Britiske finansielle servicevirksomheder fejler stadig det grundlæggende, advarer BoE

Storbritanniens finansielle servicesektor klarer sig langt bedre end forventet. London er en tæt andenplads efter New York som verdens førende finansielle knudepunkt, og landet er det verdens største nettoeksportør af finansielle tjenesteydelser. Men denne succes gør det til et stort mål for cyberkriminelle og nationalstatslige aktører. Og på trods af at være en af ​​de mest regulerede sektorer, er cyberrobustheden ikke, hvor den burde være.

De fortsatte omkostninger for økonomien ved cyberangreb på sektoren og faren for en systemisk hændelse er grunden til, at Bank of England (BoE) fortsætter med at køre et pen-test-framework kendt som CBEST. Desværre er dens seneste rapport understreger, at der stadig er lang vej igen for branchen.

Hvad rapporten fandt

Formålet med CBEST er at simulere den slags angreb, som banker og andre virksomheder i den finansielle sektor ville opleve i praksis – fra sofistikerede kriminelle grupper, statslige aktører og ondsindede insidere. Disse bestræbelser fokuserer på kompromittering af tredjepartsleverandører, social engineering og insideraktivitet, fordi det er de områder, branchen har sværest ved at håndtere. Zero-day exploits, brugerdefineret malware, AI-drevet automatisering og præcis målretning bruges alle i disse red team-vurderinger – i angreb, der simulerer slutmål som cyberspionage, økonomisk gevinst og sabotage.

Så hvad fandt BoE ud af?

• Inkonsekvent konfigurerede og utilstrækkeligt hærdede/patchede systemer
• Manglende kryptering af data i hvile, inklusive privilegerede legitimationsoplysninger
• Svage identitets- og adgangsstyringskontroller (herunder svage adgangskoder og/eller usikker adgangskodeopbevaring)
• Alt for permissive adgangskontroller
• Undermålsdetektion og -respons (f.eks. "dårligt afstemt" EDR)
• Ineffektiv trafikovervågning/inspektion (gør det muligt for angribere at gemme sig i legitim trafik)
• Ineffektiv netværkssegmentering (f.eks. mellem udviklings- og produktionsmiljøer), der forstærker den potentielle effekt af angreb
• Personale, der er udsatte for direkte og indirekte social engineering
• Personale opbevarer rutinemæssigt legitimationsoplysninger i ubeskyttede miljøer (f.eks. åbne fildelinger)
• Usikre helpdesk-protokoller, der gør det muligt for hackere at forstærke social engineering-indsatsen

Rapporten bemærkede også, at organisationernes trusselsinformation manglede i "strategisk planlægning, definition af krav, etablering af styringsrammer og kortlægning af langsigtede kapaciteter." Det har ført til en mangel på sammenhæng mellem den information, som finansielle servicevirksomheder indsamler, og deres faktiske forretningsmæssige/operationelle behov. Det betyder udfordringer med at skalere og/eller udvikle disse programmer, hævdede Bank of England.

Hvorfor det drejer sig om

De taktikker, teknikker og procedurer (TTP'er), som CBEST's pentestere anvender, blev valgt af en grund. De afspejler den type trusler, som finansielle institutioner står over for dagligt eller ugentligt. I et afsnit i rapporten advarede National Cyber ​​Security Centre (NCSC) om, at Scattered Spider-kollektivet er velkendt for social engineering af IT-helpdeskpersonale til f.eks. at nulstille adgangskoder og MFA-tokens. Det menes, at de gjorde dette under ransomware-angrebene fra M&S og Co-op-gruppen.

Separat nævnte den den kinesiske APT-gruppe Volt Typhoon, som kompromitterede store dele af USA kritisk national infrastruktur netværk med skjulte angreb. Bedre netværksovervågning og segmentering ville have bidraget til at belyse disse bestræbelser og begrænse angrebenes radius, hævdede NCSC.

Finansielle servicevirksomheder bør ikke kun se CBEST som et vigtigt fundament for at opbygge modstandsdygtighed over for angreb i den virkelige verden. Mange vil også skulle forbedre deres sikkerhedssituation i lyset af EU's Lov om digital operationel modstandskraft (DORA), som pålægger strenge nye krav på tværs af bankernes forsyningskæde. Forsyningskæder er en særlig risiko. 2025-rapport påberåbt at 58 % af store finansielle servicevirksomheder blev udsat for mindst ét ​​tredjepartsangreb året før, hvor en femtedel (23 %) blev målrettet tre eller flere gange.

Hvad sker der nu?

I forordet til rapporten opfordrede Bank of England og tilsynsmyndighederne FCA og Prudential Regulation Authority (PRA) organisationer i sektoren til at adressere "de underliggende årsager" til risiko i stedet for at anvende midlertidige programrettelser. Det betyder at anvende en teknisk og kulturel tilgang, der dækker forebyggelse, detektion og reaktion.

Specifikt ønsker BoE/FCA/PRA at se organisationer i sektoren:

• Patching og konfiguration af kritiske applikationer og operativsystemer
• Styrkelse af legitimationsoplysninger, håndhævelse af stærke adgangskoder, brug af MFA og segmentering af netværk
• Sikring af tidlig opdagelse og effektiv overvågning for at reducere virkningen af ​​angreb
• Implementering af risikobaserede afhjælpningsplaner i samarbejde med risikostyringsmedarbejdere og interne revisorer

Derudover ønsker NCSC at se forbedringer i personaleuddannelsen, især i lyset af AI-genereret phishing, for at bidrage til at opbygge en positiv sikkerhedskultur. De ønsker også strengere administration af privilegerede konti (PAM) i overensstemmelse med bedste praksis. Og tættere tilsyn med aktiver, især ældre IT-systemer, delvist for at hjælpe med rejsen mod post-kvantekryptografi (PQC).

Netværkssegmentering, enhedshærdning og kontinuerlig overvågning bør alle implementeres som en del af en zero-trust-tilgang til sikkerhed, sagde den. Og omfattende logging og hændelsesresponsprocesser kan forbedre robustheden af ​​overvågnings- og detektionskapaciteter. Trusselsjagt giver vigtig ekstra indsigt til at afdække mere sofistikeret ondsindet aktivitet, konkluderede NCSC.

Kom godt i gang

Så hvor begynder finansielle servicevirksomheder? Carl Hunt, direktør for Beyond Blue, argumenterer for, at detektion er et godt sted at starte.

"Dette omfatter forbedring af endpoint-detektion og -respons, men også korrelering af hændelser på tværs af organisationens sandsynlige angrebsstier for at detektere unormal adfærd," fortæller han IO (tidligere ISMS.online). "For at udføre dette kræves en god forståelse af kritiske aktiver, angrebsstier og effektiv justering af detektionsregler."

Det menneskelige aspekt af indsatsen er en anden kritisk indsats, som sikkerhedsteams ofte overser.

"CISO'er skal have beføjelser til at isolere et angreb rettidigt, hvilket kræver, at forretningskonteksten træffer de nødvendige beslutninger. Dette er en særlig udfordring, hvor sikkerhedsoperationer outsources," fortsætter Hunt. "Man skal huske på, at angriberne i et virkeligt angreb bevæger sig hurtigt for at nå deres mål i stedet for på en mere kontrolleret måde, som det er tilfældet med en simuleret øvelse som CBEST. En hurtig reaktion er afgørende for at begrænse virkningen."

Han peger på netværkssegmentering som lige så kritisk for at inddæmme angrebenes radius. "Dette understøtter også genopretningsstrategier gennem kortlægning af IT og netværk til essentielle forretningsfunktioner, effektiv inddæmning og derefter den endelige udryddelse af et angreb," siger Hunt.

Den gode nyhed er, at standarder som ISO 27001 kan hjælpe organisationer med at lægge grundlaget for at accelerere disse bedste praksisser. Og levere den risikobaserede tilgang til cybersikkerhed, som tilsynsmyndighederne i stigende grad forventer, baseret på en kultur med løbende forbedringer.