FS-ISAC plaatst risico van derden (TPR) in de top drie van cyberbeveiligingsrisico's voor 2021. Het stelt dat 'leveranciers aan financiële ondernemingen lucratieve doelen zullen blijven voor dreigingsactoren', citeert JR Manes, Global Head of Cyber ​​Intelligence bij HSBC:"Organisaties die grondige verdediging toepassen met meerlagige controles zijn nog steeds kwetsbaar voor grootschalige en zelfs systemische problemen via externe leveranciers."

Een van de meest bekende aanvallen op de toeleveringsketen vond plaats in december 2020. Aanvallers die aan Rusland gelinkt zijn, hebben de monitoringsoftware van SolarWinds gecompromitteerd, die wordt gebruikt door duizenden bedrijven en overheidsinstanties. Aanvallers verstopten zich maandenlang in de systemen van bedrijven en stalen waardevolle zakelijke IP.

Cloudserviceproviders, managed service-beveiligingsproviders en andere derde partijen die kritieke services leveren voor meerdere waardevolle klanten, zoals API-integratie voor Open Banking-initiatieven, zullen lucratieve doelen blijven voor bedreigingsactoren. Het kan gaan om het stelen van gegevens, geld of toegang krijgen tot systemen.

Niet alle banken verwerken in eigen huis:veel diensten zoals internetbankieren, beleggen, mobiele applicaties en websites besteden ze uit. Ten slotte, gezien de evolutie van de wereldwijde regelgeving inzake gegevensprivacy die de VS nu per staat treft, zullen banken nog ijveriger moeten zijn met hun leveranciers dan voorheen.

Word cyberweerbaar
Operationele veerkracht is de sleutel. Wanneer er inbreuken plaatsvinden (niet als), is het van cruciaal belang om zo snel mogelijk effectief te reageren. Er moeten rampenherstelplannen na de inbreuk zijn – en geoefend – om schade te beperken. U kunt echter ook vooruit plannen:

• Ontwikkel scenario's voor penetratietesten, zowel extern als intern, die een serieuze impact op het bedrijf zullen hebben.
• Zorg ervoor dat de basis goed is - zorg er bijvoorbeeld voor dat alle systemen voor 100% zijn gepatcht.
• Consolideer uw beveiligingshulpmiddelen:Gartner schat dat tier 1-banken 100+ hebben en tier 2 20-45, wat veel te veel is.
• Houd eerst uw verdedigingslinies gescheiden, eerst operationeel, dan risicobeheer en daarna interne audit. Deze drie gebieden zijn afzonderlijke rollen in tier 1-banken, maar ze hebben de neiging om elkaar te overlappen in lagere tiers.
• Om complexiteit te voorkomen, moeten leveranciers worden geconsolideerd rond cloudbeveiliging, ID/toegangsbeheer, beveiligingsanalyses en detectie van bedreigingen
• Focus op gegevensbescherming en overdraagbaarheid:de AVG heeft een aanzienlijke impact gehad op banken en er zijn nog steeds problemen rond privacy versus beveiliging (bijvoorbeeld op gebieden zoals toestemmingsbeheer)
• Breng een identiteitsperimeter tot stand die gecentraliseerde, effectieve controle biedt over uitgestrekte digitale omgevingen
• Bied investerings-ROI:uw risicoprofiel zou moeten dalen na cyberinvestering.

Mogelijk wilt u specifieke cloudbeveiligingsbeoordelingen uitvoeren. Een Amerikaanse kredietvereniging wilde AI en Machine Learning toepassen om hun leden proactief aanbiedingen te doen voor hun financiële behoeften. We hebben een set schaalbare, herhaalbare processen gecreëerd om een ​​veilige cloudomgeving op te zetten die dit ondersteunt, gebaseerd op Microsoft Azure, voor gebruik in volgende productieomgevingen. Dit zorgde er niet alleen voor dat beveiliging een business enabler voor de klant werd, maar versterkte ook hun vertrouwen dat deze omgeving zou voldoen aan de beveiligingsvereisten voor hun audit in de financiële dienstverlening of deze zelfs zou overtreffen.

Begin hier voor een compleet beeld van uw cyberbeveiligingslandschap.