A SecurityScorecard új felmérése szerint a fintech vállalatokat érintő adatvédelmi incidensek 41,8 százalékáért felelősek a harmadik fél, vagyis a közreműködő egyéb szolgáltatók.
Belülről erős, kívülről sebezhető
A biztonsági platform ágazati jelentése a világ 250 vezető fintech cégének kiberbiztonsági helyzetét vizsgálta – írta összefoglalójában a TechMonitor.
A piaci értékelés jelentős szakadékot tár fel az erős belső ellenőrzések és a külső ellátási lánc kockázatai által okozott sebezhetőségek között.
“A fintech cégek lehorgonyozzák a globális pénzügyeket, de egy-egy beszállító akár a teljes infrastruktúrát is működésképtelenné teheti” – hívta fel a figyelmet a helyzet kritikus jellegére a SecurityScorecard alelnöke.
Ryan Sherstobitoff szerint a harmadik fél által elkövetett jogsértések nem szélsőséges esetek. Sokkal inkább strukturális kockázatokat tárnak fel. Mindez pedig működési anomáliákat, kieséseket jelent a fizetési rendszerekben, a digitális eszközplatformokban és az alapvető pénzügyi infrastruktúrában.
Tartós biztonsági kihívások
Bár a SecurityScorecard vizsgálata során valamennyi iparág közül a legmagasabb biztonsági pontszámot kapták, a fintech vállalatok nem immunisak a kiberfenyegetésekkel szemben. A felmérés szerint e cégek 18,4 százaléka tapasztalt adatvédelmi incidenst, 28,2 százalékuk pedig több incidenssel is szembesült.
A jogsértések fő okának tehát azok a kockázatok számítanak, amelyet a külsős beszállítók hordoznak.
A harmadik fél által elkövetett jogsértéseket tovább súlyosbítják a negyedik fél által okozott kitettségek. Ezek további 11,9 százalékkal járulnak hozzá az általános jogsértési statisztikákhoz. Ez több mint kétszerese a globális átlagnak.
A jogsértések többsége, 63,9 százaléka technológiai termékekhez és szolgáltatásokhoz kapcsolódik. Mindezek alapján a fájlátviteli szoftverek és a felhőplatformok a leggyakoribb veszélyforrások.
Neuralgikus pontok a gyakorlatban
A jelentés szerint az alkalmazásbiztonság az egyik leggyakoribb gyenge pont. A cégek 46,4 százaléka rosszul teljesített az alkalmazásbiztonsági intézkedések terén. E problémák kezelése érdekében a SecurityScorecard számos ajánlást fogalmazott meg, amelyek célja a kiberbiztonság megerősítése a fintech-piacon.
A csapat azt tanácsolja, hogy a fintech vállalatoknak a kockázati kitettség és a korábbi jogsértési előzmények alapján kellene prioritást adniuk a szállítók értékelésének. Ahelyett, hogy kizárólag a pénzügyi mutatókra vagy az üzleti értékre összpontosítanának. A downstream-függőségek átláthatóságának javítása, valamint az incidensekről szóló értesítési záradékok beépítése a szerződésekbe csökkentheti a harmadik fél által okozott jogsértésekből eredő kockázatokat.
A közös infrastruktúra és a technikai eszközök biztosítása alapvető fontosságú. A fájlátviteli eszközök, a felhőalapú tárolási szolgáltatások és az ügyfélkapcsolati technológiák rendszeres értékelése ajánlott annak biztosítása érdekében, hogy a partnerek betartsák a biztonságos végrehajtási gyakorlatokat.
Az alkalmazásbiztonság hiányosságainak kezelése szintén kritikus fontosságú. A javítási erőfeszítéseknek a nem biztonságos átirányítási láncokat, a rosszul konfigurált tárolási megoldásokat és a hiányzó SPF rekordokat kell kezelniük.
A megbízható hitelesítő adatok védelme létfontosságú az olyan folyamatos kockázatok miatt, mint a hitelesítő adatok kitöltésére irányuló kampányok és a számos céget érintő typosquatting-támadások.
A többfaktoros hitelesítés (MFA) bevezetése, a hitelesítő adatok újrafelhasználásának nyomon követése és a csalárd domainek felszámolása kulcsfontosságú lépések a felhasználók védelmében.
Az ismétlődő jogsértések jelentős kockázati mutatók. Azoknak a szállítóknak, akiknél már többször előfordult jogsértés, alapos értékelésnek kell alávetniük magukat a rendszerbe való belépés és a szerződésmegújítás során. E stratégia célja, hogy megerősítse a kiberbiztonsági keretrendszert a fintech szektoron belül. Mindeközben pedig kifejezetten a harmadik felek közötti interakciók során feltárt sebezhetőségeket célozza meg.
(Kép: unsplash.com/Jonas Leupe)
