FS-ISAC относит сторонний риск (TPR) к одному из трех основных рисков кибербезопасности на 2021 год. В нем утверждается, что «поставщики финансовых фирм будут по-прежнему оставаться прибыльными целями для злоумышленников», цитирует Дж. Р. Манеса, глобального руководителя отдела киберразведки. в HSBC:«Организации, надлежащим образом применяющие эшелонированную защиту с многоуровневым контролем, по-прежнему уязвимы для крупномасштабных и даже системных проблем со стороны сторонних поставщиков».

Одна из самых известных атак на цепочку поставок произошла в декабре 2020 года. Злоумышленники, связанные с Россией, скомпрометировали программное обеспечение для мониторинга SolarWinds, которое используется тысячами предприятий и государственных учреждений. Злоумышленники месяцами скрывались в системах компаний, похищая ценную для бизнеса интеллектуальную собственность.

Поставщики облачных услуг, поставщики управляемых услуг безопасности и другие третьи стороны, предоставляющие критически важные услуги для нескольких ценных клиентов, такие как интеграция API для инициатив Open Banking, будут оставаться прибыльными целями для злоумышленников. Это может быть кража данных, денег или доступ к системам.

Не все банки обрабатывают сами:многие аутсорсинговые услуги, такие как онлайн-банкинг, инвестиции, мобильные приложения и веб-сайты. Наконец, учитывая эволюцию глобальных правил конфиденциальности данных, которые в настоящее время распространяются на США в каждом штате, банкам необходимо быть еще более усердными со своими поставщиками, чем раньше.

Станьте киберустойчивыми
Операционная устойчивость имеет ключевое значение. Когда нарушения происходят (а не если), критически важным элементом является максимально быстрое эффективное реагирование. Планы аварийного восстановления после нарушения должны быть готовы и отрепетированы, чтобы ограничить ущерб. Однако вы также можете планировать заранее:

• Разработайте сценарии тестирования на проникновение, как внешние, так и внутренние, которые окажут серьезное влияние на бизнес.
• Правильно изучите основы, например убедитесь, что все системы исправлены на 100 %.
• Объедините свои инструменты безопасности. По оценкам Gartner, у банков первого уровня более 100 банков, а у банков второго уровня — 20–45, что слишком много.
• Сначала обеспечивайте работу отдельных линий защиты, затем управление рисками, а затем внутренний аудит. Эти три области являются отдельными ролями в банках первого уровня, но они, как правило, перекрываются в нижних уровнях.
• Чтобы избежать сложностей, поставщики должны объединить свои усилия в вопросах облачной безопасности, управления идентификаторами и доступом, аналитики безопасности и обнаружения угроз.
• Сосредоточьтесь на защите и переносимости данных:GDPR оказал значительное влияние на банки, и до сих пор существуют проблемы, связанные с конфиденциальностью и безопасностью (например, в таких областях, как управление согласием)
• Создайте периметр идентификации, обеспечивающий централизованный и эффективный контроль над обширными цифровыми средами.
• Обеспечить рентабельность инвестиций:ваш профиль риска должен снизиться после киберинвестиций.

Возможно, вы захотите провести специальную оценку безопасности облачных вычислений. Один кредитный союз США хотел применить ИИ и машинное обучение, чтобы активно предоставлять своим членам предложения для удовлетворения их финансовых потребностей. Мы создали набор масштабируемых, повторяемых процессов для поддержки безопасной облачной среды на основе Microsoft Azure для использования в последующих производственных средах. Это не только позволило обеспечить безопасность для клиента, но и укрепило его уверенность в том, что эта среда будет соответствовать или превосходить требования безопасности для их аудита в сфере финансовых услуг.

Начните здесь, чтобы получить полное представление о вашей системе кибербезопасности.