Το κόστος που συνδέεται με τις ψηφιακές επιθέσεις στον χρηματοπιστωτικό τομέα αυξάνεται, καθώς οι οργανισμοί αντιμετωπίζουν ολοένα και πιο εξελιγμένες απειλές.
Νέα έρευνα από την Kaspersky Lab και τη B2B International φανερώνει την κλίμακα και τις επιπτώσεις των επιθέσεων, με τις χρηματοπιστωτικές εταιρείες να χάνουν περίπου ένα εκατομμύριο δολάρια (926.000) κατά μέσo όρο για κάθε περιστατικό ψηφιακής ασφάλειας που καλούνται να αντιμετωπίσουν.
Το εντυπωσιακό κόστος αποκαλύπτεται ως μέρος της Έρευνας Financial Institutions Security Risks 2016, στην οποία συμμετείχαν επαγγελματίες του χρηματοπιστωτικού τομέα και η οποία επισημαίνει τις κύριες προκλήσεις ασφάλειας των τραπεζών και των χρηματοπιστωτικών ιδρυμάτων σε όλο τον κόσμο, συμπεριλαμβανομένου και του οικονομικού κόστους συγκεκριμένων ψηφιακών επιθέσεων. Το πιο κοστοβόρο περιστατικό για τους χρηματοπιστωτικούς οργανισμούς είναι οι απειλές που εκμεταλλεύονται τα τρωτά σημεία των συστημάτων POS, περιπτώσεις κατά τις οποίες ένας οργανισμός χάνει τυπικά $2.086.000. Οι επιθέσεις στις φορητές συσκευές είναι οι δεύτερες πιο ζημιογόνες ($1.641.000), ακολουθούμενες από τις στοχευμένες επιθέσεις ($1.305.000).
Η συμμόρφωση είναι ο κύριος μοχλός αύξησης των επενδύσεων στον τομέα της ασφάλειας των πληροφοριακών συστημάτων τραπεζών και χρηματοπιστωτικών ιδρυμάτων. Ωστόσο, η έρευνα φανέρωσε ότι το 63% των οργανισμών πιστεύει ότι το να συμμορφώνεσαι δεν επαρκεί για να είσαι πραγματικά ασφαλής. Άλλος ένας σημαντικός λόγος για να επενδύουν περισσότερο στην ασφάλεια είναι η αυξημένη πολυπλοκότητα των υποδομών. Για παράδειγμα, μία μέση χρηματοπιστωτική εταιρεία υιοθετεί υποδομή virtual desktop (VDI) και διαχειρίζεται περίπου 10.000 τερματικές συσκευές χρηστών με περισσότερες από τις μισές να είναι smartphones και tablets.
Η ανεπαρκής εμπειρία στελεχών, οι οδηγίες από τα ανώτατα επίπεδα διοίκησης και η επιχειρηματική επέκταση συγκαταλέγονται επίσης στους κύριους λόγους αύξησης του προϋπολογισμού. Γενικότερα, το να επενδύσεις η στην ασφάλεια είναι αναπόφευκτο, για την πλειοψηφία των χρηματοπιστωτικών εταιρειών, καθώς το 83% αυτών αναμένει αύξηση στα ποσά που διατίθενται για την ασφάλεια των πληροφοριακών τους συστημάτων.
Ο Veniamin Levtsov, Αντιπρόεδρος, Enterprise Business της Kaspersky Lab, σχολίασε: «Λαμβάνοντας υπόψη τις σημαντικές χρηματικές απώλειες που προέρχονται από ψηφιακές επιθέσεις, δεν εκπλήσσει το γεγονός ότι οι χρηματοπιστωτικοί οργανισμοί εξετάζουν την αύξηση των δαπανών τους στην ασφάλεια. Πιστεύουμε ότι οι επιτυχημένες στρατηγικές ασφάλειας για τους χρηματοπιστωτικούς οργανισμούς βρίσκονται σε μία πιο ισορροπημένη προσέγγιση στην κατανομή των πόρων – όχι μόνο επενδύοντας στη συμμόρφωση, αλλά επενδύοντας επίσης περισσότερο στην προστασία από εξελιγμένες και καλά στοχευμένες επιθέσεις, δίνοντας περισσότερη προσοχή στην προσωπική ασφάλεια και λαμβάνοντας περισσότερη πληροφόρηση σχετικά με απειλές που έχουν στόχο τη βιομηχανία».
Η έρευνα δείχνει ότι οι χρηματοπιστωτικές εταιρείες προσπαθούν να αντιμετωπίσουν τις προκλήσεις στον τομέα της ασφάλειας, συλλέγοντας καταρχάς περισσότερες πληροφορίες σχετικά με αυτές τις απειλές και διεξάγοντας περισσότερους ελέγχους ασφάλειας, με το 73% να θεωρεί αυτό το μέτρο άκρως αποτελεσματικό. Ωστόσο, οι οργανισμοί του χρηματοπιστωτικού τομέα τείνουν να χρησιμοποιούν λιγότερο τις υπηρεσίες ασφάλειας από τρίτους προμηθευτές, δεδομένου ότι μόλις το 53% αντιλαμβάνεται την αποτελεσματικότητα αυτής της προσέγγισης.
Οι ειδικοί της Kaspersky Lab συνιστούν πέντε βασικές παραμέτρους για τις στρατηγικές ασφάλειας που υιοθετούν οι χρηματοπιστωτικοί οργανισμοί το 2017.
1. Προσοχή στις στοχευμένες επιθέσεις
Οι στοχευμένες επιθέσεις σε χρηματοπιστωτικούς οργανισμούς είναι πιθανό να πραγματοποιηθούν μέσω τρίτων ή εξωτερικών συνεργατών. Αυτές οι εταιρείες συχνά έχουν ασθενέστερη ή καθόλου προστασία και μπορούν να χρησιμοποιηθούν ως σημείο εισόδου για κακόβουλο λογισμικό ή για απόπειρα phising.
2. Μην υποτιμάτε τις λιγότερο εξελιγμένες απειλές
Οι απατεώνες μπορούν να χτυπήσουν μαζικά και να επωφεληθούν από την κλίμακα χρησιμοποιώντας τα πιο απλά εργαλεία. Η κοινωνική μηχανική μπορεί να συμβάλει στο 75% των περιστατικών απάτης, ενώ μόλις το 17% μπορεί να προκληθεί από κακόβουλο λογισμικό.
3. Μην επιλέγετε τη συμμόρφωση έναντι προστασίας
Οι προϋπολογισμοί διατίθενται συνήθως για λόγους συμμόρφωσης, αλλά η ενίσχυση της ασφάλειας και η εισαγωγή νέων τεχνολογιών προστασίας απαιτεί μια πιο ισορροπημένη προσέγγιση στην κατανομή των πόρων.
4. Πραγματοποιείτε τακτικά δοκιμές διείσδυσης κακόβουλου λογισμικού
Τα αόρατα τρωτά σημεία είναι πραγματικά παρόλα αυτά. Με την εφαρμογή εξελιγμένων εργαλείων ανίχνευσης και δοκιμών διείσδυσης θα προκύψουν τρωτά σημεία και περιστατικά. Βεβαιωθείτε ότι έχετε τα μάτια σας δεκατέσσερα σε όλες τις αδυναμίες και τις απειλές - πριν να είναι πολύ αργά.
5. Δώστε προσοχή στις απειλές εμπιστευτικών πληροφοριών
Οι εργαζόμενοι μπορούν να πέσουν θύματα εκμετάλλευσης από ψηφιακούς εγκληματίες ή να αποφασίσουν να γίνουν οι ίδιοι. Οι αποτελεσματικές στρατηγικές ασφάλειας πρέπει να υπερβαίνουν την περιμετρική προστασία, ώστε να συμπεριλαμβάνουν τεχνικές που μπορούν να ανιχνεύσουν ύποπτες ενέργειες εντός των οργανισμών.