V štúdii, ktorú si nechala vypracovať spoločnosť Deloitte, sa spomedzi 26 odvetví, na ktoré sa počítačoví zločinci najviac zameriavajú, finančné služby umiestnili na prvom mieste. Aby toho nebolo málo, v minulom roku 70 % z nich zažilo úspešný kybernetický útok, ktorý vraj urýchlila globálna pandémia. Len v roku 2019 podľa odhadov poradenskej firmy Accenture poskytovatelia finančných služieb v dôsledku útokov prišli o tržby v hodnote 310 miliárd eur.
Vynaliezaví chmatáci
Útočníci využívajú rôzne neustále sa vyvíjajúce techniky, ako je kompromitácia prihlasovacích údajov aplikácie alebo privilegovaného používateľa, zneužívanie nesprávne nakonfigurovaných databázových systémov a zacielenie na nešifrované údaje. Preto musia byť banky a finančné inštitúcie dôsledné, pokiaľ ide o bezpečnosť a ochranu údajov zákazníkov. Ak dôjde k porušeniu, poruší to nielen súkromie klientov, ale aj dôveru, ktorú ľudia v banku prejavujú a môže vážne poškodiť podnikanie.
Vrstvený prístup k bezpečnosti údajov
V posledných rokoch zaznamenal finančný sektor niekoľko zmien. Napríklad zvýšená konkurencia zo strany nových digitálnych subjektov a online bánk, zmeny v legislatíve ako PSD2 či vzostup kryptomien a používanie blockchain technológie.
Aby banky získali čo najlepšiu ochranu, musia k online a sieťovej bezpečnosti zaujať vrstvený prístup. Tradičná ochrana systému už nestačí a k samotným dátam treba pridať ochranný rámec, ktorý ich ochráni v prípade narušenia bezpečnosti.
Počítače nemajú mreže
Vzhľadom na toto rýchlo sa meniace prostredie finančné inštitúcie prijímajú aktivity digitálnej transformácie a zvýšenú digitalizáciu. Flexibilné, škálovateľné softvérové základy sa stali nevyhnutné pre uľahčenie rýchleho zavádzania nových služieb. Používajú sa aj rozhrania API, ktoré umožňujú podnikom diverzifikovať svoje služby a ponuky technológií. Na zlepšenie skúseností koncového používateľa sa postupne prijímajú ďalšie pokročilé technológie ako napríklad digitálny účet, platby od osoby k osobe (P2P) a cloud computing.
Nové služby, nové riziká
Začlenenie nových technológií umožňuje inštitúciám osloviť zákazníkov novými a inovatívnymi spôsobmi, no zároveň zvyšuje potenciál vystavenia citlivých údajov riziku. V skutočnosti sú to jedny z najvyhľadávanejších údajov na svete – hlavne ide o prihlasovacie údaje, podrobnosti o bankových a úverových účtoch, používateľské mená a heslá... Ak dôjde k porušeniu, výsledky môžu byť pre spoločnosti aj koncových zákazníkov zničujúce. Ktoré kybernetické hrozby teda predstavujú pre bankový sektor najväčšie hrozby?
Dodávateľský reťazec
Pre mnohých je prekvapením fakt, že aj spoločnosti poskytujúce finančné služby majú dodávateľský reťazec, ktorý zvyčajne spájame s procesom presúvania predmetov a tovaru. Nie je žiadne prekvapenie, že dodávateľské reťazce finančných inštitúcií vyzerajú úplne inak ako reťazce spoločnosti predávajúcej fyzický tovar. Dodávateľský reťazec pozostáva z niekoľkých kľúčových komponentov, ktoré sú zároveň bezpečnostným rizikom:
- Prenos vedomostí a informácií
- Peňažné cykly – líšia sa dĺžkou v závislosti od transakcie
- Zdieľanie údajov s tretími stranami a predajcami
- Ukladanie údajov
Každý z nich vytvára útočnú plochu s bohatými cieľmi.
Za všetkým hľadaj človeka
Všetky znalosti a informácie uchovávajú a zdieľajú ľudia, ktorí tvoria internú a externú sieť spoločnosti, takže vždy existuje riziko, že údaje sa stratia v dôsledku precenenia vlastných schopností, podvodu alebo ľudskej chyby. Čím dlhší je peňažný cyklus, tým vyššie je riziko. Ak sa vyžaduje viac kontrol, vedie to k zvýšenému odovzdávaniu informácií, čím sa opäť zvyšuje možnosť prezradenia citlivých detailov.
Získajte dokonalý prehľad
Často sa v rôznych bodoch hotovostného cyklu zapoja tretie strany a predajcovia. Nedostatočná transparentnosť medzi tretími stranami v rámci dodávateľského reťazca – inými slovami, obmedzené pochopenie toho, ako tieto organizácie fungujú – môže byť obzvlášť nebezpečná. Ak sú ich protokoly kybernetickej bezpečnosti obmedzené a kybernetická hygiena nízka, všetky informácie alebo údaje zdieľané s týmto predajcom sa dostávajú do ohrozenia.
Kam s nimi?
To vedie k poslednému bodu, ukladaniu údajov. Mnoho organizácií používa zdieľané alebo cloudové disky na zdieľanie a ukladanie informácií. Tieto systémy sú veľmi užitočné, ale ak nie sú správne nastavené, hackeri môžu ľahko získať prístup k údajom. Aby boli podniky v bezpečí, mali by sa uistiť, že zaviedli kontroly ako je obmedzenie prístupu pre dôveryhodných používateľov a implementácia viacfaktorovej autentifikácie.
Vznikajúce technológie
Finančné inštitúcie aktívne využívajú nové technológie v snahe zostať konkurencieschopné. Nové technológie sú však dvojsečná zbraň. Na jednej strane umožňujú inováciu a efektivitu, no na druhej strane vytvárajú dodatočné riziko tým, že potenciálne poskytujú nové brány do organizácie. Blockchain, IoT a 5G sú na zozname rizík momentálne najvyššie. Bohužiaľ, v mnohých prípadoch je riziko pri týchto typoch technológií vysoké, často s malou reguláciou, softvérovými zraniteľnosťami a absenciou univerzálneho bezpečnostného štandardu pre internet vecí. Pokiaľ ide o nové technológie, kyberzločinci sú často o krok vpred.
Krádež údajov a manipulácia s údajmi
Kvôli likvidite vo finančných firmách môže mať krádež údajov za následok vysoký výnos pre kyberzločincov. Manipulácia s údajmi je tiež na vzostupe, pričom hackeri hrozia zničením alebo zmenou údajov, čo vyvoláva nedôveru na globálnej úrovni. Napriek jasnému nebezpečenstvu zmeny alebo odcudzenia finančných údajov mnohé organizácie zažili ransomvérový útok – počítačoví zločinci požadujú výkupné výmenou za vrátenie údajov alebo za prístup k svojim údajom prostredníctvom dešifrovacieho kľúča.
Nedostatok talentov
V súčasnej atmosfére práce na diaľku a pokrokových technológií sa jasne ukázal nedostatok talentov - chýbajú profesionáli v oblasti kybernetickej bezpečnosti. Čaká ich totiž obrovská práca, najmä ak spoločnosť interne spravuje infraštruktúru verejného kľúča a softvér. Okrem toho, bez správnych myšlienok v oblasti kybernetickej bezpečnosti nie je pravdepodobné, že by sa zamestnanci organizácie naučili hygienu a osvedčené postupy v oblasti kybernetickej bezpečnosti. Ich najväčšou hrozbou by sa potom mohla stať pracovná sila finančnej inštitúcie.
Malvérové útoky
Bezpečnostná správa spoločnosti Akamai odhalila, že pri viac ako 90 % útokov na sektor finančných služieb boli použité štyri špecifické typy malvéru (SQL Injection –SQLi, Local File Inclusion – LFI, Cross-Site Scripting – XSS a OGNL Java Injection).
Každý z nich sa používa na útoky na webové aplikácie založené na údajoch. Kód sa vkladá na oklamanie stránky, aby odhalila informácie alebo umožnila nahrávanie súborov na server. Ak sa v týchto aplikáciách uchovávajú citlivé informácie, organizácia môže mať vážne problémy.
Čo robiť? Ako sa brániť?
Vzhľadom na kľúčové hrozby a riziká pre finančný priemysel je potrebné zdôrazniť niekoľko účinných metód, ktoré môžu firmy poskytujúce finančné služby implementovať na zvýšenie svojej kybernetickej bezpečnosti.
Vzdelávať zamestnancov
Ako už bolo spomenuté, najväčšou hrozbou sa môže stať vlastná pracovná sila spoločnosti. Finančné organizácie by sa mali snažiť zmeniť to prostredníctvom vzdelávania a školenia zamestnancov o nebezpečenstvách kybernetickej bezpečnosti a osvedčených postupoch. Medzi kľúčové oblasti, na ktoré sa treba zamerať, patria:
Používanie hesiel – zaistite, aby zamestnanci používali bezpečné heslá obsahujúce kombináciu písmen, číslic a špeciálnych znakov.
Dvojfaktorová autentifikácia – nastavte ďalšiu vrstvu ochrany na pracovných zariadeniach zamestnancov, ako aj ich osobných zariadeniach, najmä ak je zavedená politika „Prineste si vlastné zariadenie“ (BOYD).
Útoky sociálneho inžinierstva – dávajte pozor na varovné signály návnady alebo pokusov oklamať zamestnancov, aby prezradili dôverné informácie.
Phishingové podvody – naučte zamestnancov kontrolovať e-maily pred otvorením alebo stiahnutím príloh, dávajte pozor na e-maily, ktoré pochádzajú z neznámych adries, a vyhýbajte sa podozrivým odkazom, ktoré by mohli otvoriť cestu hackerom.
Aktualizovať systémy
Jednoduchý tip, ako znížiť šance na úspešný útok, je aktualizovať všetky systémy a aplikácie. Aj keď to znie pomerne jednoducho, ak spoločnosť používa softvér na mieru alebo má rozsiahle digitálne prostredie, môže to byť obrovská úloha. Preto je potrebná dobrá hygiena kybernetickej bezpečnosti, ktorá zahŕňa pravidelné aktualizácie, aby sa nenarušili každodenné povinnosti.
Šifrovať údaje
Finančné údaje sú pre hackerov jackpot. Všetky digitálne systémy obsahujú citlivé údaje nejakého druhu, a preto je potrebné ich chrániť pomocou šifrovania. IT profesionáli v rámci organizácie často nebudú mať čas alebo špecifické zručnosti nastavené na tak, aby to urobili pre všetky aplikácie, a preto je potrebné vyhľadať pomoc od odborníkov na kybernetickú bezpečnosť, aby zabezpečili a zašifrovali e-maily a iné systémy. Pomocou šifrovania môžu banky a iné finančné inštitúcie naďalej kontrolovať ochranu údajov bez ohľadu na to, kde sa nachádzajú. Šifrované informácie sú bezpečné pri prenose, v sieti a dokonca aj v cloude. V prípadoch, keď zabezpečenie systému zlyhá, sú šifrované údaje stále v bezpečí pred zvedavými očami.
Viacfaktorová autentifikácia
Keď banky vyžadujú viacfaktorovú autentifikáciu – viac než len jeden spôsob identifikácie – na prístup k údajom, pridáva to ďalšiu vrstvu ochrany, ktorá opäť udržiava veci v bezpečí aj po napadnutí systému.
Hardvérové bezpečnostné moduly
Hardvérové bezpečnostné moduly (HSM) sú časti externého hardvéru, ktorý funguje ako trezor pre elektronické informácie. Tieto moduly spravujú, spracúvajú a ukladajú digitálne kľúče v bezpečnom zariadení odolnom voči neoprávnenej manipulácii.
Audit riešení kybernetickej bezpečnosti
Finančné firmy by mali pravidelne testovať silu svojho úsilia v oblasti kybernetickej bezpečnosti, najmä pri zavádzaní nových technológií či zmenách aplikácií a softvéru. Jedným zo spôsobov, ako to dosiahnuť, je využiť white hat hackerov, ktorí majú povolenie na hackovanie organizácií (známe aj ako etické hackovanie). Spoločnosť tak získa spätnú väzbu týkajúcu sa akýchkoľvek zraniteľností.
Finančné inštitúcie musia okrem ochrany údajov dodržiavať aj neustále sa meniace a rozširujúce sa regulačné požiadavky vrátane regionálnych nariadení o ochrane osobných údajov, všeobecné nariadenie o ochrane údajov Európskej únie (EU GDPR) ako aj špecifické nariadenia regulačných orgánov finančného sektora ako je napríklad Európsky orgán pre bankovníctvo (EBA). Netreba dodávať, že dosiahnutie a udržiavanie bezpečnosti databáz a dodržiavanie predpisov v odvetví finančných služieb je mimoriadne náročná úloha, ale netreba dodávať ani to, že ide o základný predpoklad konkurencieschopnosti a úspechu vo finančnom podnikaní.
Neradostné zistenia
Spoločnosť Statista uskutočnila nedávno rozsiahly prieskum s vyše päťtisíc zamestnancami bánk a finančných inštitúcií o kybernetickej bezpečnosti. Štúdia sa zaoberala aj otázkou, čo by zamestnanci v bankách a sporiteľniach urobili ako prvé ak by na internete zbadali podozrivú, bezpečnostne relevantnú situáciu keď si nie sú istí.
Dobrá správa: väčšina opýtaných kontaktuje kolegu (14 percent), vlastného šéfa (15 percent) alebo IT oddelenie (46 percent). Zlá správa: Štyri percentá sa napriek svojej neistote snažia problém vyriešiť sami. Ďalšie dve percentá situáciu odignorujú, pretože dôverujú bezpečnostnému programu. A práve týchto šesť percent zamestnancov hrá svojim správaním sa do karát kyberzločincom.
Iba 34 percent opýtaných zamestnancov bánk, sporiteľní alebo poskytovateľov finančných služieb presne vie, čo robiť v prípade bezpečnostnej situácie. Dvaja z troch zamestnancov banky sa pri incidente bezpečnosti IT správajú nesprávne, pretože nevedia, aká je správna reakcia...
