Skip to main content
Artykuł

Zarządzanie zagrożeniami dla bezpieczeństwa cybernetycznego instytucji finansowych

Financial, Executive and Professional Risks (FINEX)|Cyber Risk Management
N/A

Podpis Hollie Mortlock i Lara McGurk | maj 4, 2022

Skoro praca online ma być kontynuowana w roku 2022, jak instytucje finansowe mogą najlepiej zarządzać zagrożeniami dla bezpieczeństwa cybernetycznego?

Podczas gdy w wielu firmach przyjął się hybrydowy model pracy, instytucje finansowe mogą być narażone na zagrożenie atakami przestępców działających w cyberprzestrzeni, chcących wykorzystać nasz internetowy styl życia. W miarę jak przedłuża się wojna w Ukrainie, nie wiadomo jeszcze czy na horyzoncie nie pojawią się kolejne cyberataki.

Zdarzenia związane z bezpieczeństwem danych – sektor finansowy

Najnowsze statystyki dotyczące naruszenia bezpieczeństwa danych z ICO (urzędu komisarza ds. informacji - Information Commissioner's Office – Wielka Brytania) za trzeci kwartał 2021/20221 potwierdziły, że liczba zdarzeń związanych z bezpieczeństwem danych wyniosła 1852. Choć jest to mniejsza liczba niż w poprzednim kwartale (poprzednio było ich 2593), nadal nie wiadomo, jak sytuacja będzie wyglądać pod koniec kolejnego kwartału, jeśli dojdzie do zwiększonej aktywności w cyberprzestrzeni w związku z inwazją Rosji na Ukrainę.

ICO zalicza przypadki naruszenia bezpieczeństwa danych do kategorii „incydentów poza zakresem bezpieczeństwa cybernetycznego” oraz „incydentów w zakresie bezpieczeństwa cybernetycznego”:

  • Incydenty poza zakresem bezpieczeństwa cybernetycznego: pojawiają się w wyniku błędu ludzkiego i zalicza się do nich wysłanie danych emailem, pocztą lub faxem do błędnego odbiorcy, zaniechanie zakrycia danych oraz utratę lub kradzież dokumentów papierowych lub danych pozostawionych w niezabezpieczonej lokalizacji.
  • Incydenty w zakresie bezpieczeństwa cybernetycznego: pojawiają się w wyniku cyberataku i zalicza się do nich programy typu ransomware, wiadomości typu phishing, ataki programami malware i nieupoważniony dostęp.

Najpowszechniejsze wykryte zdarzenia poza zakresem bezpieczeństwa cybernetycznego – sektor finansowy

Incydenty poza zakresem bezpieczeństwa cybernetycznego to około 70% ogółu naruszeń bezpieczeństwa wykrytych w trzecim kwartale roku finansowego 2021/2022. Tego typu naruszenia bezpieczeństwa pojawiają się w wyniku błędu ludzkiego często dlatego, że pracownicy działają pod skrajną presją lub mają krótkie terminy i nie przywiązują dostatecznej uwagi do szczegółów.

Incydenty poza zakresem bezpieczeństwa cybernetycznego stanowiły około 70%

Poniższa tabela przedstawia dane ukazujące dwie najważniejsze przyczyny naruszenia poza zakresem bezpieczeństwa cybernetycznego zgłoszonych do ICO w sektorze finansowym za kwartał 2 i 3 roku 2021/2022:

Porównanie naruszeń poza zakresem bezpieczeństwa cybernetycznego w sektorze finansowym

Dane ukazujące dwie najczęstsze przyczyny naruszeń poza zakresem bezpieczeństwa cybernetycznego w drugim i trzecim kwartale 2021r.
Q2: 1 lipca 2021 do 30 września 2021 Q3: 1 października 2021 do 31 grudnia 2021
Dane przesłane emailem do błędnego odbiorcy 33 z 259 42 z 185
Dane wysłane pocztą/faxem do błędnego odbiorcy 23 z 259 23 z 185

Najpowszechniejsze wykryte zdarzenia poza w zakresie bezpieczeństwa cybernetycznego – sektor finansowy

Incydenty w zakresie bezpieczeństwa cybernetycznego zgłoszone do ICO4 wynosiły 29% wszystkich naruszeń bezpieczeństwa zgłoszonych ICO przez sektor finansowy, a najpowszechniejszą ich przyczyną były ataki ransomware (35%), oraz ataki typu phishing (33%).

Incydenty z zakresu bezpieczeństwa cybernetycznego zgłoszone do ICO4 wyniosły 29%

Poniższa tabela przedstawia dane ukazujące dwie najważniejsze przyczyny naruszenia z zakresu bezpieczeństwa cybernetycznego zgłoszonych do ICO w sektorze finansowym za kwartał 3 roku 2021/2022 w porównaniu z kwartałem 2:

Porównanie naruszeń z zakresu bezpieczeństwa cybernetycznego

Dane ukazujące dwie najczęstsze przyczyny naruszeń z zakresu bezpieczeństwa cybernetycznego w podczas 2 i 3 kwartału.
Q2: 1 lipca 2021 do 30 września 2021 Q3: 1 października 2021 do 31 grudnia 2021
Ataki ransomware 57 z 259 19 z 185
Ataki phishing 41 z 259 18 z 185

Cyberprzestępczość nadal jest ryzykiem traktowanym priorytetowo w planach pracy FCA (Financial Conduct Authority – urząd nadzoru finansowego w Wielkiej Brytanii). 17 listopada 2021, National Cyber Security Centre (NCSC - brytyjskie Krajowe Centrum Bezpieczeństwa Cybernetycznego) opublikowało swój coroczny przegląd 5, w którym za największe zagrożenie dla wszystkich rodzajów działalności w Wielkiej Brytanii, nie tylko dla instytucji finansowych, uznano programy typu ransomware. Raport określa, że podczas pierwszych czterech miesięcy roku 2021, do NCSC trafiło tyle samo przypadków ransomware co w całym roku 2020, a ich liczba była trzy razy większa niż w roku 2019.

Raport określa, że podczas pierwszych czterech miesięcy roku 2021, do NCSC trafiło tyle samo przypadków ransomware co w całym roku 2020 a ich liczba była trzy razy większa niż w roku 2019.

Ataki oprogramowaniem ransomware

Wytyczne NCSC i organów ścigania mówią, że podmioty te nie „zachęcają, nie popierają ani nie pochwalają płacenia żądanych okupów”6.

Nie ma gwarancji, że uzyskasz dostęp do swoich danych jeśli zapłacisz okup. Ponadto, może to zwiększyć ryzyko ponownego ataku w przyszłości, ponieważ grupy przestępcze będą wiedzieć, że jesteś skłonny zapłacić okup.

Implikacje ubezpieczeniowe

Obrona w przypadku ataku ransomware może być kosztowna, zarówno pod względem finansowym jak i reputacyjnym. Wypłata z polisy ubezpieczeniowej z tytułu ataku ransomware wiąże się z pewnymi wyzwaniami w związku z (i) ograniczeniami prawnymi i regulacyjnymi – ubezpieczyciele nie mają prawa wypłaty okupu, który można wykorzystać na finansowanie terroryzmu lub przestępczości finansowej; oraz (ii) tym, czy polisa gwarantuje odpowiednią ochronę. Historycznie, polisy ubezpieczające przed przestępczością oferowały ochronę w przypadku wymuszenia dla instytucji finansowych w związku z fizycznymi zagrożeniami dla osób lub mienia (zob. nasz poprzedni artykuł tutaj). Jednak ochrona zmieniła się w ciągu ostatnich kilku lat i rozpoczęto uwzględnianie większej liczby zagrożeń z zakresu bezpieczeństwa cybernetycznego. W przypadku, gdy zarówno polisy chroniące przed przestępczością jak i zapewniające bezpieczeństwo cybernetyczne oferują tę samą lub podobną ochronę, doprowadzić to może do sporów pomiędzy ubezpieczycielami dotyczących tego, która polisa ma pokryć koszty ataku ransomware.

Wnioski

Ryzyko związane z bezpieczeństwem cybernetycznym powinno stanowić część strategii odporności operacyjnej instytucji finansowej, która pomoże zidentyfikować, zrozumieć i zarządzać narażeniem z punktu widzenia bezpieczeństwa w sieci. Przygotowanie się z wyprzedzeniem jest jednym z najlepszych sposobów na zmniejszenie kosztów obrony w przypadku poważnego incydentu z zakresu bezpieczeństwa cybernetycznego. Jako, że rynki ubezpieczeniowe w zakresie przestępczości i cyberprzestępczości nadal są pełne wyzwań, niektórzy ubezpieczyciele chcą aby firmy spełniły konkretne kryteria bezpieczeństwa cybernetycznego aby móc zakupić ubezpieczenie w tym zakresie. Ponadto, niektórzy ubezpieczyciele chcą, aby ochrona przed ransomware została usunięta z polis typu Crime, po to aby właśnie polisy typu Cyber były wykorzystywane do ochrony instytucji finansowych przed incydentem typu ransomware. Zachęcamy do rozmowy z WTW lub naszym zespołem CyberCrime Task Force o tym, jak możemy cię wesprzeć w wyborze najlepszego rozwiązania na potrzeby zarządzania ryzykiem cybernetycznym oraz ochrony dopasowanej do twojego profilu ryzyka i potrzeb biznesowych.

Przypisy

1 Dotyczy okresu od 1 października 2021 do 31 grudnia 2021.

2 Information Commissioner's Office (Urząd Komisarza ds. Informacji) Trendy w incydentach dotyczących bezpieczeństwa danych. Jakie działania podjęliśmy w 2 kwartale 2021/22 i co możesz zrobić aby pozostać bezpiecznym. Pobrane z: https://ico.org.uk/action-weve-taken/data-security-incident-trends/

3 Information Commissioner's Office (Urząd Komisarza ds. Informacji). Poprzednie raporty. Pobrane z: https://ico.org.uk/action-weve-taken/data-security-incident-trends/previous-reports/

4 Dotyczy okresu od 1 października 2021 do 31 grudnia 2021.

5 https://www.ncsc.gov.uk/collection/ncsc-annual-review-2021

6 National Cyber Security Centre. (9 września, 2021). Łagodzenie ryzyka związanego z atakami malware i ransomware. Jak bronić organizacji przed atakami malware lub ransomware. Pobrane z: https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks

Autorki

Claims Advocate, Financial Institutions

Graduate Analyst - TPL & Claims Advocacy, Global FINEX Financial Institutions

Kontakty

GB Head of FINEX Financial Institutions

Susan Finbow
Global Head of FINEX Financial Institutions

Powiązane Rozwiązania

Contact Us