ארגוני שירותים פיננסיים הם כבר זמן רב יעד עבור גורמי איומים. בין אם מדובר בקבוצות עם מוטיבציה פיננסית שמחפשות מידע אישי ופיננסי של לקוחות למכירה ברשת האפלה, או שחקני מדינת לאום שמוכנים לשבש תשתית קריטית - האיומים עד עכשיו מתועדים היטב. אבל זה לא אומר שהם מנוהלים בהצלחה. לבנקים אולי יש יותר כסף מרובם להוציא על אבטחת סייבר, אבל הם גם יעד גדול יותר.
זו הסיבה שהתעשייה צריכה להקשיב לאזהרה שפרסמה לאחרונה קרן המטבע הבינלאומית (IMF) כי הסבירות למתקפה קטסטרופלית עם השלכות מערכתיות עלתה בשנים האחרונות. לטענתה, התעשייה הפסידה 12 מיליארד דולר מהתקפות סייבר במהלך 20 השנים האחרונות. למרבה המזל, יש הרבה שניתן לעשות כדי לשפר את האבטחה הבסיסית.
מה אמרה קרן המטבע הבינלאומית?
החשש הוא שהדברים נעשים מעורערים יותר, שכן השקעות דיגיטליות מרחיבות את פני התקפות הסייבר ושחקני איום בעלי משאבים טובים מנצלים את היתרונות. קרן המטבע מזהירה כי "ההפסדים הקיצוניים" במגזר השירותים הפיננסיים עלו יותר מפי 2017 מאז 2.5 ל-XNUMX מיליארד דולר. המתח הגיאופוליטי הגובר וההסתמכות הגוברת על ספקים של צד שלישי מגדילים את חשיפת הסיכון של ארגונים רבים, היא מוסיפה.
החשש הגדול ביותר של הקרן הוא שאירועי אבטחת סייבר גולשים ממוסד אחד כדי לאיים על המערכת הפיננסית העולמית כולה - שחיקת אמון הלקוחות ו/או שיבוש שירותים קריטיים. הפרות חמורות של אבטחת סייבר עלולות אפילו לגרום לריצות של הבנקים, מזהיר הדו"ח.
זה נמצא על הרדאר של הרגולטורים כבר זמן מה. זו הסיבה שהאיחוד האירופי יצר את חוק חוסן תפעולי דיגיטלי (DORA), המשפיעה על גופים וספקי ה-IT שלהם הפועלים באזור. למעשה, כמה מהצעדים המוצעים של קרן המטבע הבינלאומית לשיפור חוסן הסייבר במגזר חופפים לדרישות הרגולציה של האיחוד האירופי. הם:
- בוחן באופן קבוע את נוף אבטחת הסייבר ומזהה סיכונים מערכתיים אפשריים, כולל מספקי צד שלישי
- שפר את ממשל הסייבר, כולל גישה ברמת הדירקטוריון למומחיות באבטחת סייבר
- שפר את היגיינת הסייבר באמצעות שיטות עבודה מומלצות בתעשייה
- תעדוף דיווח נתונים ושיתוף מידע כדי לשפר את המוכנות הקולקטיבית
- לפתח ולבדוק תהליכי תגובה והתאוששות לאירועים
איאן הרגן, מייסד שותף של i-confidential, טוען שממשל הוא המפתח.
"ממשל אבטחה תקין עוזר לנווט את כיוון הארגון, מבטיח שהוא משיג את מטרותיו. היבט חשוב אחד של ממשל מתייחס לתגובה לאירועים. ארגוני שירותים פיננסיים מבינים שהם מטרה עבור יריבים, אז איך הם יכולים להגביל את הנזק שנגרם מהפרות מוצלחות?" הוא אומר ל-ISMS.online.
"ניתן להשיג זאת באמצעות תוכניות תגובה לאירועים שנבדקו היטב, המפרטות כיצד תרחישי סייבר שונים יכולים להשפיע על ארגון, ולאחר מכן מספקות הדרכה כיצד להתאושש מהאירוע. זה צריך לכלול התקפות הן על התשתית שלהם והן על הספקים".
שרשרת האספקה היא גורם סיכון קריטי
מומחים אחרים איתם שוחח ISMS.online מדגישים גם את פערי האבטחה הפוטנציאליים בשרשרת האספקה הבנקאית. עד כמה שתנוחת האבטחה של המוסד הפיננסי עצמו עשויה להיות טובה, הם עדיין עלולים להיפר באמצעות התקפה ממוקדת היטב על ספק, או אפילו דרך שרשרת אספקת התוכנה שלו. דוגמאות לא קשה למצוא. א נתוני פרה בבנק אוף אמריקה ספק השירות IMS בנובמבר 2023 הוביל לפשרה של מידע אישי על 57,000 לקוחות. וקמפיין MOVEit הידוע לשמצה לכד עשרות בנקים שהשתמשו בתוכנה הפופולרית להעברת קבצים, כולל בנק פלאגסטאר, שם נגנבו נתונים של למעלה מ-800,000 לקוחות.
דן פוטר, מנהל בכיר לחוסן תפעולי ב-Immersive Labs, טוען שכאשר מוסדות פיננסיים ניסו לענות על דרישות הלקוחות לחוויות יעילות יותר, הם יצרו מבלי משים נקודות חולשה. שיתוף פעולה הדוק יותר עם ספקים הוא יותר ויותר חשוב כדי לטפל באלה, הוא אומר.
"מהירות היא עכשיו הכל עבור הלקוחות, וארגונים פיננסיים צריכים כל הזמן לחדש וליצור חוויות דיגיטליות נטולות חיכוכים. במקביל, מוסדות פיננסיים גם צפויים לספק את הרמה הגבוהה ביותר של אבטחה והגנה על נתונים תוך עמידה בתקני רגולציה ותאימות גבוהים מתמיד", אומר פוטר ל-ISMS.online.
"אם ספק צד שלישי אחד, התומך במספר בנקים לספק שירותים קריטיים, נפגע ממתקפת סייבר, אז זה עלול לגרום לכאוס בשווקים הפיננסיים. לכן, שיתוף הפעולה המבוסס בתוך מגזר השירותים הפיננסיים צריך כעת להתרחב לשרשרת האספקה, ובפרט לחברות טכנולוגיה גדולות".
סילבן קורטס, סמנכ"ל האסטרטגיה של Hackuity, פסימי לגבי יכולתן של חברות שירותים פיננסיים לנהל ביעילות סיכונים שמחלחלים לשרשרת האספקה של התוכנה שלהן.
"דוגמה עדכנית מאוד, הדלת האחורית של xz Utils, מוכיחה שלשימוש בתוכנת קוד פתוח במערכת ייצור יכולים להיות יתרונות אבל גם סיכונים - תארו לעצמכם, דלת אחורית המוכנסת כמעט לכל מערכת לינוקס בעולם?" הוא אומר ל-ISMS.online.
"למרבה הצער, הערכה וכיסוי סיכונים של צד שלישי היא מורכבת ביותר, אם לא בלתי אפשרית במקרים מסוימים. במקרה של xz Utils, זה היה מחייב את כל ארגוני משתמשי לינוקס לסקור ולנתח את כל בסיס הקוד של לינוקס, וזה כמעט בלתי אפשרי."
יש תפקיד פוטנציאלי ל-IMF עצמה כאן לבלום את מאמצי הממשלה להניע שיתוף מידע ומחקר במרחב הזה, לטובת ארגוני שירותים פיננסיים גלובליים, הוא מוסיף.
שיטות עבודה מומלצות סוללות את הדרך ל-DORA
אחת ההמלצות המרכזיות של קרן המטבע הבינלאומית היא לשפר את היגיינת הסייבר באמצעות שיטות עבודה מומלצות. זה המקום שבו עמידה בסטנדרטים שנקבעו יכולה למלא תפקיד שימושי, טוען Harragan של i-confidential.
"תקני תעשייה, כגון ISO 27001 או NIST, מספקים מסגרת מהימנה לארגוני שירותים פיננסיים כדי לבסס את היסודות לאבטחת הסייבר שלהם, כמו הבקרות העיקריות שיש, ומסייעים להם לתעדף את הפעילות השוטפת שלהם", הוא מסביר.
"עם זאת, רוב ארגוני השירותים הפיננסיים ישתמשו במספר סטנדרטים, מאנכי ועד ספציפיים לסייבר, במקום להתמקד רק באחד. זה מאפשר להם להתאים כל מאמצים לנסיבות שלהם. נקיטת גישה מעורבת לשיטות עבודה מומלצות לאבטחת סייבר משפרת בסופו של דבר את החוסן הכללי שלהם".
הדיווח חשוב גם מכיוון שהוא מאפשר לארגוני שירותים פיננסיים להבטיח שהם מודדים אבטחה בצורה מדויקת, ויכולים להתאים את התוכניות שלהם לכיוון הסיכון הגדול ביותר, מוסיף הרגן. בחירת המדדים הנכונים הם המפתח כאן.
"המדדים מאפשרים לארגונים לדרג באופן שיטתי את מאמצי האבטחה שלהם כדי שיוכלו להבין היכן הם נמצאים כרגע מבחינת אפקטיביות, ולאחר מכן להגדיר יעדים לאן הם רוצים להיות בעתיד", ממשיך הרגן. "אבל כדי לספק תוכנית מדדים יעילה, ארגונים חייבים למדוד את מה שהם צריכים, לא רק את מה שהם יכולים."
מעל לכל, בנקים הפועלים באיחוד האירופי יצטרכו לסדר את תוכניות התאימות של DORA לפני המועד האחרון של ינואר 2025. דו"ח קרן המטבע הבינלאומית מקווה שלא יספר ל-CISO במגזר מה שהם לא יודעים כבר. אבל זה עשוי לעזור להם להעלות טענות חזקות בפני הדירקטוריון.
