险，以确保所有董事会成员都了解威胁，并始终保持对自动柜员机安全的关注；
• 在年度预算过程中考虑与安全相关的支出和工具；
• 完成正式的风险评估；和
• 定期（不少于年度）对员工进行有关ATM安全的培训。

实际上，有59％的金融服务业务是 投资于培训和教育 更好地防御不断发展的安全威胁的程序。这些组织认识到招募员工和客户对维护ATM安全性的重要性。

使员工成为您的第一道防线

员工，客户和“软” IP数据仍然保留 前三个目标 金融服务中的网络攻击。

网络小偷针对FI的员工和客户的一种方式是通过网络钓鱼-即发送不请自来的电子邮件，企图使收件人单击链接或采取措施，为攻击者提供将恶意软件注入组织系统的机会和网络。

网络钓鱼仍然是金融服务行业面临的最大安全挑战，所有网络钓鱼攻击中有31％针对金融机构。

幸运的是，知情且机敏的员工也可以成为抵御安全攻击的最佳防御方法。为此，组织必须：

• 向所有员工强调不要点击未知电子邮件或广告-即使是信誉良好的网站-并能够识别虚假电子邮件和广告的重要性;和
• 警告员工不要使用不安全的设备或将不受保护的个人设备（例如闪存驱动器）连接到公司系统。 

此外，金融机构应：

• 为所有员工建立正式的安全培训计划；
• 指导员工使用ATM时应检查是否存在物理异常；和
• 建立和传达有关不请自来的电子邮件的政策。

也吸引客户

如今，几乎每个人都知道安全性和数据保护，并且ATM骗局会定期记录在媒体中。

不过，重要的是不要让其他人来决定您的顾客收到的信息。与您的客户沟通，并让他们知道您正在不断努力以使您的ATM更加安全。一些金融机构使用ATM待机屏幕来传达防滑信息，并提醒用户检查ATM上是否有外部设备。

虽然您不想在ATM用户中引起不必要的恐惧或担忧，但您希望他们知道自己了解潜在的威胁并已采取必要的措施来确保ATM安全。

也不要等到您处于防御状态。让您的客户提前知道您在做什么，并寻求他们的支持。

计划突发事件

如果确实发生了ATM安全漏洞，则主动进行计划可以节省宝贵的响应时间，并可以更快地控制和解决事件。

要制定量身定制的ATM安全计划，组织必须：

• 了解其ATM的漏洞，以便确定应部署哪些功能来防止损坏，检测入侵并在发现潜在威胁时提供警报。例如，位于守卫大厅内的机器与没有视频监视的岛上机器相比，具有不同的风险特征；
• 确定哪些特定的绩效指标将使组织能够准确地评估安全计划的影响和有效性。通过确定指标，您可以策略性地定义安全措施并确定其优先级，从而使您可以减少关键漏洞并最大程度地减少破坏的影响；
• 做必要的研究，使您的计划对您的FI而言是唯一的。组织的结构，治理，文化和风险评估都可能对其ATM安全计划产生重大影响。查看可用的各种安全框架，并确定最适合您的组织的组件；和
• 包括您的ATM供应商。大多数（如果不是全部）ATM供应商都提供了可提供最佳实践方法的安全准则。真正的ATM安全性在于了解全局，威胁的广度和深度以及ATM基础结构的所有部分如何组合在一起。您的ATM供应商可以为该计划过程做出宝贵的贡献。

照片istock