בריטישע פינאַנציעלע סערוויסעס פירמעס פאַרלאָזן נאָך די באַסיקס, וואָרנט די BoE

דער פינאנציעלער סערוויס סעקטאר פון די פאראייניגטע קעניגרייך איז שטארקער ווי אנדערע. לאנדאן איז א נאנטע צווייטע נאך ניו יארק אלס דער וועלט'ס הויפט פינאנציעלער צענטער, און דאס לאנד איז דער... די גרעסטע וועלט נעץ עקספּאָרטער פון פינאַנציעלע באַדינונגען. אָבער דער הצלחה מאַכט עס אַ ריזיק ציל פֿאַר סייבער קרימינאַלן און נאַציאָנאַל-שטאַט אַקטיאָרן. און טראָץ דעם וואָס עס איז איינער פון די העכסט רעגולירטע סעקטאָרן, איז סייבער ווידערשטאַנד נישט וואו עס זאָל זיין.

די אנגייענדע קאסטן פאר דער עקאנאמיע פון ​​סייבער-אטאקעס אויף דעם סעקטאר, און די געפאר פון א סיסטעמישן אינצידענט, איז פארוואס די באנק פון ענגלאנד (BoE) פירט ווייטער א פען-טעסט פריימווערק באקאנט אלס CBEST. ליידער, איר... לעצט מעלדונג אונטערשטרייכט אַז עס איז נאָך אַ לאַנג וועג צו גיין פֿאַר דער אינדוסטריע.

וואָס דער באַריכט האָט געפֿונען

דער ציל פון CBEST איז צו סימולירן די סארט אטאקעס וואס באנקן און אנדערע פינאנציעלע סעקטאר פירמעס וואלטן דערפארן אין דער ווילדער וועלט – אין די הענט פון סאפיסטיקירטע קרימינעלע גרופעס, שטאַט אקטיארן און בייזוויליקע אינסיידערס. די אנשטרענגונגען זענען פאקוסירט אויף דריט-פארטיי סופלייערס קאמפראמיס, סאציאלע אינזשעניריע און אינסיידער טעטיקייט ווייל זיי זענען די געביטן וואס די אינדוסטריע האט די שוועריגקייטן צו באהאנדלען. נול-טאג אויסנוצן, אייגענע מאלווער, קינסטלעכע אינטעליגענץ-געטריבענע אויטאמאציע און גענויע צילן ווערן אלע גענוצט אין די "רויטע טיעם" אפשאצונגען – אין אטאקעס וואס סימולירן ענד-צילן ווי סייבער-שפיאנאזש, פינאנציעלע געווינס און סאבאטאזש.

נו, וואָס האָט די BoE געפֿונען?

• נישט קאָנסיסטענט קאָנפיגורירט און נישט גענוג פֿאַרהאַרטעט/געפּאַטשט סיסטעמען
• א מאַנגל פון ענקריפּשאַן פֿאַר דאַטן אין רו, אַרייַנגערעכנט פּריווילעגירטע קראַדענטשאַלז
• שוואַכע אידענטיטעט און צוטריט פאַרוואַלטונג קאָנטראָלן (אַרייַנגערעכנט שוואַכע פּאַסווערדז און/אָדער נישט זיכערע פּאַסווערד סטאָרידזש)
• צו דערלויבנדיקע צוטריט קאָנטראָלן
• אונטער-פּאַר דעטעקציע און רעאַקציע (למשל "שלעכט איינגעשטעלט" EDR)
• נישט עפעקטיווע טרעפיק מאָניטאָרינג/אינספּעקציע (וואָס דערמעגלעכט אַטאַקירער צו באַהאַלטן זיך אין לעגיטימען טרעפיק)
• נישט עפעקטיווע נעץ סעגמענטאציע (למשל צווישן אנטוויקלונג און פראדוקציע סביבות) פארשטארקן די פאטענציעלע ווירקונג פון אטאקעס
• שטאב וואס איז אונטערטעניק צו דירעקטע און אינדירעקטע סאציאלע אינזשעניריע
• שטאב האלט רוטינמעסיג קרעדענצן אין נישט-באשיצטע סביבות (למשל אפענע פייל שעירס)
• נישט זיכערע העלפֿדעסק פּראָטאָקאָלן וואָס געבן כאַקערס די מעגלעכקייט צו פֿאַרשטאַרקן סאציאלע אינזשעניריע השתדלות

דער באריכט האט אויך באמערקט אז ארגאניזאציעס' סכנה אינטעליגענץ האט געפעלט אין "סטראַטעגישע פּלאַנירונג, דעפינירן רעקווייערמענץ, אויפשטעלן גאַווערנאַנס פריימווערקס, און קאַרטירן לאַנג-טערמין קייפּאַבילאַטיז." דאָס האט געפֿירט צו אַ דיסקאַנעקשאַן צווישן די אינטעליגענץ וואָס פינאַנציעלע סערוויסעס פירמעס זאַמלען און זייערע פאַקטישע געשעפט/אָפּעראַציאָנעלע באדערפענישן. דאָס מיינט טשאַלאַנדזשיז אין סקאַלירן און/אָדער אַנטוויקלען די פּראָגראַמען, האט די BoE באַהויפּטעט.

פארוואס עס ענינים

די טאקטיק, טעכניקן און פראצעדורן (TTPs) וואס ווערן גענוצט דורך CBEST'ס פעדער טעסטערס זענען אויסגעקליבן געווארן מיט א סיבה. זיי שפיגלען אפ די סארט סכנות וואס פינאנציעלע אינסטיטוציעס שטייען פאר אויף א טעגליכער אדער וועכנטליכער באזיס. אין א סעקציע אין באריכט, האט דער נאציאנאלער סייבער זיכערהייט צענטער (NCSC) געווארנט אז די סקאַטערד ספּיידער קאלעקטיוו איז באקאנט פאר סאציאלע אינזשענירינג IT העלפדעסק פערסאנעל צו באשטעלן פאסווארדס און MFA טאוקענס, למשל. מען גלייבט אז זיי האבן דאס געטאן בעת... די M&S און Co-op גרופע ראַנסאָמווער אטאקעס.

באַזונדער, האָט עס ציטירט די כינעזישע APT גרופּע וואָלט טייפון, וואָס האָט קאָמפּראָמיטירט גרויסע טיילן פון די פאַראייניקטע שטאַטן. קריטיש נאציאנאלע ינפראַסטראַקטשער נעטוואָרקס מיט געהיימע אטאקעס. בעסערע נעטוואָרק מאָניטאָרינג און סעגמענטאַציע וואָלט געהאָלפן צו באַלויכטן די השתדלות און באַגרענעצן דעם אויפרייס ראַדיוס פון אטאקעס, האָט די NCSC באַהויפּטעט.

פינאַנציעלע סערוויסעס פירמעס זאָלן נישט נאָר באַטראַכטן CBEST ווי אַ וויכטיקע יסוד פֿאַר בויען ווידערשטאַנד קעגן פאַקטישע אַטאַקעס. פילע וועלן אויך דאַרפֿן פֿאַרבעסערן זיכערהייט שטעלונג אין ליכט פון די אי.יו.'ס דיגיטאַל אַפּעריישאַנאַל ריזיליאַנס אקט (DORA), וואָס פֿאָדערט שטרענגע נייע רעקווייערמענץ איבער דער גאַנצער באַנקינג סאַפּליי קייט. סאַפּליי קייטן זענען אַ באַזונדער ריזיקע. 2025 באריכט געפֿאָדערט אז 58% פון גרויסע פינאַנציעלע סערוויסעס פירמעס האָבן געליטן לפּחות איין דריט-פּאַרטיי אַטאַק אין די פריערדיקע יאָר, מיט אַ פינפטל (23%) וואָס זענען געווען דער ציל דריי אָדער מער מאָל.

וואָס האַפּפּענס ווייַטער?

אין דעם הקדמה צום באריכט, האבן די BoE און רעגולאַטאָרן, די FCA און Prudential Regulation Authority (PRA), געבעטן אָרגאַניזאַציעס אין דעם סעקטאָר צו אַדרעסירן "די אונטערלייגנדיקע סיבות" פון ריזיקע אַנשטאָט צו צולייגן צייטווייליגע פּאַטשאַז. דאָס מיינט צו נעמען אַ טעכנישן און קולטורעלן צוגאַנג, וואָס דעקט פאַרהיטונג, דעטעקציע און רעאַקציע.

ספעציפיש, ווילן די BoE/FCA/PRA זען ארגאניזאציעס אין דעם סעקטאר:

• פּאַטטשינג און קאָנפיגורינג קריטישע אַפּלאַקיישאַנז און אָפּערייטינג סיסטעמען
• פארשטארקן קרעדענשאַל פאַרוואַלטונג, דורכפירן שטאַרקע פּאַסווערטער, ניצן MFA און סעגמענטירן נעטוואָרקס
• זיכער מאַכן פרי דעטעקציע און עפעקטיוו מאָניטאָרינג צו רעדוצירן די פּראַל פון אנפאלן
• ימפּלעמענטירן ריזיקאָ-באַזירטע רעמעדיאַציע פּלענער אין מיטאַרבעט מיט ריזיקאָ מאַנאַדזשערז און אינערלעכע אָדיטאָרס

אין צוגאב צו דעם, וויל די NCSC זען פֿאַרבעסערונגען אין שטאב טרענירונג, ספּעציעל אין ליכט פֿון AI-גענערירט פֿישינג, צו העלפֿן בויען אַ positive זיכערהייט קולטור. עס וויל אויך שטרענגערע פּריווילעגירטע אַקאַונט מאַנאַגעמענט (PAM) לויט בעסטע פּראַקטיק ליניעס. און אַ נענטערע השגחה אויף אַסעץ, ספּעציעל לעגאַסי IT, טיילווייז צו העלפֿן מיטן וועג צו פּאָסט-קוואַנטום קריפּטאָגראַפֿיע (PQC).

נעץ סעגמענטאציע, דעווייס פארהארטעווען און קאנטינעוועריגע מאניטארינג זאלן אלע ווערן דיפלויעד אלס טייל פון א נול-טראסט צוגאנג צו זיכערהייט, האט עס געזאגט. און קאמפרעהענסיווע לאגינג און אינצידענט רעאקציע פראצעסן קענען פארבעסערן די ווידערשטאנדסקראפט פון מאניטארינג און דעטעקציע מעגלעכקייטן. סכנה-יאגד גיט וויכטיגע עקסטרא איינזיכטן צו אויפדעקן מער סאפיסטיקירטע בייזוויליגע טעטיקייט, האט די NCSC געשלאסן.

געטינג סטאַרטעד

נו, וואו הייבן זיך אן פינאַנציעלע סערוויסעס פירמעס? קאַרל האַנט, דירעקטאָר פון Beyond Blue, טענהט אז דעטעקציע איז א גוט אָרט צו אָנהייבן.

"דאָס נעמט אַרײַן פֿאַרבעסערן ענדפּוינט דעטעקציע און רעאַקציע, אָבער אויך קאָרעלירן געשעענישן אַריבער זייער אָרגאַניזאַציעס מעגלעכע אַטאַק פּאַטס צו דעטעקטירן אַנאָמאַלע נאַטור," זאָגט ער צו IO (פֿריִער ISMS.online). "כדי דאָס דורכצופֿירן, איז אַ גוט פֿאַרשטאַנד פֿון קריטישע אַסעץ, אַטאַק פּאַטס און עפֿעקטיוו טונינג פֿון דעטעקציע כּללים נויטיק."

דער מענטשלעכער אַספּעקט פֿון רעאַקציע איז נאָך אַ קריטישער אונטערנעמונג וואָס זיכערהייט־מאַנשאַפֿטן פֿאַרפעלן אָפֿט.

"CISOs דארפן האבן די כוח צו אפגעזונדערן אן אטאקע אין א צייטיקן אופן, וואס פארלאנגט פון דעם ביזנעס קאנטעקסט צו מאכן די נויטיגע באשלוסן. דאס איז א באזונדערע שוועריקייט וואו זיכערהייט אפעראציעס ווערן אויסגעסארסט," גייט הונט ווייטער. "מען זאל געדענקען אז אין א רעאלן אטאקע, רירן זיך די אטאקירער שנעל צו דערגרייכן זייערע צילן אנשטאט אין א מער קאנטראלירטן אופן ווי מיט א סימולירטער געניטונג ווי CBEST. א שנעלע רעאקציע איז וויכטיג צו באגרענעצן דעם אימפאקט."

ער ווײַזט אָן אַז נעץ סעגמענטאַציע איז גלייך וויכטיק, כּדי צו באַגרענעצן דעם ראַדיוס פֿון אַטאַקעס. "דאָס שטיצט אויך אָפּזוך סטראַטעגיעס דורך מאַפּירן אינפֿאָרמאַציע טעכנאָלאָגיע און נעטוואָרקס צו וויכטיקע געשעפֿט פֿונקציעס, עפֿעקטיוו באַגרענעצונג און דערנאָך די עווענטועלע אויסראָטונג פֿון אַן אַטאַק קען דערגרייכט ווערן," זאָגט האַנט.

די גוטע נייעס איז אז סטאַנדאַרדן ווי ISO 27001 קענען העלפן אָרגאַניזאַציעס לייגן די יסודות צו באַשנעלערן די בעסטע פּראַקטיקעס. און צושטעלן דעם ריזיקאָ-באַזירטן צוגאַנג צו סייבער-זיכערהייט וואָס רעגולאַטאָרן ערוואַרטן מער און מער, באַגרינדעט אין אַ קולטור פון קעסיידערדיקער פֿאַרבעסערונג.