Основные результаты исследования 2015 года «Глобальное состояние информационной безопасности» в сфере финансовых услуг

информационная безопасность

Для большинства руководителей компаний, предоставляющих финансовые услуги, не стал неожиданностью факт роста числа инцидентов, связанных с информационной безопасностью и рост вызванных ими убытков. В последние два года изощренные злоумышленники по всему миру провели против банков мощные кибер атаки, связанные с распределенным отказом от обслуживания (DDoS). В результате этих атак с депозитных счетов были сняты миллиарды долларов, украдены миллионы записей о платежных картах, и имело место проникновение во многие национальные фондовые биржи. Несмотря на это, многие глобальные финансовые компании не внедряли процессы и технологии, чтобы предотвращать, обнаруживать и реагировать на риски в сфере информационной безопасности. В частности, многие из них не уделяют должного внимания угрозам от третьих лиц, и со стороны таких инсайдеров, как собственные сотрудники и партнеры, имеющие доверенный доступ. Другие компании вовсе пренебрегают основными базовыми руководствами, рабочими процессами, и способностями людей, позволяющими быстро обнаруживать компрометацию информации и реагировать на нее.

По мере того, как регуляторы по всему миру ужесточают требования к организациям, предоставляющим финансовые услуги, все более важными становятся совершенствование методов обеспечения информационной безопасности (далее ИБ).

«Международные фирмы, предоставляющие финансовые услуги, находятся под угрозой больших рисков, чем когда-либо ранее, и по всем оценкам эти угрозы будут только расти
— говорит Джо Носера (Joe Nocera), руководитель кибер безопасности компании PwC.
Именно поэтому глобальные организации должны отдавать предпочтения инвестициям в безопасность наиболее важных бизнес активов. В этом случае они могут осуществлять стратегическое инвестирование в правильные комбинации процессов безопасности, технологий, а также осведомленность и подготовку персонала. В сегодняшнем мире не важно, произойдет ли инцидент. Важно, когда он произойдет, и компании должны быть готовы отреагировать на него»
.

Другими словами, уже невозможно защитить все данные, сети и приложения на самом высоком уровне, но профилактическая программа информационной безопасности позволит компаниям, осуществляющим финансовые услуги, повысить уровень безопасности, и быстрее реагировать на неизбежные инциденты.

Обнаруженные инциденты демонстрируют стабильный рост


Исследование 2015 года «Глобальное состояние информационной безопасности» (GSISS), в котором приняли участие 758 глобальных финансовых организаций, показывает, что по сравнению с 2013 годом количество обнаруженных инцидентов безопасности в этом году возросло на 8%.
информационная безопасность 2015

Потери, связанные с инцидентами безопасности, подскочили на 24%, и первое место занимают инциденты, которые принесли крупные убытки. Отдельный ряд финансовых фирм сообщает о росте убытков за прошедший год от 10 до 19.9 миллиона долларов, демонстрируя невероятный рост на 141% за прошедший год.

Источники атак
убытки от кибер атак

В то время как количество инцидентов безопасности и убытки от них продолжают расти, расходы на обеспечение информационной безопасности отстают, особенно среди менее крупного бизнеса.
бюджет на информационную безопасность 1
бюджет на информационную безопасность 2

В глобальном масштабе расходы на информационную безопасность увеличились на 3% по сравнению с предшествующим годом. И хотя финансовые фирмы инвестируют больше, чем в последние годы, затраты на обеспечение безопасности остановились на уровне, не превышающим 4% от общего бюджета информационных технологий за последние семь лет.
Из-за недостатка инвестиций, многие финансовые фирмы не успевают применять современные процессы и инструменты для обнаружения развивающихся в наше время угроз безопасности и реагирования на них. Из года в год мы наблюдаем недостаток прогресса — а в ряде случаев и значительное торможение – в использовании безопасных средств управления доступом, оценок риска и уязвимости, мониторинга и анализа угроз, средств защиты от третьих лиц, осведомлении и подготовке персонала, и многого другого. Бреши в безопасности поражают не только итоговые показатели финансовых институтов, но и их репутацию, бренд и интеллектуальную собственность.

«Руководители компаний не должны больше позволять себе рассматривать информационную безопасность, как рядовую технологическую проблему
— говорит исполнительный директор PwC, Стивен Расселл.
Затраты на защиту от кибер угроз резко возросли, и регуляторы теперь обращают внимание на то, насколько хорошо финансовые организации защищаются от этих угроз»
.

Падение в обеспечении безопасности
падение в ИБ

Поддержка топ-менеджмента


Информационная безопасность больше не является предметом беспокойства исключительно департамента IT. Сегодня это критический для всего бизнеса вопрос, требующий внимания и активного контроля со стороны CEO и совета директоров. Чтобы быть эффективной, информационная безопасность должна быть интегрирована в общую структуру управления рисками предприятия, и CEO вместе с советом директоров должны нести, или как минимум разделять, ответственность за состояние информационной безопасности.

«Мы считаем организации кибер устойчивыми, если они обладают всесторонней, хорошо продуманной программой управления кибер рисками, и их руководство несет ответственность за действия и результаты такой программы»
— говорит Стивен Расселл, исполнительный директор PwC.

Высшее руководство должно установить строгую культуру информационной безопасности, создав соответствующий этический кодекс. Чтобы добиться этого, руководству необходимо активно доносить информацию о важности безопасности до всех сотрудников. Такая практика реализована у 71% финансовых компаний, которые принимали участие в исследовании. Помимо этого, совет директоров должен участвовать в обсуждении рисков информационной безопасности и управления ими. Участие правления является жизненно важным для достижения соответствующих решений по уровню кибер рисков, которые готова принять организация, и для выработки на основе этих решений процедур реагирования на инциденты. Такая вовлеченность правления может стать ключевым фактором адекватного финансирования информационной безопасности — чего большинство финансовых фирм не обеспечивают. Только 44% респондентов сообщили, что их высшее руководство вовлечено в формирование бюджета информационной безопасности.
Система информационной безопасности, основанная на управлении рисками, потребует тесного взаимодействия между руководителями департаментов IT, безопасности, юридической поддержки, управления рисками, финансов и трудовых ресурсов. Такая группа должна встречаться на регулярной основе для координации и распространения информации по вопросам безопасности. Эту практику используют 56% финансовых организаций, принявших участие в исследовании.
Но большинство фирм на самом деле не делают этого. Мы просили участников исследования представить подробную информацию о вовлеченности руководства их фирм в инициативы, связанные с кибернетической безопасностью. И ответы говорят сами за себя. Только треть (33%) респондентов сообщили, что их руководство участвует в рассмотрении рисков безопасности и конфиденциальности. Это крайне малая величина с учетом осведомленности корпоративного сектора о важности информационной безопасности.

Участие руководства в обеспечении информационной безопасности
вовлеченность правления в информационную безопасность

Регуляторы ужесточают правила


Недавние шаги, предпринятые финансовыми регуляторами в США и ЕС, говорят о том, что они могут требовать доказательств реализации финансовыми фирмами надежных программ безопасности. Требования и правила такого типа в будущем, скорее всего, будут только ужесточаться.

Рассмотрим, например, общие нормы по защите данных Европейского союза, которые находятся в процессе подготовки, и будут завершены в 2015 году. Эти правила, как ожидается, добавят новые требования по информированию третьих лиц о наличии брешей в защите, потребуют от организаций, обрабатывающих персональные данные, выполнять оценки рисков и проводить аудиты, а также увеличат размеры штрафов за компрометацию бизнеса с 2 до 5 процентов от годового оборота. Другие регулятивные органы сообщили о своих намерениях тестирования финансовых организаций на предмет рисков уязвимости, а также политики и процедур снижения рисков.

Что нужно для прохождения теста:
— процесс реакции и управления инцидентами;
— план сохранения непрерывности бизнеса и восстановления после атак;
— разработка мер управления безопасным доступом;
— оценка угроз;
— доступ привилегированных пользователей;
— средства управления внесения исправлений;
— средства корреляции событий, связанных с безопасностью;
— наличие страхования от кибер рисков;
— программы подготовки и осведомления персонала по вопросам безопасности;
— шифрование смартфонов.

Комиссия США по ценным бумагам и биржевым операциям (SEC) предполагает, что фирмы, оказывающие финансовые услуги, должны серьезно рассмотреть инвестиции в кибер страхование. Фактически, Комиссия включила кибер страхование в список возможных факторов, которые могут использоваться при проведении теста. Более того, в SEC пошли еще дальше, отмечая, что фирмы, предоставляющие финансовые услуги, должны быть готовы к проведению теста для фактической проверки их готовности. Другим словами, традиционное определение соответствия требованиями регулятора путем простановки галочек в перечне требований более не является достаточным.

Фирмы должны больше ориентироваться на стратегические вопросы потому что, в ближайшем будущем, регуляторы могут потребовать еще большего ужесточения требований к информационной безопасности. Многие финансовые фирмы, использующие в качестве руководства готовые промышленные системы безопасности, такие как ISO 27001 или NIST Cybersecurity Framework, вряд ли смогут сдать тесты по ИБ. Для этого потребуется, чтобы финансовая фирма выстроила продуманную, основанную на управлении рисками систему информационной безопасности, в состав которой входят:
— культура ИБ, исходящая от CEO и правления;
— регулярное тестирование плана реагирования на инциденты;
— оценка и мониторинг рисков безопасности, выполняемые независимыми организациями;
— современные методы анализа угроз и понимание угроз, специфичных для бизнеса;
— оценка роли кибер страхования;
— основные фундаментальные принципы безопасности, такие как четкие процессы организационного управления, и программа непрерывного информирования персонала.

Регуляторы могут также ожидать, что организации, предоставляющие финансовые услуги, будут обмениваться информацией об угрозах, как внутри организации, так и с частными или принадлежащими к общественному сектору партнерами. Многие финансовые фирмы во всем мире уже участвуют в работе Центра обмена и анализа информации операторов финансовых услуг (FS ISAC), созданного в 1999 году.

Такие совместные действия косвенно приводят к новому уровню подготовленности в вопросах безопасности, включая отраслевые тесты, имитирующие кибер атаки на финансовые институты, и позволяющие их участникам совместно работать, обмениваясь тактикой реагирования на них. Выход за границы организации с целью обмена такими данными об угрозах и информации о реагировании на них, является эффективным способом укрепления безопасности. Эта инициатива может учитываться регуляторами при будущих тестах безопасности финансовых фирм.

Среди респондентов опроса 62% заявили, что они работают совместно с другими организациями для повышения уровня безопасности. По сравнению с прошлым годом в этом направлении имеет место значительный рост (55%).

ПРОДОЛЖЕНИЕ СЛЕДУЕТ… (подписывайтесь на блог или наши соц.сети, ссылки на них в «подвале» сайта)