Необходимая профилактика: кибербезопасность никогда не была более важной

Sep 21, 2023

Искусство OYOW

Британский пенсионный регулятор, регулирующая группа, которая защищает трудовые пенсии, ранее в этом году уведомил более 300 пенсионных планов о том, что их планы могли быть скомпрометированы из-за утечки данных в лондонской компании Capita, стороннем администраторе планов. . Хотя похоже, что никакие данные участников не пострадали, расследование продолжается. У Capita есть данные о сотнях тысяч участников пенсионных планов Великобритании, и потенциальные последствия взлома значительны.

Атака (и еще одна атака в США на платформу переноса пенсионных счетов The Retirement Clearinghouse, произошедшая в марте) подчеркивает необходимость того, чтобы институциональные инвесторы уделяли особое внимание кибербезопасности не только внутри компании, но и у поставщиков и в их инвестициях.

Кибератаки растут, и распределители средств, инвесторы и пенсионные фонды – все они представляют собой высокоценные цели. Способы, которыми злоумышленники нападают на организации, также становятся все более изощренными. В некоторых случаях организации могут даже не знать, что их системы скомпрометированы, если злоумышленник обманом заставил кого-то добровольно выдать информацию.

Финансовые регуляторы пытаются справиться с растущей угрозой: в США Комиссия по ценным бумагам и биржам и Министерство труда недавно выпустили новые руководящие принципы и предложения по кибербезопасности для распределителей, управляющих активами и брокеров/дилеров.

Когда дело доходит до кибербезопасности, институциональным инвесторам необходимо думать на нескольких уровнях. Внутри должна быть защищена сама организация, а ее сотрудники обучены минимизировать уязвимости. На уровне поставщиков распределители имеют тенденцию объединяться с одними и теми же поставщиками, и эта тенденция может сработать против них, как и в случае с Capita, если все они одновременно столкнутся с одной и той же атакой. Наконец, распределителям необходимо учитывать риск с точки зрения комплексной проверки своих инвестиций.

«До сих пор эта проблема в значительной степени неправильно рассматривалась как техническая/оперативная проблема», — сказал Ларри Клинтон, президент и генеральный директор Вашингтонского Альянса безопасности Интернета, выступая на форуме CIO в мае. Кибербезопасность «является проблемой управления рисками в масштабах всего предприятия».

В повседневной деятельности методы кибербезопасности часто подвергаются клевете. Все знают и ненавидят процесс создания «надежного» 14-значного пароля, который невозможно запомнить, затем получения текстового сообщения с кодом, затем сообщения роботу, что вы не робот, прежде чем вам наконец разрешат войти в систему. Биометрия, может быть, и проще, но действительно ли кто-нибудь хочет передавать биометрические данные работодателю?

Таким образом, все снова возвращаются к паролю, коду, головоломке и логину. Даже при всем этом, по данным PwC, только 14% компаний прожили за последние три года без утечки данных. Перри Карпентер, специалист по стратегии в компании по обучению кибербезопасности KnowBe4, говорит, что большая часть проблемы заключается в подходе к кибербезопасности.

«Все, что нам нужно сделать, это осмотреться вокруг и увидеть, что это ни в коем случае не решенная проблема», - говорит он. «Многие наши процедуры противоречат человеческой природе, и это заставляет людей отказываться от них. Часто организации не вкладывают средства в регулярное обновление и исправление систем, что делает их уязвимыми. уровне, вы можете предотвратить 90% атак».

По словам Карпентера, работа «на человеческом уровне» предполагает нечто большее, чем базовое обучение кибербезопасности, которое напоминает людям о необходимости опасаться фишинговых писем; это также включает в себя продумывание различных способов доступа людей к системам и максимальное упрощение защиты этой среды.

«Нагромождение шагов на людей заставит их искать способы обойти эти шаги», - объясняет он. «Как только они это сделают, они будут счастливы, но они также только что обнаружили уязвимость в вашей системе. Вполне вероятно, что злоумышленники тоже ее нашли или найдут».

Карпентер добавляет, что технологи склонны думать, что новые технологии решат все проблемы. Сотрудники по кибербезопасности могли бы сосредоточиться на внедрении новейших технологий безопасности, но это означает, что старые системы постепенно устаревают, создавая новые точки входа для цифровых злоумышленников. «Внесение исправлений — важная практика, потому что достаточно одной точки входа, и система может быть скомпрометирована», — говорит Карпентер. «Можно надеяться, что новая система это поймает, но часто этого не происходит, пока не становится слишком поздно».