Cyberataki na rynek finansowy oraz jego podmioty są jednym z najważniejszych czynników, które budują napięcie we współczesnym świecie oraz na globalnych rynkach. Ze względu na skomplikowane relacje biznesowe oraz naszą zależność od banków, ubezpieczycieli, brokerów ubezpieczeniowych, a także instytucji kontroli i nadzoru finansowego, poziom stabilności całej ekonomii zależy w znacznym stopniu od tej branży. A także cyberbezpieczeństwa. Zapraszamy do dalszego czytania!
Podatności w sektorze finansowym
Obecnie ataki dotykają przede wszystkim ubezpieczycieli, instytucje weryfikujące płatności oraz producentów kart kredytowych, a także konsumentów i przedsiębiorców. Jednak wraz z rozwojem dojrzałości wszystkich organizacji, postępującymi pracami legislacyjnymi na całym świecie, organizacje muszą się zmierzyć z audytem własnego bezpieczeństwa, a także wykazać nieskazitelnymi zabezpieczeniami swoich usług, własnej infrastruktury oraz relacji z innymi podmiotami. Wymagające jest również prawo w tej dziedzinie.
Zorganizowane grupy cyberprzestępcze działają natomiast nieustannie z tą samą intencją: chcą zarabiać na swojej działalności. W związku z tym tak długo, jak nasza ekonomia, a także szare strefy zachęcają hackerów do działania w ten sposób, tak długo instytucje muszą się rozwijać. Wyzwaniem może być tu także proces konwersji utalentowanych osób w celu działania jako etyczni hackerzy po stronie budowania, a nie niszczenia gospodarki. Dlatego w dobie postępującej cyfryzacji, a także żyjąc i działając w tzw. distrupitive era, działania realizowane przez firmy zajmujące się cyberbezpieczeństwem oraz instytucje na rynkach finansowych oraz podmioty biznesowe muszą prowadzić do wspólnego wzrostu bezpieczeństwa oraz dojrzałości tych organizacji. Dzięki temu, niezależnie od kierunku rozwoju ekonomii wzrośnie zaufanie społeczne do nowoczesnych rozwiązań technologicznych oraz usług, z których można korzystać w codzienności: zaczynając od płatności kartą, płatności odroczonych, zakupów online, czy wszelkich innych transakcji obsługiwanych przez ten sektor.
Działając nad poprawą standardów branży, w niedługim czasie można by wyeliminować działania phishingowe, vishingowe i wszelkie inne ataki mające na celu wyłudzanie danych, danych wrażliwych, pieniędzy, czy kradzieże tożsamości. Ogromnym wyzwaniem jest także bezpieczeństwo instytucji ubezpieczeniowych, zwłaszcza w nadchodzącej niedługo epoce inteligentnych kontraktów, a także nowych modeli ubezpieczenia, dotyczących chociażby ochrony smart home, inteligentnych pojazdów, czy zdrowia.
Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji
Zaciekawił Cie ten temat? Sprawdź naszą usługę testów penetracyjnych.
Cybersecurity Maturity Model Certification
Aby lepiej zobrazować na czym polega droga do dojrzałej, zbudowanej i zaufanej organizacji – nie ważne czy jest mała firma, firma średniej wielkości, ubezpieczyciel, bank, instytucja parabankowa, czy firma obsługująca bezpieczne płatności, muszą one wzajemnie podnosić swoje kompetencje w ramach realizowanych usług, aby zwiększała się dojrzałość oferowanych przez nie produktów, usług oraz zabezpieczeń. W grę wchodzi także zarządzanie ryzykiem, w tym rynkowym oraz własną reputacją. Już od dawna firmy muszą tworzyć transparentne produkty cyfrowe, wymaga tego chociażby kodeks etyczny praktykantów UX.
Podnoszenie wzajemnych standardów prowadzi do wzrostu dojrzałości całej sieci oraz relacji, na których one są oparte. Aby jednak taki rozwój miał miejsce, potrzebny jest konkretny framework i model, na którym można oprzeć swoją pracę i weryfikować, czy osiągnięte zostały cele na każdym etapie cyklu życia produktu – od jego wprowadzenia, do wycofania z rynku (produktu/usług/standardu).
Cybersecurity Maturity Model Certification to rozwiązanie, dzięki któremu organizacja może sprawdzić swoją dojrzałość w wybranej dziedzinie, a także dojrzałość własnych procesów. Wszystkich domen, czyli kategorii zarządzania cyberbezpieczeństwem w CMMC jest 17, a wśród nich są m.in.: ocena bezpieczeństwa, reagowanie na incydenty, zarządzanie tożsamości, bezpieczeństwo personalne oraz wiele innych. Ogółem zdefiniowano 171 praktyk, w tym 12 z zakresu zarządzania ryzykiem. Poziomów dojrzałości jest natomiast pięć. Zasada jest taka, że na poziomach od 2 do 5 organizacja powinna spełniać kryteria danego poziomu, włączając w to kryteria z niższych poziomów. Na przykład, na poziomie 3 organizacja powinna mieć oraz realizować praktyki przypisane po poziomów 1, 2 i 3, a także mieć plan dalszego rozwoju i roadmap do realizacji celów na kolejnych poziomach zaawansowania. To logiczna metoda i droga nie tylko do poprawy bezpieczeństwa organizacji, ale także rozwoju produktów i usług, które aktualnie reprezentują różne poziomy bezpieczeństwa.
Dzięki planowanemu cyklu życia produktów i usług mogą one nieustannie ewoluować, odpowiadające także na regulacje prawne w pozytywny sposób. Tak samo rozwój produktów i usług cyfrowych może wymusić korzystny rozwój norm prawnych, chroniących społeczeństwo przed nieuczciwymi praktykami. Dlatego tak ważne jest uwzględnianie cyberbezpieczeństwa oraz posiadania eksperckiego wsparcia w tym obszarze w każdej organizacji.
Mapa zagrożeń dla sektora finansowego
Obecnie należy uważać na wszystko. Tak długo, jak rozwój i dojrzałość potrzebna do tego, aby postęp technologiczny był bezpieczny oraz nam służył nie znajdzie odzwierciedlenia w codziennych praktykach, tak długo każda organizacja będzie musiała informować o ryzyku związanym z własną działalnością. Przykład? KNF informuje o możliwości podszywania się pod tę instytucję w celu wyłudzenia danych. Banki regularnie ostrzegają przed kampaniami phishingowymi. Ale przestępcom i tak rośnie apetyt na potężne zarobki.
Wśród ostatnich ich działań w tym roku oraz poprzednim znaleźć można doniesienia o ataku za pomocą zmienionej platformy zoom, poprzez którą pobierane jest oprogramowanie maleware w celu zdobycia danych bankowych, głośno było o oprogramowaniu, które może przejąć cały Twój cały telefon, a ilość ostrzeżeń nt. nowych metod wyłudzania danych i ataków ciągle rośnie. W południowej i zachodniej Afryce, ponad 85% instytucji finansowych było regularnie ofiarą zróżnicowanych ataków. Ataki te były realizowane w ramach “DangerousSavanna”, działań opierających się o: kradzież tożsamości, wycieku informacji, wykorzystywanie fałszywych czeków, a także oszustwach związanych z przesyłem pieniądze. Niestety, różne części świata cierpią z powodu różnych uwarunkowań oraz działają na rynkach o różnym poziomie ryzyka.
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
