Cyber sigurnost Security Services

Rješavanje problema cyber sigurnosti u finansijskom sektoru

Posljednjih nekoliko godina sve češće čitamo o tome da je finansijska industrija pod najvećim rizikom od cyber napada. Kako se izboriti s ovim tmurnim predviđanjima, pročitajte u nastavku

Izvor: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Nije nikakva novost da cyber kriminalci prije napada na neku instituciju ili pojedinca prvo istraže metu kako bi napad bio u potpunosti uspješan, a to se postiže ranim otkrivanjem ranjivosti sistema. Naoružani svim potrebnim podacima, napadači bez problema upravljaju kompleksnim sistemima svoje mete, uspostavljajući trajno prisustvo u njima te često ostajući neotkriveni dugo vremena. Fokus kompanija do sada je bio isključivo na sigurnosti. Međutim, sve napredniji alati i taktike kojima se hakeri služe pri napadima sada zahtijevaju prebacivanje na dinamičniji pristup i sveobuhvatnu sposobnost cyber zaštite.

Računarska sigurnost napreduje na listi prioriteta

Broj hakerskih napada u industriji koja se bavi finansijskim uslugama iz godine u godinu raste. Ako pogledamo podatke za 2013, možemo vidjeti da su američke kompanije koje se bave pružanjem finansijskih usluga usljed hakerskih napada u toj godini izgubile u prosjeku 23,6 miliona dolara, a taj broj i dalje raste. Podaci ukazuju na to da su gubici najveći upravo u ovoj industriji. S druge strane, 2012. godine finansijski sektor nalazio se tek na trećem mjestu po broju hakerskih napada, dok su prva dva zauzimale odbrambena i energetska industrija. Međutim, treba naglasiti da finansijski gubici nastali usljed cyber napada nisu ono što ovaj sektor najviše pogađa. Mnogo veće posljedice ostavlja narušavanje povjerenja klijenata i investitora, jer se jednom izgubljeno povjerenje teško vraća. Tako je istraživanje korporativnih rukovodilaca i članova odbora pokazalo da je rizik od hakerskih napada bio treći prioritet u korporacijama 2013. godine, dok je 2011. cyber sigurnost u korporativnom svijetu bila tek na dvanaestom mjestu.

Podaci iz Ponemon instituta i Deloitteovog centra za analizu finansijskih usluga najbolje ilustruju kretanje troškova finansijskih kompanija usljed hakerskih napada: 2010. su iznosili nešto više od 12 miliona dolara na godišnjem nivou po kompaniji, da bi se naredne godine popeli na 14,7 miliona dolara. I 2012. zabilježen je rast, pa su troškovi na godišnjem nivou za kompanije koje pružaju finansijske usluge iznosili 16,4 miliona dolara, a 2013. su se popeli na 23,6 miliona dolara, što je povećanje od 43,9%!

Korporativna statika vs. hakeri

Postavlja se pitanje zašto su neke kompanije dopustile da ih sigurnosni problemi bukvalno “preplave”, odnosno zašto nisu djelovale na vrijeme i tako spriječile većinu problema ove vrste. Moglo bi se reći da ovo “zakašnjenje” ima veze i sa statičnim i donekle piramidalnim načinom na koje korporacije funkcionišu, gdje se na finalne odluke obično duže čeka jer se sve mora odvijati prema strogo utvrđenim internim politikama. Hakeri, s druge strane, imaju potpunu slobodu djelovanja, pa mogu biti kreativni koliko žele u pronalaženju novih vidova probijanja sigurnosne odbrane svoje iduće mete. Novi problem s kojim se firme suočavaju leži u tome što više nisu samo meta kriminalaca koncentrisanih isključivo na finansijske institucije i iskusnih hakera nego i većih, dobro organizovanih aktera poput haktivističkih grupa, koje u cilju objavljivanja najčešće socijalno-političkih stavova mogu napraviti velike probleme. Ovakva situacija kompanijama nameće potrebu da prilikom kreiranja strategije za borbu protiv cyber kriminala osmisle novi pristup zasnovan na širokom spektru mogućih učesnika i različitih motiva koji ih pokreću.

Ovu situaciju prokomentarisao je i Richard A. McFeely, bivši pomoćnik direktora u odjelu za kriminalističke poslove, cyber i usluge u slučaju incidenata u FBI-ju, rekavši: “Naši protivnici u cyber svijetu uključuju špijune iz država koji su u potrazi za našim tajnama i intelektualnim vlasništvom, organizovane kriminalce koji žele ukrasti naše identitete i novac, teroriste koji žele napasti našu električnu mrežu, vodovod ili neku drugu infrastrukturu i haktivističke grupe koje pokušavaju iznijeti politički ili socijalni stav.” Ovo je potvrdio i Lou Steinberg, šef tehnološkog odjeljenja u kompaniji TD Ameritrade: “Mi smo od organizovanog kriminala koji čine finansijski motivisane grupe koje su sebi mogle priuštiti napade stigli do haktivista, ljudi sa socijalnom agendom, koji ne žele ukrasti vaš novac.”

Iako u ovoj priči finansijske kompanije nisu ni blizu bespomoćne, ipak dolazimo do sljedećeg problema: uvođenje novih tehnologija moglo bi unijeti nove oblike složenosti u njihov tehnološki ekosistem. Tako masovna primjena i prihvatanje pogodnosti koje nude internet, društvene mreže, mobilne tehnologije i cloud otvaraju, naravno, i nove mogućnosti napadačima. Slično tome, navala outsourcinga, offshoringa i rad s drugim kompanijama, koji je u porastu zbog želje korporacija da smanje troškove, mogu dodatno “razvodniti” institucionalnu kontrolu nad IT sistemima i pristupnim tačkama. Ovi trendovi rezultirali su razvojem novog, znatno manje ograničenog ekosistema u okviru kojeg finansijske kompanije posluju, ali i širom “površinom pogodnom za napad” koju hakeri sada mogu iskoristiti.

Da bi se doskočilo ovom rastućem problemu, finansijske kompanije sve stavke vezane za računarsku sigurnost i IT u cjelini moraju staviti na listu svojih najhitnijih prioriteta te kreirati dinamičan i nadasve inteligentan pristup sigurnosti, koji će im pomoći kako u sprečavanju budućih cyber napada tako i u njihovom detektovanju i brzom saniranju problema prouzrokovanih napadom.

Strategija cyber sigurnosti

Na osnovu većine dostupnih podataka možemo zaključiti da se učestalost hakerskih napada povećava, dok se brzina saniranja problema, odnosno odgovora na napad usporava. I to se uglavnom događa zato što napadači u sve većoj mjeri iskorištavaju širok spektar različitih metoda napada (npr. poput metode infiltracije) i tako uvijek ostaju na korak ispred. Slojeviti pristup rješenju ovog problema može nadopuniti i nadograditi tradicionalne tehnologije koje u današnje vrijeme više nisu odgovarajuće.

Ako pogledamo analizu koja pokazuje da 88% hakerskih napada na finansijske kompanije bude uspješno izvedeno u roku jednog dana, mogli bismo lako zaključiti da rješenje za ovu situaciju leži u većem ulaganju u alate i tehnologije koje će smanjiti uspješnost ovih napada. Međutim, nedostatak svijesti o modernim cyber prijetnjama i manjak odgovora na njih sugeriše da bi i više različitih oblika preventivnih tehnologija bilo neadekvatno u suočavanju s ovim problemom. Šta onda uraditi? Kao što smo već ranije naveli, finansijske kompanije trebale bi ozbiljno razmisliti o slojevitom pristupu, koji sadrži sveobuhvatniji program cyber odbrane i mjere odgovora, što bi im trebalo pomoći prilikom suočavanja sa širokom lepezom cyber prijetnji i rizika. Jednostavnije rečeno, kompanije koje se bave pružanjem finansijskih usluga morale bi razmisliti o kreiranju programa za upravljanje cyber rizikom kako bi dobile luksuz da budu uvijek sigurne, predostrožne i otporne. Naprimjer, mogle bi kreirati dubinski pristup, koji bi podrazumijevao niz ojačanih slojeva sigurnosti kako bi se osigurala redundancija te spriječio ili barem usporio proces napada ukoliko do njega već dođe. Također, jedan od njihovih glavnih ciljeva trebao bi biti i poboljšanje budnosti, odnosno predostrožnosti putem efikasne rane detekcije i signalnih sistema. Sistemi za nadzor trebali bi, prema mišljenju stručnjaka, raditi 24 sata, sedam dana u sedmici, uz adekvatnu podršku za efikasno upravljanje incidentima i procesom popravljanja štete.

Prijedlog konkretnih mjera

Prijedlog sigurnosnih stručnjaka iz Deloitteovog centra za analizu finansijskih usluga za unapređivanje cyber sigurnosti pomoću strategije zasnovane na sigurnosti, predostrožnosti i otpornosti podrazumijeva sljedeće:

  • Da biste održali sigurnost, poboljšajte kontrole za prioritetiziranje rizika kako biste se zaštitili od već poznatih i novih, odnosno nadolazećih prijetnji i trudite se da sve odradite u skladu sa standardima i propisima IT sigurnosne industrije;
  • Da biste uvijek bili na oprezu, budni ili predostrožni, radite na bržoj detekciji povreda sigurnosti i anomalija kroz bolje poznavanje situacije u okruženju. Otpornost se može poboljšati i simuliranim testiranjima i procesom kriznog menadžmenta (upravljanja u kriznim situacijama). Naprimjer, sistemi se mogu projektovati i testirati kako bi bili u stanju izdržati duže periode izloženosti stresu;
  • I na kraju, da biste bili otporni, uspostavite sposobnost brzog povratka na normalne operacije i popravljanja štete koju hakerski napadi mogu nanijeti vašem biznisu.

Imajte na umu i sljedeće: analiza Ponemon instituta i Deloitte centra za analizu finansijskih usluga pokazala je da 60%  ispitanih kompanija nije bilo u stanju zaustaviti cyber napad kada je do njega došlo, a najčešće zbog zastarjelog ili neadekvatnog CTI-a (cyber threat intelligence), odnosno skupa alata i obavještajnih tehnika za borbu protiv prijetnji sigurnosti.

————————

“IT problem” postaje strateški problem

Iako kompanije sve češće priznaju obim problema koji narušavanje cyber sigurnosti predstavlja, ova tema ipak najčešće ostaje u pozadini samog poslovanja. Potencijalne akcije koje mogu preduzeti kako bi razvile sveobuhvatniji organizacijski pristup takozvanom menadžmentu cyber rizika uključuju osnovne korake kao što su oformljivanje posvećenog tima koji će se baviti upravljanjem cyber prijetnjama, zatim strategija vezana za cyber prijetnje koja će biti izvođena na izvršnom nivou kao dio same jezgre kompanijske strategije, fokusiran napor usmjeren ka automatizaciji i analitici kako bi se stvorila unutrašnja i vanjska transparentnost vezana za moguće rizike itd. No, generalno, ključ je u edukaciji svih zaposlenika o mogućim rizicima koje njihovi postupci mogu izazvati na radnom mjestu.

“Jurnjava za najnovijim alatima dio je upravljanja cyber rizicima, ali možda neće biti dovoljna; mi zaista moramo izmijeniti stav korisnika o ovom pitanju. Direktori bi trebali razmisliti o tome da se više napora usmjeri ka ljudima umjesto ka tehnologiji. I to ne znači da od korisnika tražite da klikne na pravni dogovor od 22 stranice koji potvrđuje njihovo razumijevanje korporativne sigurnosne politike. Umjesto toga, trebali bismo pokušati koristiti konciznost, ugađanje i ostale načine angažovanja kako bi korisnicima pomogli da razumiju izazove s kojima se kompanija susreće kada je riječ o sigurnosti i privatnosti te njihovoj ulozi u tome”, kaže Larry Quinlan, globalni informacijski direktor u Deloitteu.

Ukoliko se želi doskočiti hakerima, osim navedenog, saradnja vezana za IT sigurnost u sadašnjem vremenu morala bi se protezati i van granica kompanije. Tako bi one koje se bave finansijskim uslugama mogle imati velike koristi od gradnje veza unutar same industrije i razvoja javno-privatnog partnerstva. Kako bi se pripremile za potencijalnu ispomoć u toku hakerskog napada (tj. sigurnosne krize), kompanijama koje pružaju finansijske usluge savjetuje se da izgrade veze sa svojim kontaktima u ustanovama za provođenje zakona, advokatskim firmama koje se bave slučajevima vezanim za IT, različitim IT i PR stručnjacima. Tu također spadaju softverske i telekomunikacijske kompanije, ali i industrijska udruženja te vladine agencije. Ovo je potvrdio i Judd Gregg, bivši direktor SIFMA-e, rekavši: “Quantum Dawn 2 je dokazao da je dijeljenje informacija između privatnog sektora i vlade jedan od najefikasnijih načina za borbu protiv cyber kriminala.” Pridružio mu se i Ed Powers, nacionalni direktor u odjelu za cyber rizik u Deloitteu, koji je rekao: “Nerealno je očekivati da će u današnjem okruženju zaštitne mjere spriječiti sve cyber incidente. Finansijska industrija bi trebala nastaviti razvijati mogućnosti za otkrivanje incidenata čim se oni dogode, minimizirajući utjecaj na poslovnu i kritičnu infrastrukturu i povezujući ove mogućnosti u zajednički i sveobuhvatni okvir. Quantum Dawn (vježba tokom koje banke vježbaju odbranu od hakerskih napada) pomogao je učesnicima da razumiju ne samo potrebu da budu sigurni, nego da budu predostrožni i otporni u slučaju cyber prijetnji.”

Pet vjerodostojnih cyber prijetnji finansijskom sektoru

Iako su finansijske kompanije s vremenom postale zrelije kada je riječ o cyber sigurosti, broj sigurnosnih prijetnji se konstantno povećava, dovodeći do sve kompleksnijeg IT ekosistema s kojim čak i najveće sve teže izlaze na kraj. Tu ne pomaže ni činjenica da rade s veoma osjetljivim informacijama i podacima koji se na crnom tržištu mogu dobro unovčiti, zbog čega je ovaj tip kompanija pod još većom hakerskom lupom. Zato je od ključne važnosti da se prije bilo kakvog konkretnog djelovanja dobro razmisli o mogućim cyber prijetnjama i njihovim implikacijama.

IT sigurnosni rizici vezani za vaše partnere

Rizici po vašu cyber sigurnost koje proizvode partnerske kompanije poprilično su veliki, posebno ako je odgovor na pitanje imate li mogućnost konstantnog praćenja svakog saradnika s kojim sarađujete – negativan. Ukoliko to već nije slučaj, trebali biste pri saradnji sa svojim dobavljačima imati sistem za određivanje mjera za zaštitu od cyber prijetnji i taktika za zaštitu podataka. Preduzećima je neophodno da budu u stanju brzo identifikovati i po potrebi popraviti probleme do kojih je došlo, a posjedovanje alata koji će vam pomoći pri stalnom praćenju situacije donijet će vam prijeko potrebni mir kada su ove stvari u pitanju.

IT sigurnosni rizici vezani za klijente i saradnike vaših partnera

Ministarstvo finansijskih poslova u New Yorku provelo je 2015. godine istraživanje koje je pokazalo da veliki procent organizacija iz finansijskog sektora nije adekvatno nadzirao saradnike svojih partnerskih firmi. Nenadziranje sigurnosti klijenata i saradnika vašeg partnera predstavlja relevantan rizik po sigurnost. Na kraju krajeva, vi ne možete znati kakve bi posljedice mogle biti po vašu firmu i klijente ukoliko se, naprimjer, desi da saradnik vašeg partnera zbog napada ransomwareom bude offline neko vrijeme. Upravo zato bi vam od pomoći mogli biti alati za nadgledanje poput BitSighta, koji će vam pružiti nepristrasan uvid u podatke koji su vam neophodni.

DDoS napadi

U Verizonovom izvještaju o hakerskim napadima iz 2017. stoji da DDoS napadi predstavljaju nadolazeći veliki rizik po organizacije, što je sasvim jasno ako pogledamo jedan od najnovijih primjera. Naime, relativno mali DNS provajder bio je pogođen ovom vrstom napada, ali to je izazvalo velike prekide u radu velikih i svima dobro poznatih kompanija poput Amazona i PayPala. Istim napadom bio je zahvaćen i poznati sigurnosni blog Krebs on Security, pa se može reći da su upravo ovi, malo veći DDoS napadi, o kojima se naveliko raspravljalo u medijima, doprinijeli tome da se ovaj vid prijetnje dodatno istakne i naglasi.

Rizik po geografski rašireno poslovanje

Za finansijske organizacije koje rade širom svijeta IT sigurnosna prijetnja svakim danom sve više raste. Velike finansijske kompanije širom svijeta u svojim poslovnim centrima moraju razmotriti i imati u vidu dodatne rizike po sigurnost. Ako ovo opisuje vašu organizaciju, promislite o sljedećim pitanjima koja će vam pomoći u rješavanju potencijalnog sigurnosnog problema: da li se vaš sigurnosni rizik mijenja u zavisnosti od regiona i ako je odgovor pozitivan, na koji tačno način? Koliko ste u mogućnosti osigurati svoje mreže u različitim regionima svijeta? Ako se preduzeće širi, imate li dovoljno informacija da biste razumjeli kako će se rizik po vašu cyber sigurnost promijeniti? U kojim regionima posluju vaši saradnici, a u kojima njihovi saradnici?

Otvoreni portovi

Iako otvoreni portovi nisu opasni sami po sebi, situacija se mijenja kada se preko njih prenose osjetljive informacije. Tako je jedna od ključnih stvari prilikom WannaCry ransomware napada bio upravo otvoreni port 445. Kompanije koje se bave pružanjem finansijskih usluga imaju dosta toga za izgubiti ukoliko ne budu pažljive s otvorenim portovima na svojim mrežama ili mrežama svojih saradnika. Zato je, osim dobre mreže, važno imati i dobar plan za upravljanje portovima kako bi se smanjila mogućnost hakerskog napada.

Ako na ovu konstantnu borbu između korporacija i hakera gledamo kao na igru mačke i miša, u kojoj obje strane nastoje naučiti što više i doskočiti jedna drugoj, onda možemo zaključiti da miš (hakeri) nesumnjivo brže uči. Hoće li tako i ostati, ostaje da se vidi u bližoj budućnosti. Mi smo vam predstavili savjete vodećih IT stručnjaka koji bi vam mogli pomoći da se situacija u ovoj igri izmijeni u vašu korist.

Rast troškova neizbježan

Prema podacima kojima raspolaže Deloitte, mnoge finansijske kompanije se muče da postignu nivo zrelosti koji je neophodan ukoliko se žele suočiti s naprednim rizicima po IT sigurnost. Iako je tokom istraživanja 75% globalnih finansijskih kompanija smatralo da se njihov nivo zrelosti vezan za program IT sigurnosti nalazi na nivou 3 ili višem, samo 40% ispitanika bilo je čvrsto uvjereno da njihovi sistemi mogu preživjeti hakerski napad. Jasno je da će se finansijske kompanije suočiti s rastom troškova u pokušaju da se zaštite, a potrošnja se već povećala za 13 puta – na 292,4 miliona dolara po kompaniji za odbranu od 95% cyber napada.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *