Hvordan finansielle servicevirksomheder bør reagere på en IMF-advarsel om cybertrussel
Indholdsfortegnelse:
Finansielle serviceorganisationer har længe været et mål for trusselsaktører. Uanset om de er økonomisk motiverede grupper, der leder efter kunders personlige og økonomiske oplysninger til at sælge på det mørke web, eller nationalstatsaktører, der er opsat på at forstyrre kritisk infrastruktur - truslerne er efterhånden veldokumenterede. Men det betyder ikke, at de bliver administreret med succes. Banker har måske flere penge end de fleste at bruge på cybersikkerhed, men de er også et større mål.
Det er derfor, industrien bør lytte til en nylig advarsel fra Internationale Valutafond (IMF), at sandsynligheden for et katastrofalt angreb med systemiske konsekvenser er steget i de senere år. Det hævder, at industrien har mistet 12 milliarder dollars på grund af cyberangreb i løbet af de sidste 20 år. Heldigvis er der meget, der kan gøres for at forbedre basissikkerheden.
Hvad sagde IMF?
Bekymringen er, at tingene bliver mere prekære, efterhånden som digitale investeringer udvider cyberangrebsoverfladen og ressourcestærke trusselsaktører drager fordel. IMF advarer om, at "ekstremt tab" i finanssektoren er steget mere end fire gange siden 2017 til $2.5 mia. Stigende geopolitiske spændinger og en voksende afhængighed af tredjepartsleverandører øger risikoeksponeringen for mange organisationer, tilføjer den.
Fondens største bekymring er, at cybersikkerhedshændelser smitter af fra en enkelt institution og truer hele det globale finansielle system – udhuler kundernes tillid og/eller forstyrrer kritiske tjenester. Alvorlige cybersikkerhedsbrud kan endda fremskynde bankkørsler, advarer rapporten.
Dette har været på regulatorernes radar i nogen tid. Det er derfor, EU skabte Lov om digital operationel modstandskraft (DORA), som påvirker enheder og deres it-leverandører, der opererer i regionen. Faktisk overlapper flere af IMF's foreslåede skridt til at forbedre cyberresiliensen i sektoren med kravene i EU-forordningen. De er:
- Vurderer regelmæssigt cybersikkerhedslandskabet og identificerer mulige systemiske risici, herunder fra tredjepartsleverandører
- Forbedre cyber-governance, herunder adgang på bestyrelsesniveau til cybersikkerhedsekspertise
- Forbedre cyberhygiejne gennem industriens bedste praksis
- Prioriter datarapportering og informationsdeling for at forbedre det kollektive beredskab
- Udvikle og teste hændelsesrespons og gendannelsesprocesser
Ian Harragan, medstifter af i-confidential, hævder, at styring er nøglen.
"God sikkerhedsstyring hjælper med at styre en organisations retning og sikre, at den når sine mål. Et vigtigt aspekt af styring vedrører hændelsesrespons. Finansielle serviceorganisationer forstår, at de er et mål for modstandere, så hvordan kan de begrænse skaden forårsaget af vellykkede brud?" fortæller han til ISMS.online.
"Dette kan opnås gennem velafprøvede hændelsesresponsplaner, som beskriver, hvordan forskellige cyberscenarier kan påvirke en organisation, og derefter giver vejledning i, hvordan man kommer sig over hændelsen. Dette bør omfatte angreb både på deres egen infrastruktur og leverandører."
Forsyningskæden ER en kritisk risikofaktor
Andre eksperter, ISMS.online talte med, fremhæver også de potentielle sikkerhedshuller i bankforsyningskæder. Så god som en finansiel institutions egen sikkerhedsposition kan være, kan de stadig blive brudt via et målrettet angreb på en leverandør eller endda via deres softwareforsyningskæde. Eksempler er ikke svære at finde. EN bruddet hos Bank of America-tjenesteudbyderen IMS i november 2023 førte til kompromittering af personlige oplysninger om 57,000 kunder. Og den berygtede MOVEit-kampagne fangede snesevis af banker, der brugte den populære filoverførselssoftware, bl.a Flagstar Bank, hvor over 800,000 kunder fik stjålet data.
Dan Potter, seniordirektør for operationel robusthed hos Immersive Labs, hævder, at efterhånden som finansielle institutioner har forsøgt at imødekomme kundernes krav om mere strømlinede oplevelser, har de ubevidst skabt svagheder. Et tættere samarbejde med leverandører bliver stadig vigtigere for at løse disse, siger han.
”Hastighed er nu alt for kunderne, og finansielle organisationer skal konstant innovere og skabe friktionsfri, digitale oplevelser. Samtidig forventes finansielle institutioner også at levere det højeste niveau af sikkerhed og databeskyttelse, samtidig med at de opfylder stadig højere regulatoriske og overholdelsesstandarder,” siger Potter til ISMS.online.
"Hvis en enkelt tredjepartsleverandør, som understøtter flere banker med at levere kritiske tjenester, bliver ramt af et cyberangreb, så kan det forårsage kaos på tværs af finansielle markeder. Derfor skal det veletablerede samarbejde inden for finanssektoren nu udvides til forsyningskæden og i særdeleshed store tech-virksomheder.”
Sylvain Cortes, VP-strategi hos Hackuity, er pessimistisk med hensyn til finansielle servicevirksomheders evne til effektivt at styre risiko, der gennemsyrer deres softwareforsyningskæder.
"Et meget nyligt eksempel, xz Utils-bagdøren, viser, at brug af open source-software i et produktionssystem kan have fordele, men også risici - forestil dig, en bagdør introduceret i næsten alle Linux-systemer i hele verden?" siger han til ISMS.online.
"Desværre er vurdering og dækning af tredjepartsrisici ekstremt kompleks, hvis ikke umulig i nogle tilfælde. I tilfældet med xz Utils ville dette have krævet, at alle Linux-brugerorganisationer skulle gennemgå og analysere hele Linux-kodebasen, hvilket er praktisk talt umuligt."
Der er en potentiel rolle for IMF selv her at dæmme op for regeringens indsats for at drive informationsdeling og forskning på dette område til gavn for globale finansielle serviceorganisationer, tilføjer han.
Bedste praksis baner vejen til DORA
En af IMF's vigtigste anbefalinger er at forbedre cyberhygiejnen gennem bedste praksis. Det er her, at overholdelse af etablerede standarder kan spille en nyttig rolle, argumenterer i-confidentials Harragan.
"Branchestandarder, såsom ISO 27001 eller NIST, giver en pålidelig ramme for finansielle serviceorganisationer til at etablere deres cybersikkerhedsfundamenter, såsom de vigtigste kontroller, der skal være på plads, og hjælper dem med at prioritere deres igangværende aktiviteter," forklarer han.
"De fleste finansielle serviceorganisationer vil dog bruge flere standarder, fra vertikale til cyberspecifikke, i stedet for blot at fokusere på én. Dette giver dem mulighed for at skræddersy enhver indsats til deres egne forhold. At anlægge en blandet tilgang til bedste praksis for cybersikkerhed forbedrer i sidste ende deres overordnede modstandsdygtighed."
Rapportering er også vigtigt, da det giver finansielle serviceorganisationer mulighed for at sikre, at de måler sikkerheden præcist og kan skræddersy deres programmer til den største risiko, tilføjer Harragan. At vælge de rigtige metrics er nøglen her.
"Metrics giver organisationer mulighed for systematisk at vurdere deres sikkerhedsindsats, så de kan forstå, hvor de er i øjeblikket med hensyn til effektivitet, og derefter sætte mål for, hvor de ønsker at være i fremtiden," fortsætter Harragan. "Men for at levere et effektivt målingsprogram skal organisationer måle, hvad de bør, ikke kun hvad de kan."
Frem for alt skal banker, der opererer i EU, få styr på deres DORA compliance-programmer inden deadline i januar 2025. IMF-rapporten vil forhåbentlig ikke fortælle CISO'er i sektoren, hvad de ikke allerede ved. Men det kan måske hjælpe dem med at gøre en stærk sag til bestyrelsen.
