研究 · INV-06

金融部门的网络弹性：仅22%的实体通过了勒索软件压力测试

Fernando Arrieta·2025年12月11日

弹性金融部门勒索软件压力测试

概述

关于本研究

在阿根廷、巴西和哥伦比亚对18家中型金融实体（金融科技公司、数字钱包、利基银行）进行的勒索软件攻击模拟（网络弹性压力测试）表明，仅22%的实体在4小时内恢复了关键服务且无交易数据丢失。其余78%至少在一个成功标准上失败：45%的不可变备份在模拟期间被破坏或无法访问；33%未能要在其业务影响分析（BIA）中定义的恢复时间目标（RTO）内恢复银行核心；50%缺乏有效的危机沟通程序，导致由于围堵前消息泄露。事后分析显示，依赖外部IT提供商进行事件响应是最关键的失败因素：使用内部团队管理响应的实体成功率为60%，而完全依赖第三方的实体成功率仅为10%。开发了针对区域金融部门的特定弹性压力测试框架。

关键发现

研究发现

以研究中可验证的数据回答的核心问题。

有多少实体通过压力测试？— 仅22%在4小时内恢复且无数据丢失。

最常见的失败是什么？— 围堵和沟通（50%）、备份被破坏（45%）、核心恢复未达RTO（33%）。

哪个因素对成功影响最大？— 内部响应能力。内部团队成功率60% vs. 外部依赖10%。

方法论

研究方法

研究过程中执行的步骤、咨询的来源和收集的证据。

规范和理论框架: DORA（数字运营弹性法案 - 原则）；ISO 22301:2019（业务连续性）；NIST SP 800-160 Vol 2（网络弹性系统）；地方法规（BCRA A7724, CMF 454, SFC 007）。

01在18家金融实体进行勒索软件攻击模拟（桌面推演 + 技术模拟）

02压力下的不可变备份恢复测试（限时）

03危机决策和沟通过程评估

04实际恢复时间测量（实际RTO vs. 理论RTO）

可交付成果

可用的交付成果

包含本研究完整结果的文档，可适用于每个组织的具体情况。

拉美金融弹性报告 — 18次压力测试结果

金融部门网络弹性压力测试框架

下载审计材料

申请获取研究 [INV-06] 的完整方法论包。仅供机构使用。

Tratamiento de datos confidencial según ISO/IEC 27001

补充研究

扩展或对比本研究发现的相关研究。

工业网络安全（OT）：82%的关键网络缺乏有效分段INV-04 拉美地区的影子AI：73%的认证组织在无监管情况下运行AIINV-01 金融网络安全系统业务连续性系统 AI 审计系统 AI 治理系统信息安全系统

传播

分享研究

帮助传播可验证的治理证据。

分享到 LinkedIn 分享到 X 通过邮件分享

这项研究适用于您的组织吗？

如果咨询具有机构性质并有相关背景，我们可以指导后续步骤。

开始对话查看所有研究

Cargando

Preparando la información solicitada…