Boldon James. Τι πρέπει να γνωρίζουν για την ασφάλεια δεδομένων τα στελέχη χρηματοπιστωτικών υπηρεσιών
Ο τομέας των χρηματοπιστωτικών υπηρεσιών αντιμετωπίζει το 35% των παραβιάσεων δεδομένων που γίνονται, κερδίζοντας τον όχι και ιδιαίτερα κολακευτικό τίτλο του τομέα που παραβιάζεται περισσότερο στις μέρες μας. Και είναι εύκολο να καταλάβουμε το γιατί. Ο κλάδος είναι γνωστός για το ευρύ φάσμα των διασυνδεδεμένων συστημάτων του καθώς και για την επεξεργασία εκατομμυρίων συναλλαγών – παράγοντες που τον καθιστούν ιδιαίτερα ευάλωτο σε επιθέσεις.
Καθώς η επικινδυνότητα, η συχνότητα και ο αντίκτυπος αυτών των επιθέσεων αυξάνονται, εμφανίζονται νέοι νομικοί κίνδυνοι, συμπεριλαμβανομένων αγωγών, μηνύσεων και μεγάλων προστίμων από τις ρυθμιστικές αρχές. Σύμφωνα με έρευνα της Forbes Insights / K & L Gates μάλιστα, οι τάσεις που παρουσιάζουν τις περισσότερες πιθανότητες νομικού κινδύνου συμπεριλαμβάνουν την επεξεργασία δεδομένων (69%), την κυβερνοασφάλεια (47%), τις αλλαγές στο ρυθμιστικό περιβάλλον (46%), την προστασία από απάτες (39%) και τον ψηφιακό μετασχηματισμό (39%).
Οι ρυθμιστικές αρχές έχουν γρήγορα αντανακλαστικά. Για παράδειγμα, η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ δημοσίευσε πρόσφατα μία νέα οδηγία καλώντας τις δημόσιες εταιρείες να είναι πιο ανοιχτές και άμεσες όταν αποκαλύπτουν κινδύνους στον κυβερνοχώρο, ακόμη και πριν συμβεί κάποια παραβίαση ή επίθεση. Τα χρηματοπιστωτικά ιδρύματα επίσης λαμβάνουν μέτρα ενίσχυσης της ασφάλειας των δεδομένων. Για παράδειγμα, το 92% από τα 200 στελέχη Αμερικανικών χρηματοπιστωτικών υπηρεσιών που ερωτήθηκαν από τη Forbes Insights αποκάλυψαν ότι χρησιμοποιούν αυτήν την περίοδο τεχνολογίες κρυπτογράφησης.
Αλλά το να βρεθείς μπροστά από τους χάκερς και να προηγηθείς, απαιτεί να γνωρίζεις πρώτα τους κινδύνους που παραμονεύουν εκτός του οργανισμού. Ακολουθούν οι τρεις μεγαλύτερες απειλές που αντιμετωπίζει ο κλάδος των χρηματοπιστωτικών υπηρεσιών:
1) Επιθέσεις σε web apps
Τα χρηματοπιστωτικά ιδρύματα βασίζονται σε κρίσιμες για τις επιχειρήσεις εφαρμογές Ιστού (web apps) για την εξυπηρέτηση των πελατών, την προώθηση των υπηρεσιών τους και τη σύνδεση με back-end βάσεις δεδομένων. Ωστόσο, πολλές από αυτές τις εφαρμογές φιλοξενούνται στο διαδίκτυο, με αποτέλεσμα να καθίστανται εύκολοι στόχοι για τους χάκερς. Οι τύποι επιθέσεων εφαρμογών ιστού κυμαίνονται από την λεγόμενη «υπερχείλιση στοίβας» (buffer overflow) μέχρι τις επιθέσεις ένθεσης SQL, κατά τις οποίες ένας χάκερ εισάγει εντολές SQL σε ένα πεδίο εισαγωγής δεδομένων, εξαπατώντας το σύστημα για να αποκαλύψει εμπιστευτικά δεδομένα και διαπιστευτήρια.
2) Επιθέσεις DDoS
Οι κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS) υπονομεύουν την απόδοση πόρων, όπως οι διακομιστές, προκαλώντας επιβράδυνση ή κατάρρευση ιστοσελίδων και εφαρμογών. Το αποτέλεσμα: θυμωμένοι πελάτες που δεν μπορούν να έχουν πρόσβαση σε κρίσιμες χρηματοπιστωτικές υπηρεσίες την ώρα που τις χρειάζονται περισσότερο. Για τις επιχειρήσεις παροχής χρηματοπιστωτικών υπηρεσιών, οι επιπτώσεις μπορεί να είναι ακόμη χειρότερες, συμπεριλαμβανομένων των διαταραγμένων επιχειρηματικών ροών, της υποκλοπής δεδομένων, της φθοράς της φήμης τους και της απώλειας εσόδων.
3) Απειλές από το εσωτερικό (insiders)
Πέρα από τους χάκερ, οι υπάλληλοι και οι εργαζόμενοι συγκαταλέγονται στις κορυφαίες κυβερνοαπειλές για τα χρηματοπιστωτικά ιδρύματα. Πολλές φορές, ανυποψίαστοι εργαζόμενοι πέφτουν θύματα απάτης ηλεκτρονικού “ψαρέματος” ή κατεβάζουν εν αγνοία τους κακόβουλο λογισμικό (malware). Ωστόσο, υπάρχουν και δυσαρεστημένοι υπάλληλοι που ενδεχομένως να έχουν έρθει σε συνεννόηση με χάκερς, δίνοντας τους κωδικούς πρόσβασης τους ή αγνοώντας σκόπιμα το εταιρικό πρωτόκολλο κυβερνοασφάλειας. Όπως και να έχει, απειλές από άτομα που γνωρίζουν εμπιστευτικές πληροφορίες μπορεί να χρειαστούν μήνες – ή και μερικές φορές χρόνια – για να εντοπιστούν.
Πρακτικές ασφαλείας
Ενόψει της αυξημένης έκθεσης σε τέτοιους κινδύνους, τα χρηματοπιστωτικά ιδρύματα πρέπει να λάβουν μέτρα για να εξασφαλίσουν τη μεγαλύτερη δυνατή ασφάλεια των δεδομένων τους και να ελαχιστοποιήσουν τη πιθανότητα να εκτεθούν νομικά. Για να γίνει αυτό, θα πρέπει να λάβετε υπόψη τα παρακάτω βήματα:
- Τη σχεδίαση εσωτερικών πολιτικών, διαδικασιών και συμβατικών διατάξεων (ρητρών) σχετικά με την ανακάλυψη, διερεύνηση, αποκατάσταση και αναφορά παραβιάσεων.
- Απόκτηση της σωστής ασφαλιστικής κάλυψης για διάφορους τύπους κυβερνοαπειλών και διερεύνηση της επάρκειας των υφιστάμενων ασφαλιστικών προγραμμάτων.
- Συνεργασία με μια τρίτη ομάδα κυβερνοασφάλειας που μπορεί να βοηθήσει στην διαχείριση της ασφάλειας στο διαδίκτυο και στην αποτροπή κυβερνοεπιθέσεων και παραβιάσεων δεδομένων.
Στον σημερινό υπερ-συνδεδεμένο, τεχνολογικά καθοδηγούμενο τομέα των χρηματοπιστωτικών υπηρεσιών, οι παραβιάσεις της ασφάλειας των δεδομένων, οι επιθέσεις DDoS και οι απειλές από το εσωτερικό και από άτομα που κατέχουν εμπιστευτικές πληροφορίες αυξάνονται διαρκώς. Ωστόσο, τα στελέχη του κλάδου μπορούν να αναλάβουν δράση μαθαίνοντας για τους κινδύνους που αντιμετωπίζουν και λαμβάνοντας τα σωστά προληπτικά μέτρα.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.