FS-ISAC sætter tredjepartsrisiko (TPR) som en af ​​de tre største cybersikkerhedsrisici for 2021. Den hævder, at 'leverandører til finansielle virksomheder vil fortsætte med at være lukrative mål for trusselsaktører', citerer JR Manes, Global Head of Cyber ​​Intelligence hos HSBC:"Organisationer, der korrekt praktiserer forsvar i dybden med kontrol i flere lag, er stadig sårbare over for store og endda systemiske problemer gennem tredjepartsleverandører."

Et af de mest kendte angreb på forsyningskæden fandt sted i december 2020. Rusland-forbundne nationalstatsangribere kompromitterede SolarWinds’ overvågningssoftware, som bruges af tusindvis af virksomheder og offentlige myndigheder. Modstandere gemte sig i virksomheders systemer i månedsvis og stjal værdifuld forretnings-IP.

Cloud-tjenesteudbydere, udbydere af managed service-sikkerhed og andre tredjeparter, der udfører kritiske tjenester for flere værdifulde kunder, såsom API-integration til Open Banking-initiativer, vil fortsat være lukrative mål for trusselsaktører. Det kan være at stjæle data, penge eller få adgang til systemer.

Ikke alle banker behandler internt:mange outsourcer tjenester såsom netbank, investeringer, mobilapplikationer og websteder. Endelig, i betragtning af udviklingen af ​​globale databeskyttelsesbestemmelser, der nu rammer USA på stat-for-stat-basis, bliver banker nødt til at være endnu mere flittige med deres leverandører, end de har gjort før.

Bliv cyberresilient
Operationel robusthed er nøglen. Når der sker brud (ikke hvis), er det kritiske element at reagere effektivt så hurtigt som muligt. Katastrofegenopretningsplaner efter brud bør være på plads – og indøvet – for at begrænse skader. Du kan dog også planlægge fremad:

• Udvikl penetrationstestscenarier, både eksterne og interne, som vil forårsage alvorlige forretningsmæssige konsekvenser.
• Få det grundlæggende rigtigt – sørg for eksempel for, at alle systemer er 100 % patchede.
• Konsolider dine sikkerhedsværktøjer:Gartner vurderer, at tier 1-banker har 100+ og tier 2 20-45, hvilket er alt for mange.
• Hold først dine forsvarslinjer operationelle, derefter risikostyring og derefter intern revision. Disse tre områder er separate roller i tier 1-banker, men de har tendens til at overlappe i lavere tiers.
• For at undgå kompleksitet bør leverandører konsolideres omkring skysikkerhed, ID/adgangsstyring, sikkerhedsanalyse og trusselsdetektion
• Fokus på databeskyttelse og portabilitet:GDPR har haft en betydelig indvirkning på banker, og der er stadig problemer omkring privatliv versus sikkerhed (på områder som f.eks. samtykkestyring)
• Etabler en identitetsomkreds, der giver centraliseret, effektiv kontrol over vidtstrakte digitale miljøer
• Giv investeringsafkast:Din risikoprofil bør falde efter cyberinvestering.

Du ønsker måske at foretage specifikke cloud-sikkerhedsvurderinger. En amerikansk kreditforening ønskede at anvende AI og Machine Learning for proaktivt at give deres medlemmer tilbud til deres økonomiske behov. Vi skabte et sæt skalerbare, gentagelige processer til at opbygge et sikkert cloudmiljø for at understøtte dette, baseret på Microsoft Azure, til brug i efterfølgende produktionsmiljøer. Dette gjorde det ikke kun muligt for sikkerheden at blive en forretningsmulighed for kunden, men det øgede også deres tillid til, at dette miljø ville leve op til eller overgå sikkerhedskravene for deres revision af finanssektoren.

Start her for at få et komplet billede af dit cybersikkerhedslandskab.