Hoe finansiëledienste-ondernemings op 'n IMF-kuberbedreigingwaarskuwing moet reageer
INHOUDSOPGAWE:
Finansiëledienste-organisasies is lank reeds 'n teiken vir bedreigingsakteurs. Of dit nou finansieel gemotiveerde groepe is wat kliënte se persoonlike en finansiële inligting soek om op die donker web te verkoop, of nasiestaat-akteurs wat daarop uit is om kritieke infrastruktuur te ontwrig – die bedreigings is nou goed gedokumenteer. Maar dit beteken nie dat hulle suksesvol bestuur word nie. Banke het dalk meer geld as die meeste om aan kuberveiligheid te bestee, maar hulle is ook 'n groter teiken.
Daarom moet die bedryf ag slaan op 'n onlangse waarskuwing van die Internasionale Monetêre Fonds (IMF) dat die waarskynlikheid van 'n katastrofiese aanval met sistemiese gevolge die afgelope paar jaar gestyg het. Dit beweer die bedryf het die afgelope 12 jaar $20 miljard weens kuberaanvalle verloor. Gelukkig is daar baie wat gedoen kan word om basislynsekuriteit te verbeter.
Wat het die IMF gesê?
Die bekommernis is dat dinge meer onseker word, aangesien digitale beleggings die kuberaanvaloppervlak uitbrei en bedreigingsakteurs met goeie hulpbronne voordeel trek. Die IMF waarsku dat “uiterste verliese” in die finansiëledienstesektor sedert 2017 meer as viervoudig tot $2.5 miljard gestyg het. Toenemende geopolitieke spanning en 'n groeiende afhanklikheid van derdepartyverskaffers verhoog die risikoblootstelling van baie organisasies, voeg dit by.
Die fonds se grootste bekommernis is dat kuberveiligheidsvoorvalle van 'n enkele instelling oorspoel om die hele wêreldwye finansiële stelsel te bedreig – kliëntevertroue erodeer en/of kritieke dienste ontwrig. Ernstige kuberveiligheidsoortredings kan selfs banklopies veroorsaak, waarsku die verslag.
Dit is al 'n geruime tyd op die radar van reguleerders. Dit is hoekom die EU die Wet op Digitale Operasionele Veerkragtigheid (DORA), wat 'n impak het op entiteite en hul IT-verskaffers wat in die streek werksaam is. Trouens, verskeie van die IMF se voorgestelde stappe om kuberveerkragtigheid in die sektor te verbeter oorvleuel met die vereistes van die EU-regulasie. Hulle is:
- Evalueer gereeld die kuberveiligheidslandskap en identifiseer moontlike sistemiese risiko's, insluitend van derdepartyverskaffers
- Verbeter kuberbestuur, insluitend direksievlaktoegang tot kuberveiligheidskundigheid
- Verbeter kuberhigiëne deur die beste praktyke in die bedryf
- Prioritiseer dataverslagdoening en inligtingsdeling om kollektiewe paraatheid te verbeter
- Ontwikkel en toets insidentreaksie en herstelprosesse
Ian Harragan, medestigter van i-confidential, voer aan dat bestuur die sleutel is.
“Goeie sekuriteitsbestuur help om 'n organisasie se rigting te stuur, om te verseker dat dit sy doelwitte bereik. Een belangrike aspek van bestuur hou verband met insidentreaksie. Finansiële dienste organisasies verstaan dat hulle 'n teiken vir teëstanders is, so hoe kan hulle die skade wat deur suksesvolle oortredings veroorsaak word, beperk?" vertel hy aan ISMS.online.
“Dit kan bereik word deur goed getoetste voorvalreaksieplanne, wat uiteensit hoe verskillende kuberscenario's 'n organisasie kan beïnvloed, en dan leiding gee oor hoe om van die voorval te herstel. Dit moet aanvalle sowel op hul eie infrastruktuur as verskaffers insluit.”
Die voorsieningsketting IS 'n kritieke risikofaktor
Ander kenners waarmee ISMS.online gepraat het, beklemtoon ook die potensiële sekuriteitsgapings in bankverskaffingskettings. So goed as wat 'n finansiële instelling se eie sekuriteitsposisie ook al mag wees, kan hulle steeds deur 'n goed-geteikende aanval op 'n verskaffer, of selfs via hul sagteware-verskaffingsketting, oortree word. Voorbeelde is nie moeilik om te vind nie. A databreuk by Bank of America diensverskaffer IMS in November 2023 het gelei tot die kompromie van persoonlike inligting oor 57,000 XNUMX kliënte. En die berugte MOVEit-veldtog het dosyne banke vasgetrek wat die gewilde lêeroordragsagteware gebruik het, insluitend Flagstar Bank, waar meer as 800,000 XNUMX kliënte data gesteel het.
Dan Potter, senior direkteur vir operasionele veerkragtigheid by Immersive Labs, voer aan dat namate finansiële instellings probeer het om aan kliënte se eise vir meer vaartbelynde ervarings te voldoen, hulle onbewustelik punte van swakheid geskep het. Nouer samewerking met verskaffers is al hoe belangriker om dit aan te spreek, sê hy.
“Spoed is nou alles vir kliënte, en finansiële organisasies moet voortdurend innoveer en wrywingvrye, digitale ervarings skep. Terselfdertyd word daar ook van finansiële instellings verwag om die hoogste vlak van sekuriteit en databeskerming te lewer, terwyl hulle aan steeds hoër regulatoriese en voldoeningstandaarde voldoen,” sê Potter aan ISMS.online.
“As ’n enkele derdepartyverskaffer, wat verskeie banke ondersteun om kritieke dienste te lewer, deur ’n kuberaanval getref word, kan dit chaos oor finansiële markte heen veroorsaak. Daarom moet die goed gevestigde samewerking binne die finansiëledienstesektor nou uitbrei na die voorsieningsketting, en veral groot tegnologiefirmas.”
Sylvain Cortes, VP-strategie by Hackuity, is pessimisties oor die vermoë van finansiëledienstemaatskappye om risiko's wat hul sagteware-verskaffingskettings deurdring, effektief te bestuur.
"'n Baie onlangse voorbeeld, die xz Utils-agterdeur, demonstreer dat die gebruik van oopbronsagteware in 'n produksiestelsel voordele, maar ook risiko's kan inhou - stel jou voor, 'n agterdeur wat in byna elke Linux-stelsel wêreldwyd bekendgestel word?" vertel hy aan ISMS.online.
“Ongelukkig is die assessering en dekking van derdeparty-risiko’s uiters kompleks, indien nie onmoontlik in sommige gevalle nie. In die geval van xz Utils sou dit van alle Linux-gebruikersorganisasies vereis het om die hele Linux-kodebasis te hersien en te ontleed, wat feitlik onuitvoerbaar is.”
Daar is 'n potensiële rol vir die IMF self hier om regeringspogings te bekamp om die deel van inligting en navorsing in hierdie ruimte te bevorder, tot voordeel van globale finansiëledienste-organisasies, voeg hy by.
Beste praktyke baan die pad na DORA
Een van die IMF se belangrikste aanbevelings is om kuberhigiëne te verbeter deur beste praktyke. Dit is waar voldoening aan gevestigde standaarde 'n nuttige rol kan speel, voer i-confidential se Harragan aan.
"Bedryfstandaarde, soos 'n ISO 27001 of NIST, bied 'n betroubare raamwerk vir finansiëledienste-organisasies om hul kuberveiligheidsgrondslae te vestig, soos die sleutelkontroles wat in plek moet wees, en help hulle om hul deurlopende aktiwiteite te prioritiseer," verduidelik hy.
“Die meeste finansiëledienste-organisasies sal egter veelvuldige standaarde gebruik, van vertikaal tot kuberspesifiek, eerder as om net op een te fokus. Dit stel hulle in staat om enige pogings aan te pas by hul eie omstandighede. Deur ’n gemengde benadering tot beste praktyke vir kuberveiligheid te volg, verbeter uiteindelik hul algehele veerkragtigheid.”
Verslagdoening is ook belangrik aangesien dit finansiëledienste-organisasies in staat stel om te verseker dat hulle sekuriteit akkuraat meet, en hul programme vir die grootste risiko kan aanpas, voeg Harragan by. Die keuse van die regte maatstawwe is hier die sleutel.
"Metrieke stel organisasies in staat om stelselmatig hul sekuriteitspogings te beoordeel sodat hulle kan verstaan waar hulle tans is in terme van doeltreffendheid, en dan doelwitte stel vir waar hulle in die toekoms wil wees," gaan Harragan voort. "Maar om 'n effektiewe metrieke program te lewer, moet organisasies meet wat hulle moet, nie net wat hulle kan nie."
Bowenal sal banke wat in die EU werksaam is, hul DORA-voldoeningsprogramme voor die Januarie 2025-sperdatum in orde moet kry. Die IMF-verslag sal hopelik nie vir CISO's in die sektor vertel wat hulle nie reeds weet nie. Maar dit kan hulle dalk help om 'n sterk saak aan die direksie te maak.
