A szervezetek mintegy negyede (23 százaléka) három vagy több incidenssel is szembesült – írja a Techmonitor. Ez rávilágít arra, hogy a pénzügyi szolgáltatóknak egyre nagyobb a kitettségük a harmadik fél jelentette kockázatoknak.
A tavaly decemberi mintavételben összesen kétszáz, egyenként több mint ezer főt foglalkoztató brit pénzügyi szolgáltató információbiztonsági vezetői (CISO) és vezető biztonsági döntéshozói vettek részt.
A briteknek is kéne DORA
Bár a támadások egyre gyakoribbak, sok pénzügyi intézmény még mindig korlátozott kockázatértékelési gyakorlatot folytat. A tanulmány szerint a cégek 44 százaléka csak a beszállítók kezdeti felvétele során értékeli a – harmadik fél jelentette – kockázatokat. A cégek mindössze 14 százaléka követi folyamatosan a harmadik féltől származó kockázatokat külön kockázatkezelési eszközökkel.
A kockázatokat kizárólag a felvételi fázisban értékelő cégek 68 százaléka számolt be arról, hogy 2024-ben az ellátási láncban jogsértés történt. Ez az arány már csak 57 százalék volt azon vállalatok körében, amelyek rendszeres felülvizsgálatot végeztek. Azoknál a cégeknél pedig, amelyek speciális kockázatkezelési technológiák által támogatott folyamatos kockázatértékelési gyakorlatot alkalmaznak, “csupán” 32 százalék volt ez az arány. A számok szerint tehát szoros összefüggés van a proaktív, folyamatos kockázatkezelés és a kibernetikai incidenseknek való kitettség csökkenése között.
A felmérés szerint a brit kiberbiztonsági szakemberek 92 százaléka támogatja egy, az EU digitális működési ellenálló-képességről szóló törvényéhez (DORA) hasonló szabályozási keret bevezetését.
A válaszadók 77 százaléka például úgy véli, hogy az Egyesült Királyságban a kiberbiztonsági szabályozások hatékonysága egyre inkább eltér az uniós szabályozásoktól.
Emellett a szakemberek 74 százaléka aggodalmát fejezte ki amiatt, hogy az Egyesült Királyság kiberbiztonsági szabályozási keretrendszerébe vetett bizalom csökken. Eközben 72 százalékuk aggódik amiatt, hogy az Egyesült Királyság szabályozása idővel egyre kevésbé lesz átfogó. További 76 százalékuk úgy érezte, hogy a brit hatóságok és szabályozók nem nyújtanak megfelelő támogatást a felmerülő kiberbiztonsági fenyegetések hatékonyan kezeléséhez.
Az aggodalmak ellenére a megkérdezett kiberbiztonsági szakemberek több mint fele (55 százaléka) mégis optimista a brit kiberbiztonsági szabályozás jelenlegi helyzetét illetően. Ez pedig azt a meggyőződést tükrözi, hogy a hiányosságok ellenére is vannak lehetőségek a brit szabályozási keretrendszer megerősítésére.
A pénzügyi intézményeket célzó nagyobb támadások 2024-ben
Az elmúlt esztendőben több jelentős kibertámadás is érte a pénzügyi intézményeket világszerte – ezek során vagy érzékeny adatokat tettek közzé, vagy megzavarták a működést. A több mint 14 trillió dollárnyi vagyont kezelő Fidelity Investments augusztusban adatvédelmi incidenst szenvedett el. Ennek következtében több mint 77 ezer ügyfél személyes adatai kerültek veszélybe. A támadók hamis fiókokat hoztak létre és belső adatbázisokhoz fértek hozzá. Az incidensnek az alkalmazottak nem megfelelő biztonsági képzése lehetett az egyik oka.
Februárban az amerikai székhelyű Financial Business and Consumer Solutions (FBCS) 4,2 millió személyt érintő adatbetörést szenvedett el. Az incidens során társadalombiztosítási számok, számlaadatok és jogosítványadatok kerültek nyilvánosságra. A betörés olyan vállalatokat érintett, mint a Truist Bank és a Comcast, és figyelmeztetést adtak ki a lehetséges adathalász-támadásokra.
A Patelco Credit Uniont júniusban zsarolóvírus-támadás érte. Ez feltehetően egy adathalász e-mailből indult, és kéthetes működési leállást okozott. Emellett több mint egymillió ügyfél és alkalmazott adatait tették hozzáférhetővé.
Augusztusban az amerikai székhelyű United Services Automobile Association (USAA) nyilvánosságra hozta, hogy egy rendszerfrissítési hiba miatt 32 ezer ügyfelet érintő biztonsági rést észleltek. Ez érzékeny adatokat, például társadalombiztosítási számokat, útlevéladatokat és biztosítási információkat veszélyeztetett.
Októberben a Transak, egy kriptovaluta-fizetéseket feldolgozó vállalat 92 554 felhasználót érintő biztonsági résről számolt be. Egy egy adathalász-támadás során veszélybe kerültek az alkalmazottak hitelesítő adatai, ami érzékeny, személyes és biometrikus adatok ellopásához vezetett.
(Kép: unsplash.com/sigmund)
