Englannin keskuspankki varoittaa, että Ison-Britannian rahoituspalveluyritykset epäonnistuvat edelleen perusasioissa.

Ison-Britannian rahoituspalvelusektori ylittää selvästi oman painoarvonsa. Lontoo on lähellä New Yorkin sijaa maailman johtavana finanssikeskuksena, ja maa on maailman suurin rahoituspalvelujen nettoviejä. Mutta tämä menestys tekee siitä valtavan kohteen kyberrikollisille ja kansallisvaltioiden toimijoille. Ja vaikka se on yksi tiukimmin säännellyistä aloista, kyberturvallisuus ei ole vielä siellä missä sen pitäisi olla.

Kyberhyökkäysten jatkuvat kustannukset taloudelle sektorille ja systeemisen häiriön uhka ovat syy siihen, miksi Englannin keskuspankki (BoE) jatkaa CBEST-nimisen kynätestauskehyksen käyttöä. Valitettavasti sen viimeisin raportti korostaa, että alalla on vielä pitkä matka kuljettavanaan.

Mitä raportissa todettiin

CBEST-hankkeen tarkoituksena on simuloida hyökkäyksiä, joita pankit ja muut rahoitusalan yritykset kohtaisivat luonnossa – kehittyneiden rikollisryhmien, valtiollisten toimijoiden ja haitallisten sisäpiiriläisten käsissä. Nämä toimet keskittyvät kolmansien osapuolten toimittajien vaarantamiseen, sosiaaliseen manipulointiin ja sisäpiiritoimintaan, koska ne ovat alueita, joihin toimialan on vaikeinta puuttua. Näissä red team -arvioinneissa käytetään nollapäivähyökkäyksiä, räätälöityjä haittaohjelmia, tekoälypohjaista automaatiota ja tarkkaa kohdentamista – hyökkäyksissä, jotka simuloivat lopputavoitteita, kuten kybervakoilua, taloudellista hyötyä ja sabotaasia.

Mitä Englannin keskuspankki sitten löysi?

• Epäjohdonmukaisesti konfiguroidut ja riittämättömästi suojatut/paikatut järjestelmät
• Salauksen puute tallennetuille tiedoille, mukaan lukien etuoikeutetut tunnistetiedot
• Heikko identiteetin ja pääsynhallinnan hallinta (mukaan lukien heikot salasanat ja/tai suojaamaton salasanojen tallennus)
• Liian sallivat käyttöoikeusrajoitukset
• Huonolaatuisen signaalin tunnistus ja vaste (esim. "huonosti viritetty" EDR)
• Tehoton liikenteen valvonta/tarkastus (jolloin hyökkääjät voivat piiloutua lailliseen liikenteeseen)
• Tehoton verkon segmentointi (esim. kehitys- ja tuotantoympäristöjen välillä), mikä vahvistaa hyökkäysten mahdollista vaikutusta
• Henkilöstö, joka on altis suoralle ja epäsuoralle sosiaaliselle manipuloinnille
• Henkilökunta tallentaa tunnuksia rutiininomaisesti suojaamattomiin ympäristöihin (esim. avoimiin tiedostoihin)
• Turvattomat tukipalvelun protokollat, jotka mahdollistavat hakkereiden sosiaalisen manipuloinnin tehostamisen

Raportissa todettiin myös, että organisaatioiden uhkatiedustelussa oli puutteita "strategisessa suunnittelussa, vaatimusten määrittelyssä, hallintokehysten luomisessa ja pitkän aikavälin valmiuksien kartoittamisessa". Tämä on johtanut kuiluun rahoituspalveluyritysten keräämän tiedustelutiedon ja niiden todellisten liiketoiminta-/operatiivisten tarpeiden välillä. Englannin keskuspankin mukaan tämä tarkoittaa haasteita näiden ohjelmien skaalaamisessa ja/tai kehittämisessä.

Miksi se koskee

CBEST:n kynitestaajien käyttämät taktiikat, tekniikat ja menettelytavat (TTP) valittiin syystä. Ne heijastavat uhkia, joita rahoituslaitokset kohtaavat päivittäin tai viikoittain. Raportin eräässä osiossa National Cyber ​​Security Centre (NCSC) varoitti, että Scattered Spider -kollektiivi on tunnettu sosiaalisen manipuloinnin harjoittamisesta IT-tukipalveluissa esimerkiksi salasanojen ja MFA-tokenien palauttamiseksi. Sen uskotaan tehneen tämän aikana M&S:n ja Co-Op-ryhmän kiristysohjelmahyökkäykset.

Erikseen se mainitsi kiinalaisen APT-ryhmän Volt Typhoon, joka vaaransi laajoja osia Yhdysvalloista. kriittistä kansallista infrastruktuuria verkkoja, joissa on peiteltyjä hyökkäyksiä. NCSC:n mukaan parempi verkon valvonta ja segmentointi olisivat auttaneet tuomaan nämä pyrkimykset esiin ja rajoittamaan hyökkäysten sädettä.

Finanssipalveluyritysten ei tulisi pitää CBESTiä vain tärkeänä perustana reaalimaailman hyökkäysten sietokyvyn rakentamiselle. Monien on myös parannettava tietoturvatilannettaan EU:n Digital Operational Resilience Act (DORA), joka asettaa tiukkoja uusia vaatimuksia koko pankkitoimitusketjulle. Toimitusketjut ovat erityinen riski. Yksi Vuoden 2025 raportti väitettiin että 58 % suurista rahoituspalveluyrityksistä joutui ainakin yhden kolmannen osapuolen hyökkäyksen kohteeksi edellisenä vuonna, ja viidennes (23 %) joutui kolmen tai useamman kerran kohteeksi.

Mitä tapahtuu seuraavaksi?

Raportin esipuheessa Englannin keskuspankki sekä sääntelyviranomaiset FCA ja Prudential Regulation Authority (PRA) kehottivat alan organisaatioita puuttumaan riskien "taustalla oleviin syihin" väliaikaisten korjausten sijaan. Tämä tarkoittaa teknisen ja kulttuurisen lähestymistavan omaksumista, joka kattaa ennaltaehkäisyn, havaitsemisen ja reagoinnin.

Tarkemmin sanottuna Englannin keskuspankki/FCA/PRA haluavat nähdä alan organisaatioita:

• Kriittisten sovellusten ja käyttöjärjestelmien korjaaminen ja konfigurointi
• Tunnistetietojen hallinnan vahvistaminen, vahvojen salasanojen valvonta, monifaktorisen autentikoinnin (MFA) käyttö ja verkkojen segmentointi
• Hyökkäysten varhaisen havaitsemisen ja tehokkaan valvonnan varmistaminen niiden vaikutusten vähentämiseksi
• Riskiperusteisten korjaussuunnitelmien toteuttaminen yhteistyössä riskienhallinnan ja sisäisten tarkastajien kanssa

Tämän lisäksi NCSC haluaa nähdä parannuksia henkilöstön koulutukseen, erityisesti tekoälyn aiheuttaman tietojenkalastelun valossa, positiivisen turvallisuuskulttuurin rakentamiseksi. Se haluaa myös tiukemman etuoikeutettujen tilien hallinnan (PAM) parhaiden käytäntöjen mukaisesti. Ja tarkemman valvonnan resursseille, erityisesti vanhoille IT-järjestelmille, osittain auttaakseen siirtymisessä post-kvanttikryptografiaan (PQC).

Verkon segmentointi, laitteiden suojauksen vahvistaminen ja jatkuva valvonta tulisi kaikki ottaa käyttöön osana nollaluottamusperiaatteeseen perustuvaa tietoturvastrategiaa, NCSC totesi. Kattavat lokikirjaus- ja tapauksiin reagointiprosessit voivat parantaa valvonta- ja havaitsemisominaisuuksien sietokykyä. NCSC:n mukaan uhkien metsästys tarjoaa tärkeää lisätietoa kehittyneemmän haitallisen toiminnan paljastamiseksi.

Päästä alkuun

Mistä finanssipalveluyritykset sitten aloittavat? Beyond Bluen johtaja Carl Hunt väittää, että riskien havaitseminen on hyvä lähtökohta.

”Tämä sisältää päätepisteiden havaitsemisen ja niihin reagoinnin parantamisen, mutta myös tapahtumien korreloinnin organisaation todennäköisillä hyökkäysreiteillä poikkeavan käyttäytymisen havaitsemiseksi”, hän kertoo IO:lle (entinen ISMS.online). ”Tämän toteuttamiseksi tarvitaan hyvä ymmärrys kriittisistä resursseista, hyökkäysreiteistä ja havaitsemissääntöjen tehokkaasta hienosäädöstä.”

Vastauksen inhimillinen puoli on toinen kriittinen tehtävä, jonka turvallisuustiimit usein unohtavat.

”Tietoturvajohtajilla on oltava valtuudet eristää hyökkäys ajoissa, mikä edellyttää liiketoimintakontekstilta tarvittavien päätösten tekemistä. Tämä on erityinen haaste silloin, kun turvallisuustoiminnot on ulkoistettu”, Hunt jatkaa. ”On muistettava, että tosielämän hyökkäyksessä hyökkääjät toimivat tavoitteidensa saavuttamiseksi nopeasti sen sijaan, että he toimisivat hallitusti kuten simuloiduissa harjoituksissa, kuten CBEST:ssä. Nopea reagointi on elintärkeää vaikutusten rajoittamiseksi.”

Hän pitää verkon segmentointia yhtä kriittisenä hyökkäysten leviämisalueen rajoittamiseksi. ”Tämä tukee myös palautumisstrategioita yhdistämällä IT ja verkot olennaisiin liiketoimintatoimintoihin, jolloin hyökkäys voidaan tehokkaasti rajoittaa ja lopulta poistaa”, Hunt sanoo.

Hyvä uutinen on, että standardit, kuten ISO 27001, voivat auttaa organisaatioita luomaan perustan näiden parhaiden käytäntöjen nopeuttamiseksi. Ja tarjoamaan riskiperusteisen lähestymistavan kyberturvallisuuteen, jota sääntelyviranomaiset yhä useammin odottavat jatkuvan parantamisen kulttuurin pohjalta.