Stulbinami skaičiai pateikiami finansų specialistų atliktame 2016 m. finansų įstaigų saugumo rizikos tyrime, kuriame nagrinėjami pagrindiniai viso pasaulio bankų ir finansinių institucijų saugumo iššūkiai ir konkrečių kibernetinių išpuolių finansinės išlaidos. Daugiausia išlaidų finansų organizacijoms sukeliantys incidentai – grėsmės, kad bus išnaudotas „Point-of-Sale“ (POS) sistemų pažeidžiamumas, kai organizacija paprastai praranda 2 086 000 JAV dolerių. Išpuoliai prieš mobiliuosius įrenginius yra antroje vietoje (1 641 000 JAV dolerių), trečioje – tiksliniai išpuoliai (1 305 000 JAV dolerių).
Reikalavimų atitiktis yra pagrindinis veiksnys didinant investicijas į bankų ir finansų institucijų IT saugumą. Tačiau tyrimas parodė, kad 63 proc. organizacijų mano, jog reikalavimų atitikties nepakanka norint būti saugiems. Kita svarbi priežastis daugiau investuoti į saugumą – nepaliaujamai augantis infrastruktūros sudėtingumas. Pavyzdžiui, vidutinė finansų įmonė priima virtualią darbalaukio infrastruktūrą ir valdo apie 10 tūkst. naudotojų prietaisų, iš kurių maždaug pusė yra išmanieji telefonai ir planšetiniai kompiuteriai.
Tyrimas rodo, kad finansų įmonės siekia spręsti saugumo problemas gaudamos daugiau žinių apie grėsmes ir atlikdamos saugumo auditą. 73 proc. šią priemonę laiko veiksminga. Tačiau finansų sektoriaus organizacijos yra mažiau linkusios pasinaudoti trečiosios šalies saugumo paslaugomis, tik 53 proc. apklaustųjų mano, kad tai veiksmingas metodas.
Vienos iš tyrimo autorių, kibernetinio saugumo bendrovės „Kaspersky Lab“, ekspertai rekomenduoja penkis pagrindinius 2017 m. finansinių organizacijų saugumo strategijų aspektus:
1. Žinokite apie tikslinius išpuolius
Tiksliniai išpuoliai prieš finansų organizacijas gali būti rengiami per trečiąsias šalis arba rangovus. Šios įmonės dažnai gali turėti silpnesnę arba neturėti jokios apsaugos, gali būti naudojamos kaip kenkėjiškų programų platinimo arba bandymų sukčiauti įrankis.
2. Nenuvertinkite paprastesnių grėsmių
Sukčiai gali masiškai smogti ir iš to pasipelnyti, taikydami paprasčiausius įrankius. Socialinė inžinerija gali prisidėti prie 75 proc. sukčiavimo incidentų, tik 17 proc. incidentų sukelia kenkėjiškos programos.
3. Saugumo niekada nebus per daug
Biudžetai paprastai skirstomi siekiant, kad saugumas atitiktų reikalavimus, bet saugumo stiprinimas ir naujų apsaugos technologijų diegimas reikalauja labiau subalansuoto požiūrio į išteklių paskirstymą.
4. Reguliariai atlikite skverbties bandymus
Nematyti pažeidžiamumai – realybė. Atsirandant sudėtingiems aptikimo įrankiams ir atliekant skverbties bandymus, pažeidžiamumų ir incidentų daugės. Atidžiai stebėkite visas pažeidžiamas vietas ir grėsmes, nes gali būti per vėlu.
5. Atkreipkite dėmesį į viešai neatskleistas grėsmes
Darbuotojai gali būti išnaudojami kibernetinių nusikaltėlių arba gali nuspręsti jais tapti. Veiksmingos saugumo strategijos turėtų peržengti perimetro apsaugą ir apimti metodus, galinčius aptikti įtartiną veiklą organizacijose.
Plačiau apie šį tyrimą – „Kaspersky Lab“ tinklaraštyje.
