Jak systematyzacja cyberbezpiecze艅stwa zmienia dzisiejsze instytucje finansowe

Jak systematyzacja cyberbezpiecze艅stwa zmienia dzisiejsze instytucje finansowe

Cyberataki to dzi艣 globalna epidemia. Celuj膮 w organizacje, infrastruktur臋 krytyczn膮 i rz膮dy na ca艂ym 艣wiecie, przeprowadzaj膮c wyrafinowane ataki na czas. Przyk艂adami tego s膮 ataki ransomware, takie jak Petya i WannaCry. Na chwil臋 wstrzymuj膮 one niekt贸re z najwa偶niejszych funkcji na 艣wiecie.

Innym przyk艂adem by艂o naruszenie danych Equifax, kt贸re dotkn臋艂o oko艂o 143 milion贸w Amerykan贸w. Przy ci膮g艂ych atakach wielu ludzi uwa偶a, 偶e 鈥嬧媎o 2021 roku cyberprzest臋pczo艣膰 spowoduje szkody w wysoko艣ci 6 bilion贸w dolar贸w.

Co kryje si臋 dzi艣 za dzia艂alno艣ci膮 cyberprzest臋pc贸w

Wi臋kszo艣膰 cyberprzest臋pc贸w motywuje nagrody pieni臋偶ne. Dzi臋ki atakom ransomware cyberprzest臋pcy atakuj膮 infrastruktur臋 krytyczn膮 i organizacje opieki zdrowotnej, zatrzymuj膮c swoje dane do momentu zap艂aty. Istniej膮 r贸wnie偶 cyberprzest臋pcy, kt贸rzy kradn膮 Twoje dane osobowe (PII), w tym dane finansowe. Wielu cyberprzest臋pc贸w sprzedaje te informacje w ciemnej sieci, gdzie kupuj膮cy wykorzystuj膮 je do kradzie偶y to偶samo艣ci i oszustw podatkowych. Oczywi艣cie te rzeczy maj膮 d艂ugoterminowe skutki, poniewa偶 zmiana danych osobowych nie jest 艂atwa. Trudno jest r贸wnie偶 wy艣ledzi膰 jego niew艂a艣ciwe u偶ycie po naruszeniu.

W zasi臋gu wzroku nie ma ko艅ca tym atakom i wyrwom. W rzeczywisto艣ci CSO Online twierdzi, 偶e ludzie w ko艅cu zaczynaj膮 zdawa膰 sobie spraw臋, 偶e dzi艣 nikt nie jest odporny na wsp贸艂czesne cyberataki. Jednak mo偶na wiele zrobi膰, aby chroni膰 krytyczne zasoby i sektory rynku. Dlatego wdra偶ane s膮 nowe przepisy w Europie, Azji, Wielkiej Brytanii i Stanach Zjednoczonych. Zapewni膮 one odpowiednie 艣rodki bezpiecze艅stwa w celu ochrony cennych danych.

Najnowsze przepisy dotycz膮ce cyberbezpiecze艅stwa

Firmy 艣wiadcz膮ce us艂ugi finansowe, kt贸re dzia艂aj膮 na skal臋 globaln膮, musz膮 by膰 艣wiadome nowych przepis贸w dotycz膮cych cyberbezpiecze艅stwa i ich wp艂ywu. Tylko w ten spos贸b mog膮 porusza膰 si臋 po regu艂ach dotycz膮cych danych i zachowa膰 ich zgodno艣膰 – zw艂aszcza podczas prowadzenia dzia艂alno艣ci za granic膮. Obecnie przestrzeganie przepis贸w jest czym艣, czego nie mo偶na przeoczy膰, poniewa偶 kara za nieprzestrzeganie zazwyczaj obejmuje wysokie grzywny. Maj膮c to na uwadze, oto niekt贸re z ostatnio zaproponowanych lub wdro偶onych przepis贸w dotycz膮cych cyberbezpiecze艅stwa w sektorze us艂ug finansowych:

Chiny nak艂adaj膮 dodatkowe wymagania na bezpiecze艅stwo sieci i system贸w w nadziei na lepsze dostosowanie si臋 do bran偶owych i 艣wiatowych standard贸w cyberbezpiecze艅stwa. Wp艂ywa bezpo艣rednio na sektor us艂ug finansowych, poniewa偶 jest to krytyczna infrastruktura informacyjna (CII) – sektor, w kt贸rym naruszenie danych zagrozi艂oby bezpiecze艅stwu narodowemu lub dobru publicznemu. Zgodnie z tym prawem organy musz膮 mie膰 dost臋p do danych na 偶膮danie. Firmy 艣wiadcz膮ce us艂ugi finansowe musz膮 r贸wnie偶 wykaza膰, 偶e ich infrastruktura IT spe艂nia okre艣lone specyfikacje i mo偶e przej艣膰 standardowe testy i certyfikaty cyberbezpiecze艅stwa. Musz膮 r贸wnie偶 przechowywa膰 wszelkie zebrane dane dotycz膮ce obywateli Chin na serwerach w granicach kraju – nie mo偶na ich przenie艣膰 za granic臋 bez pozwolenia. Niezastosowanie si臋 i nieprzestrzeganie wszelkich niezb臋dnych 艣rodk贸w bezpiecze艅stwa cybernetycznego mo偶e skutkowa膰 zarzutami karnymi i grzywnami w wysoko艣ci do 1 miliona juan贸w (nieco ponad 150000 USD). Singapur pracuje nad now膮 ustaw膮 o cyberbezpiecze艅stwie, kt贸ra wci膮偶 musi przej艣膰 przez ich parlament. To jak chi艅skie prawo dotycz膮ce cyberbezpiecze艅stwa, poniewa偶 b臋dzie mia艂o wi臋ksz膮 widoczno艣膰 i autorytet w zakresie wykorzystywania, przetwarzania i przechowywania danych. Ustawa nak艂ada na s艂u偶by finansowe obowi膮zek zg艂aszania Rzecznika ds. Cyberbezpiecze艅stwa wszelkich incydent贸w cybernetycznych lub modyfikacji projektu systemu lub zabezpiecze艅. Brak zgodno艣ci mo偶e skutkowa膰 grzywnami w wysoko艣ci do 100 000 USD lub do 10 lat wi臋zienia. Unia Europejska d膮偶y do przywr贸cenia obywatelom Europy odpowiedzialno艣ci za swoje dane. Zgodnie z tym prawem konsumenci musz膮 teraz aktywnie wyra偶a膰 zgod臋 przedsi臋biorcom, kt贸rzy chc膮 przetwarza膰 ich dane, a tak偶e mog膮 w ka偶dej chwili wycofa膰 zgod臋 lub za偶膮da膰 przeniesienia swoich danych do innych organizacji. Ustawa oferuje r贸wnie偶 鈥濸rawo do bycia zapomnianym鈥, co oznacza, 偶e 鈥嬧媜bywatele mog膮 za偶膮da膰 ca艂kowitego usuni臋cia swoich danych lub w og贸le ich nie przetwarza膰. Dotyczy to nie tylko organizacji w Europie, ale tak偶e wszystkich organizacji, kt贸re przetwarzaj膮 i przechowuj膮 dane obywateli europejskich, niezale偶nie od tego, gdzie fizycznie si臋 znajduj膮. Nieprzestrzeganie mo偶e skutkowa膰 karami w wysoko艣ci 10鈥20 mln EUR lub 2鈥4% 艣wiatowego rocznego obrotu, w zale偶no艣ci od tego, kt贸ra z tych kwot jest wy偶sza w zale偶no艣ci od stopnia naruszenia. Wielka Brytania b臋dzie r贸wnie偶 uczestniczy膰 w prawie Unii Europejskiej, mimo 偶e opuszcza Uni臋 Europejsk膮. Jednak wprowadzaj膮 drobne zmiany w sposobie zwracania si臋 do dziennikarzy i naukowc贸w. Stany Zjednoczone r贸wnie偶 coraz bardziej koncentruj膮 si臋 na cyberbezpiecze艅stwie, zar贸wno na poziomie stanowym, jak i krajowym. Przepisy dotycz膮ce cyberbezpiecze艅stwa Departamentu Us艂ug Finansowych w Nowym Jorku (DFS) 23 NYCRR 500 nak艂adaj膮 na banki nowojorskie 72 godziny na zg艂aszanie wszelkich incydent贸w cybernetycznych, kt贸re mog膮 naruszy膰 dane, w tym zak艂贸cenia spowodowane przez oprogramowanie ransomware lub ataki DDoS. Banki s膮 r贸wnie偶 zobowi膮zane do posiadania solidnego planu cyberbezpiecze艅stwa i zatrudniania kogo艣, kto nadzoruje ich procesy i konserwacj臋.

Utrzymanie zgodno艣ci na ca艂ym 艣wiecie

Brak zgodno艣ci z nowymi przepisami wi膮偶e si臋 z powa偶nymi konsekwencjami finansowymi i biznesowymi. Firmy 艣wiadcz膮ce us艂ugi finansowe musz膮 dokona膰 przegl膮du ka偶dego z tych nowych przepis贸w, aby zapewni膰 zgodno艣膰 i spos贸b, w jaki wp艂ynie to na ich organizacj臋. Potrzebuj膮 r贸wnie偶 czasu, aby zrozumie膰, 偶e korzystanie z oprogramowania antywirusowego typu open source mo偶e chroni膰 dane przed wszelkiego rodzaju naruszeniami. Oczywi艣cie wa偶ne jest, aby zrozumie膰, 偶e ka偶de prawo wymaga od organizacji finansowych podj臋cia r贸偶nych 艣rodk贸w bezpiecze艅stwa cybernetycznego, ale 艣rodki te b臋d膮 cenne dla ka偶dego.

Przeprowadzenie oceny cyberzagro偶e艅 (CTA) daje firmom 艣wiadcz膮cym us艂ugi finansowe dog艂臋bne spojrzenie na protok贸艂 bezpiecze艅stwa, kt贸ry ju偶 stosuj膮. Zobacz膮 r贸wnie偶, w jakich obszarach s膮 zagro偶one. To daje im szans臋 na wprowadzenie zmian w zabezpieczeniach i zademonstrowanie organom regulacyjnym, 偶e priorytetowo traktuj膮 bezpiecze艅stwo i zgodno艣膰.

Obecnie wa偶ne jest, aby firmy 艣wiadcz膮ce us艂ugi finansowe przyj臋艂y architektoniczne podej艣cie do bezpiecze艅stwa. Zapewnia im to lepsz膮 widoczno艣膰 danych w 艣rodowiskach rozproszonych. Przepisy r贸wnie偶 stale si臋 rozwijaj膮. Wymaga to terminowego udost臋pniania danych konsumentom i organom regulacyjnym. Po艂膮czenie tych rzeczy jest integraln膮 cz臋艣ci膮 zgodno艣ci. Infrastruktura informatyczna i bezpiecze艅stwa musi si臋 dostosowywa膰 i zmienia膰, aby nad膮偶y膰 za tymi wszystkimi rzeczami, dzi臋ki czemu widoczno艣膰 danych jest dzi艣 kluczowa.

Peter Davidson pracuje jako starszy wsp贸lnik biznesowy, pomagaj膮c markom i start-upom w podejmowaniu skutecznych decyzji biznesowych i planowaniu w艂a艣ciwych strategii biznesowych. Jest wielkim maniakiem gad偶et贸w, kt贸ry uwielbia dzieli膰 si臋 swoimi pogl膮dami na temat najnowszych technologii i aplikacji.