Kuinka rahoituspalveluyritysten tulisi reagoida IMF:n kyberuhkavaroitukseen

Rahoituspalveluorganisaatiot ovat jo pitkään olleet uhkatoimijoiden kohteena. Olivatpa he taloudellisesti motivoituneita ryhmiä, jotka etsivät asiakkaiden henkilökohtaisia ​​ja taloudellisia tietoja myydäkseen pimeässä verkossa, tai kansallisvaltioiden toimijoita, jotka pyrkivät häiritsemään kriittistä infrastruktuuria – uhat on nyt hyvin dokumentoitu. Mutta se ei tarkoita, että niitä hallitaan onnistuneesti. Pankeilla voi olla enemmän rahaa kuin useimmat käyttävät kyberturvallisuuteen, mutta ne ovat myös suurempi kohde.

Siksi alan tulisi ottaa huomioon alan äskettäinen varoitus Kansainvälinen valuuttarahasto (IMF), että systeemisiä seurauksia aiheuttavan katastrofaalisen hyökkäyksen todennäköisyys on kasvanut viime vuosina. Se väittää, että teollisuus on menettänyt 12 miljardia dollaria kyberhyökkäyksistä viimeisen 20 vuoden aikana. Onneksi perusturvan parantamiseksi voidaan tehdä paljon.

Mitä IMF sanoi?

Huolenaiheena on, että asiat ovat muuttumassa epävarmemmaksi, kun digitaaliset investoinnit laajentavat kyberhyökkäysten pintaa ja hyvin resursoidut uhkatoimijat hyödyntävät sitä. IMF varoittaa, että rahoituspalvelusektorin "äärimmäiset tappiot" ovat yli nelinkertaistuneet vuodesta 2017 2.5 miljardiin dollariin. Kasvava geopoliittinen jännitys ja kasvava riippuvuus ulkopuolisista toimittajista lisää monien organisaatioiden riskialttiutta, se lisää.

Rahaston suurin huolenaihe on se, että kyberturvallisuushäiriöt leviävät yhdestä laitoksesta ja uhkaavat koko globaalia rahoitusjärjestelmää heikentäen asiakkaiden luottamusta ja/tai häiritsevät kriittisiä palveluita. Raportissa varoitetaan, että vakavat kyberturvaloukkaukset voivat jopa johtaa pankkien pakoon.

Tämä on ollut sääntelyviranomaisten tutkassa jo jonkin aikaa. Siksi EU loi Digital Operational Resilience Act (DORA), joka vaikuttaa alueella toimiviin kokonaisuuksiin ja niiden IT-toimittajiin. Itse asiassa useat IMF:n ehdottamat toimet kyberresilienssin parantamiseksi alalla ovat päällekkäisiä EU-asetuksen vaatimusten kanssa. He ovat:

• Arvioi säännöllisesti kyberturvallisuusympäristöä ja tunnistaa mahdolliset järjestelmäriskit, mukaan lukien kolmannen osapuolen toimittajilta
• Paranna kyberhallintaa, mukaan lukien johtotason pääsy kyberturvallisuusasiantuntemukseen
• Paranna kyberhygieniaa alan parhaiden käytäntöjen avulla
• Priorisoi tietojen raportointi ja tiedon jakaminen parantaaksesi kollektiivista valmiutta
• Kehitä ja testaa tapauksiin reagointi- ja palautusprosesseja

Ian Harragan, yksi i-confidentialin perustajista, väittää, että hallinto on avainasemassa.

”Hyvä turvallisuusjohtaminen auttaa ohjaamaan organisaation suuntaa ja varmistamaan, että se saavuttaa tavoitteensa. Yksi tärkeä hallinnon näkökohta liittyy tapauksiin reagoimiseen. Rahoituspalveluorganisaatiot ymmärtävät olevansa vihollisten kohde, joten kuinka ne voivat rajoittaa onnistuneiden rikkomusten aiheuttamia vahinkoja? hän kertoo ISMS.onlinelle.

”Tämä voidaan saavuttaa hyvin testatuilla häiriötilanteiden reagointisuunnitelmilla, joissa selvitetään, miten erilaiset kyberskenaariot voivat vaikuttaa organisaatioon, ja annetaan sitten ohjeita tapauksesta toipumiseen. Tämän pitäisi sisältää hyökkäykset sekä heidän omaan infrastruktuuriinsa että toimittajiin."

Toimitusketju ON kriittinen riskitekijä

Muut ISMS.onlinen puhuneet asiantuntijat korostivat myös mahdollisia tietoturva-aukkoja pankkien toimitusketjuissa. Niin hyvä kuin rahoituslaitoksen oma turvallisuusasento onkin, ne voivat silti joutua toimittajaan kohdistetulla hyökkäyksellä tai jopa ohjelmistojen toimitusketjun kautta. Esimerkkejä ei ole vaikea löytää. A tietoturvaloukkauksesta Bank of America -palveluntarjoaja IMS:ssä marraskuussa 2023 johti 57,000 XNUMX asiakkaan henkilötietojen vaarantumiseen. Ja surullisen kuuluisa MOVEit-kampanja sai ansaan kymmeniä pankkeja, jotka käyttivät suosittua tiedostonsiirtoohjelmistoa, mukaan lukien Lipputähtipankki, jossa yli 800,000 XNUMX asiakkaan tietoja varastettiin.

Dan Potter, Immersive Labsin toiminnan kestävyydestä vastaava johtaja, väittää, että kun rahoituslaitokset ovat yrittäneet vastata asiakkaiden vaatimuksiin virtaviivaisemmista kokemuksista, he ovat tietämättään luoneet heikkouksia. Tiiviimpi yhteistyö tavarantoimittajien kanssa on yhä tärkeämpää näiden ratkaisemiseksi, hän sanoo.

”Nopeus on nyt asiakkaille kaikki kaikessa, ja rahoitusorganisaatioiden on jatkuvasti innovoitava ja luotava kitkattomia digitaalisia kokemuksia. Samaan aikaan rahoituslaitosten odotetaan myös tarjoavan korkeimman tason tietoturvaa ja tietosuojaa samalla kun ne täyttävät yhä korkeammat sääntely- ja vaatimustenmukaisuusstandardit”, Potter kertoo ISMS.online-sivustolle.

"Jos yksittäinen kolmas osapuoli, joka tukee useita pankkeja kriittisten palvelujen toimittamisessa, joutuu kyberhyökkäyksen kohteeksi, se voi aiheuttaa kaaosta rahoitusmarkkinoilla. Siksi rahoituspalvelusektorin vakiintunut yhteistyö on nyt ulotettava toimitusketjuun ja erityisesti suuriin teknologiayrityksiin.

Hackuityn strategiajohtaja Sylvain Cortes on pessimistinen rahoituspalveluyritysten kyvystä hallita tehokkaasti ohjelmistojen toimitusketjuihinsa ulottuvia riskejä.

"Hyvin tuore esimerkki, xz Utils -takaovi, osoittaa, että avoimen lähdekoodin ohjelmistojen käytöllä tuotantojärjestelmässä voi olla etuja, mutta myös riskejä - kuvittele, että takaovi otetaan käyttöön melkein jokaisessa Linux-järjestelmässä maailmanlaajuisesti?" hän kertoo ISMS.onlinelle.

"Valitettavasti kolmansien osapuolien riskien arviointi ja kattaminen on erittäin monimutkaista, ellei jopa mahdotonta joissain tapauksissa. xz Utilsin tapauksessa tämä olisi vaatinut kaikkia Linux-käyttäjäorganisaatioita tarkistamaan ja analysoimaan koko Linux-koodikannan, mikä on käytännössä mahdotonta."

Hän lisää, että IMF:llä itsellään on potentiaalinen rooli ohjata hallituksen pyrkimyksiä edistää tiedon jakamista ja tutkimusta tällä alueella maailmanlaajuisten rahoituspalveluorganisaatioiden hyödyksi.

Parhaat käytännöt tasoittaa tietä DORAan

Yksi IMF:n keskeisistä suosituksista on kyberhygienian parantaminen parhaiden käytäntöjen avulla. Tässä vakiintuneiden standardien noudattaminen voi olla hyödyllistä, i-confidentialin Harragan väittää.

"Alan standardit, kuten ISO 27001 tai NIST, tarjoavat rahoituspalveluorganisaatioille luotettavan kehyksen kyberturvallisuuden perustan, kuten tärkeimpien valvontatoimien, luomiseen ja auttavat niitä priorisoimaan jatkuvaa toimintaansa", hän selittää.

”Useimmat finanssipalveluorganisaatiot käyttävät kuitenkin useita standardeja vertikaalisista kyberspesifisiin standardeihin sen sijaan, että keskittyisivät vain yhteen. Tämä antaa heille mahdollisuuden räätälöidä kaikki ponnistelut omiin olosuhteisiinsa. Sekalaisen lähestymistavan ottaminen kyberturvallisuuden parhaisiin käytäntöihin parantaa viime kädessä niiden yleistä joustavuutta."

Raportointi on myös tärkeää, koska sen avulla rahoituspalveluorganisaatiot voivat varmistaa, että ne mittaavat turvallisuutta tarkasti, ja voivat räätälöidä ohjelmansa suurimman riskin mukaan, Harragan lisää. Oikeiden mittareiden valitseminen on tässä avainasemassa.

"Metriisien avulla organisaatiot voivat järjestelmällisesti arvioida tietoturvatoimiaan, jotta ne voivat ymmärtää, missä ne ovat tällä hetkellä tehokkuuden suhteen, ja sitten asettaa tavoitteita sille, missä he haluavat olla tulevaisuudessa", Harragan jatkaa. "Mutta tuottaakseen tehokkaan mittausohjelman organisaatioiden on mitattava, mitä heidän pitäisi, ei vain sitä, mitä he voivat."

Ennen kaikkea EU:ssa toimivien pankkien on saatava DORA-vaatimustenmukaisuusohjelmansa kuntoon ennen tammikuun 2025 määräaikaa. IMF:n raportti ei toivottavasti kerro alan CISO:lle sitä, mitä he eivät jo tiedä. Mutta se saattaa auttaa heitä esittämään vahvan kannan hallitukselle.