A cibersegurança é a preocupação mais crítica e imediata para os bancos, seus clientes e o sistema financeiro mais amplo. As instituições financeiras enfrentam uma enxurrada diária de ataques cibernéticos que podem causar a perda de dados, ativos e confiança e, à medida que o banco digital se expande, eles são cada vez mais expostos. Ainda assim, muitos não têm um plano eficaz para responder. Os adversários de hackers de quartos a espiões industriais e atores estaduais têm muito a ganhar, e o custo do ataque é baixo em comparação com o custo da defesa. As taxas de incidentes estão aumentando. No ano passado, 50 instituições financeiras do Reino Unido relataram ataques cibernéticos, em comparação com cinco apenas quatro anos antes, de acordo com a Autoridade de Conduta Financeira do Reino Unido.
The vast amount of customer data and financial assets held by banks makes them natural targets—nearly a quarter of all cyberattacks are directed at them. Adversaries from bedroom hackers to industrial spies and state actors have much to gain, and the cost of attack is low compared with the cost of defense. Incident rates are soaring. Last year, 50 UK financial institutions reported cyberattacks, compared with five just four years previously, according to the UK’s Financial Conduct Authority.
Apesar da crescente ameaça e aumento da pressão dos reguladores para enfrentá -la, muitos bancos não conseguiram Envolva o risco cibernético de maneira eficaz , muitas vezes tratando -o como uma preocupação secundária. Quando eles investigam, não é incomum encontrar intrusos que já habitam seus sistemas. Nas palavras de um especialista, “as empresas se enquadram em duas categorias: aqueles que sabem que estão sendo atacados e aqueles que estão sendo atacados, mas ainda não sabem.”
The most secure banks have ramped up their ability to detect and respond to attacks, but the majority require a strategic rethink. That means taking cybersecurity out of its IT silo and treating it as equal to risks such as credit, counterparty, and compliance. A new operating model is required, alongside strategic investment in talent, new technologies, and reformed ways of working throughout the organization. The task is complex, but the prize is valuable: a secure banking system for the digital age.
The Growing Information Security Threat
Cyberattacks are becoming more numerous, ambitious, and effective, with criminals regularly targeting payment systems, IT systems, and databases. (See Exhibit 1.) The vast majority of attacks go unreported, but numerous banks have been hit in the past year. In its most recent annual risk report, the World Economic Forum observed that cyberattacks are the most likely manmade risk facing the global economy, with data fraud/theft coming next. Not even central banks are immune. One of the most notorious recent incidents saw hackers take tens of millions of dollars from a central bank payment system.
A World Economic Forum report notes that cyberattacks are the most likely manmade threat facing the global economy.
As ameaças variam em estilo e intenção. Os ataques de negação de serviço e sistema de pagamento distribuídos são comuns, mas os invasores também podem percorrer os fornecedores ou procurar obter alguma vantagem, tomando reféns de dados privados. Mais de 1.200 desses ataques de ransomware foram detectados todos os dias em 2017. Quantidades iguais de dano podem ser infligidas por funcionários descontentes que publicam dados confidenciais nas mídias sociais; Da mesma forma, os danos podem ser acidentalmente auto-infligidos, como resultado de laptops perdidos ou falhas, por exemplo. As estimativas de perdas anuais em todo o setor são atingidas por dezenas de bilhões de dólares.
Os impactos dos incidentes de segurança cibernética vão além da perda imediata de dinheiro ou dados. Clientes e mercados financeiros podem perder rapidamente a confiança, e os custos associados ao reparo dos danos e a comunicação com as partes interessadas são significativas. Além disso, os muitos pontos de contato digitais entre instituições financeiras significam que os efeitos de contágio não podem ser descontados, adicionando um elemento sistêmico aos riscos que os bancos enfrentam. Quase três quartos de jurisdições em todo o mundo estão planejando novos regulamentos, orientações ou práticas de supervisão para o setor financeiro no próximo ano, de acordo com o Conselho de Estabilidade Financeira. Eles incluem recomendações sobre os processos, documentos, tecnologia e pessoas precisavam gerenciar, auditar e melhorar a segurança da informação. A implementação requer liderança e coordenação no nível do conselho. As multas por não conformidade podem chegar a 4% da rotatividade anual de uma empresa.
Regulatory Pressure Is Intensifying
Banks must respond to cybersecurity risk not only to protect their businesses but also to meet regulatory requirements and industry standards. Nearly three-quarters of jurisdictions worldwide are planning new cybersecurity regulations, guidance, or supervisory practices for the financial sector within the next year, according to the Financial Stability Board.
Among global examples, the ISO27k series of standards, published jointly by the International Organization for Standardization and the International Electrotechnical Commission, provide best practices for information security management systems. They comprise recommendations regarding the processes, documents, technology, and people needed to manage, audit, and improve information security. Implementation requires board-level leadership and coordination.
Regionally, the European Union’s General Data Protection Regulation, which went into effect in May 2018, aims to strengthen and unify data protection for individuals through stricter requirements on data confidentiality, identity, and access management. Fines for noncompliance can be as high as 4% of a company’s annual turnover.
As autoridades nacionais também estão agindo. Por exemplo, o supervisor bancário alemão (BAFIN) no final de 2017 publicou requisitos de supervisão bancária detalhados para sistemas de TI domésticos que se concentram na segurança da informação, inclusive para produtos e serviços terceirizados.
Entre os muitos padrões do setor está o Programa de Segurança do Cliente (CSP) da Swift, que exige que as empresas protejam e protejam seu ambiente local, prevenam e detectem fraudes em relacionamentos comerciais e compartilhem informações. O CSP compreende 27 objetivos de controle para todas as instituições que lidam com serviços SWIFT, com auto-atestados exigidos anualmente.
Sete pontos fracos nas defesas dos bancos
The increasing number and complexity of cyberattacks, alongside growing regulatory pressure, highlight the need for financial institutions to strengthen information security and cyber resilience. However, many are ill-equipped to respond to the challenge, in part because they have historically underestimated the risks. Their lack of preparedness has resulted in seven key weaknesses.
Limited Insight into Key IT Assets and the Threat Landscape. Banks often lack a defined process for assessing cyber risk, or they approach the exercise from back to front. The ideal starting point is to make a comprehensive inventory of data, applications, and networks and infrastructure. This can inform the next step, which is to specify the criticality of individual data sets. Criticality should be calibrated to the bank’s protection goals related to confidentiality (some data is more valuable than other data), integrity (susceptibility to attack), and availability (what it will take to get back up and running after an attack).
Banks must use the information they garner on data to determine where they are most exposed. At this stage, they often make the mistake of prioritizing applications and infrastructure, skipping the crucial first data step. Without a structured approach, banks can fail to gain a comprehensive picture.
The other commonly missing piece of the puzzle is an understanding of threats and how these might manifest (for example, through unpatched vulnerabilities on phones). Banks often rely entirely on newsletters and updates from security vendors to stay up to date, rather than performing an ongoing independent investigation into where they may be most vulnerable.
Failure to Prioritize Cybersecurity. Banks often fail to make cybersecurity a core element of the decision-making process in managing key IT assets. Often this is evidenced by the peripheral role of chief information security officers (CISOs), who may be disconnected from IT product development, digitization efforts, and operations. Banks tend to lack protocols for CISOs to assess concepts or provide feedback that would hardwire information and IT security awareness into the design or purchasing process. Too often they are out of the loop on board-level decisions and the proceedings of risk committees, or they are hobbled by a lack of adequate human or financial resources.
Focus on Prevention Over Detection and Response. Financial institutions habitually focus on preventing cyberattackers from entering their systems, which is useful in protecting against untargeted attacks but insufficient to secure the organization from determined assailants. The uncomfortable reality is that attackers are gaining entry with relative ease and are usually able to sit undetected in bank systems for long periods—an average of 200 days, according to one study.
Attackers are gaining entry to bank systems with relative ease and are usually able to sit undetected for long periods—an average of 200 days.
Dada a impossibilidade prática de impermeabilidade, o estado da arte na segurança da informação avançou em direção à detecção e resposta. No entanto, esses componentes geralmente estão faltando nas estruturas de gerenciamento de riscos dos bancos, o que pode levar a uma alocação insuficiente de recursos e riscos não gerenciados significativos. Em um estudo recente, um grupo da indústria alemão focada nele descobriu que o número de posições não preenchidas na Alemanha subiu de cerca de 6.000 em 2014 para cerca de 9.000 em 2016, um déficit que o grupo previu se ampliaria. Além do desafio de pessoal que as instituições financeiras enfrentam: a coorte mais jovem e dinâmica associada à comunidade cibernética e de TI não vê mais financiamento como uma escolha de carreira natural.
Failure to Hire Talent. Financial institutions often fail to attract and retain enough people with the knowledge necessary to tackle threats and sustain operational capabilities. In a recent study, a German industry group focused on IT found that the number of unfilled positions in Germany rose from about 6,000 in 2014 to about 9,000 in 2016, a deficit the group predicted would widen. Adding to the staffing challenge facing financial institutions: the younger, more dynamic cohort associated with the cyber and IT community no longer sees finance as a natural career choice.
Gerenciamento de terceiros fraco. De acordo com uma estimativa do Banco Central, a porcentagem de serviços terceirizados nos orçamentos de TI bancária aumentou para 42% em 2017, de 36% cinco anos antes. A segurança dos serviços prestados por contratos terceirizados, incluindo a hospedagem em nuvem, continua sendo responsabilidade do banco. No entanto, muitos bancos não sabem como seus parceiros de TI funcionam e poucos têm sistemas e protocolos para supervisão e monitoramento. Os bancos não têm os recursos para policiar todos os fornecedores com os quais trabalham ou para monitorar vulnerabilidades e redes externas. Banks are increasingly turning to outsourcing to acquire and manage IT assets and control costs. According to one central bank estimate, the percentage of outsourced services in bank IT budgets increased to 42% in 2017, from 36% five years before. The security of services provided by outsourced contracts, including cloud hosting, remains the responsibility of the bank. However, many banks do not know how their IT partners work and few have in place systems and protocols for oversight and monitoring. Banks do not have the resources to police every vendor they work with or to monitor external vulnerabilities and networks.
Falta de uma cultura com reconhecimento de segurança. Muitas vezes, a segurança da informação é de responsabilidade exclusiva do CISO, e não há liderança, conscientização e experiência insuficientes no nível do conselho. Os bancos geralmente deixam de fornecer modelos de seus funcionários, treinamento, ferramentas ou incentivos. A negligência dos funcionários e os atos maliciosos representam dois terços das violações cibernéticas, enquanto menos de 20% são diretamente impulsionadas por uma ameaça externa, Many banks lack a culture in which the institution as a whole (including risk owners, risk managers, and audit) takes responsibility for reducing information security risk, encouraging collaboration, and building systemic resilience. Often information security is the sole responsibility of the CISO, and there is insufficient leadership, awareness, and expertise at the board level. Banks commonly fail to provide their staffs role models, training, tools, or incentives. Employee negligence and malicious acts account for two-thirds of cyber breaches, while less than 20% are directly driven by an external threat, De acordo com uma análise de 2017 da empresa de consultoria Willis Towers Watson .
Estresse operacional. Os déficits operacionais podem incluir recursos de conhecimento fracos, falta de processos codificados para gerenciar incidentes (resultando em respostas heterogêneas) e tecnologia insuficiente para monitorar, registrar e reagir a atividades suspeitas. Um problema comum é uma incapacidade de integrar a tecnologia e as capacidades humanas. O resultado é a ineficiência operacional, mais riscos e falta dos recursos necessários para recuperar um grande incidente. Recomendamos uma abordagem em três etapas, que inclui: executar uma verificação abrangente de saúde para avaliar a maturidade da segurança cibernética e as capacidades disponíveis e priorizar as atividades; Construir um novo modelo operacional que gerencia o desenvolvimento e a implementação de estratégia, governança e organização, gerenciamento de riscos, TI e cultura; e aumentar os recursos operacionais para garantir a proteção contínua. O questionário pode ser acompanhado por revisões de documentos, todas com o objetivo de determinar a maturidade do aparato de segurança da informação da empresa. Se, por exemplo, um banco tiver uma franquia de pagamentos forte, poderá concentrar sua experiência em segurança cibernética nessa atividade. Os bancos devem realizar um exercício de caça de ameaças, no qual procuram identificar os atacantes por, por exemplo, digitalizar a teia escura ou usando sensores em sistemas internos. Em vez disso, os bancos devem repensar holisticamente suas capacidades organizacionais. Isso significa instituir um modelo operacional dedicado e fornecer ao CISOs e executivos uma estrutura para o gerenciamento de riscos de segurança da informação. (Consulte Anexo 2.) Amid an accelerating rate of attacks and incidents, banks’ organizational capabilities come under extreme pressure, often leading to systemic breakdowns and accumulating backlogs. Operational shortfalls can include weak knowledge resources, a lack of codified processes to manage incidents (resulting in heterogeneous responses), and insufficient technology to monitor, log, and react to suspicious activity. A common problem is an inability to integrate technology and human capabilities. The result is operational inefficiency, more risk, and a lack of the resources needed to bounce back from a major incident.
What Banks Should Do Next
In the face of accelerating threats, banks must ramp up information security, building systems that enable speedy identification and resolution of breaches. We recommend a three-step approach, which includes: performing a comprehensive health check to assess cybersecurity maturity and available capabilities and prioritize activities; building a new operating model that manages development and implementation of strategy, governance and organization, risk management, IT, and culture; and ramping up operational capabilities to ensure continuing protection.
Perform A Comprehensive Health Check
A questionnaire provided to the CISO and to the IT and risk functions (among others) should cover all security aspects of the existing operating model. The questionnaire may be accompanied by document reviews, all aimed at determining the maturity of the firm’s information security apparatus.
Banks should also create a threat profile, comprising a view of activities by industry, product, and geography, that aims to align threats with day-to-day operations and areas of specialization. If, for example, a bank has a strong payments franchise, it can focus its cybersecurity expertise on that activity. Banks should then conduct a threat-hunting exercise, in which they seek to identify attackers by, for example, scanning the dark web or by using sensors in internal systems.
Build A New Cybersecurity Operating Model
There is little value in an approach geared to isolated incidents or regulatory findings. Instead, banks must holistically rethink their organizational capabilities. That means instituting a dedicated operating model and providing CISOs and executives with a framework for information security risk management. (See Exhibit 2.)
The central goal of the new operating model should be the ability to reliably prevent attacks, detect intruders, implement a response, and carry out a recovery plan that includes communicating with stakeholders. In addition, the model must inform daily operational capabilities so that cyber risk is managed through a single strategic and operational approach. It is also crucial for banks to take cybersecurity out of its IT silo, treating it as equal to other key risks and making it subject to similar levels of analysis, modeling, and management.
The model should address strategy, governance and organization, risk management, risk architecture, and culture.
Risk Strategy. Banks must start by defining the risks they face, establishing a taxonomy tailored to their business activities, assets, and risk profile. Executives should be able to quantify how much risk the bank can tolerate in view of its key assets.
Governance and Organization. Banks should erect governance frameworks for the management of information risk across the three lines of defense: risk owners (business lines and IT), risk management (including the CISO and risk committees), and internal audit. The organizational model should reflect the crucial role and responsibilities of the CISO, who must have sufficient power to represent information security issues across business lines and decision-making hierarchies. The CISO should be largely independent from the IT function and have a sufficient budget.
, dada a dificuldade de obter e reter o talento e as capacidades operacionais, os bancos devem equilibrar o treinamento e o desenvolvimento dos funcionários contra a probabilidade de que os recursos internos sejam insuficientes no curto prazo. Os consultores e vendedores externos podem ser úteis para manter os bancos informados sobre o cenário de ameaças em evolução e no monitoramento diário, mas os bancos precisam ser inteligentes em casar com eles para equipes internas e trabalhar em direção à auto-suficiência de longo prazo. e diretrizes. Eles devem implementar processos de monitoramento para serem mantidos atualizados. Os bancos devem avaliar seus controles internos e tomar uma decisão de tratamento de risco; Existem quatro opções: aceite o risco (não faça nada), mitigá -lo, evite -o (feche o negócio ou sistema relevante) ou transfira o risco (por meio do seguro). Uma abordagem é identificar anomalias nos dados de login-por exemplo, um usuário do sistema que aparece para fazer login durante as férias ou em outros momentos incomuns. O banco deve ter um plano de resposta e recuperação regularmente ensaiado pronto quando um intruso for detectado ou ocorre alguma outra violação (até algo tão menor quanto um laptop perdido). Deve haver uma estratégia de comunicação que o acompanha, interno e externo (inclusive para reguladores). Na fase de recuperação, o exame forense do incidente é essencial para reforçar as defesas.
Risk Management. Banks should conduct regular assessments of regulatory requirements across jurisdictions and ensure that these are reflected in their own policies, procedures, and guidelines. They should implement monitoring processes in order to be kept up to date.
Risk assessment—mapping key IT assets to threats—is crucial. Banks must evaluate their internal controls and make a risk treatment decision; there are four choices: accept the risk (do nothing), mitigate it, avoid it (close the relevant business or system), or transfer the risk (through insurance).
From an operational perspective, risk management requires the ability to detect and observe intruders, usually by analyzing system sensors and databases. One approach is to identify anomalies in log-in data—for example, a system user appearing to log in while on vacation or at other unusual times. The bank must have a regularly rehearsed response-and-recovery plan ready when an intruder is detected or some other breach occurs (even something as minor as a lost laptop). There should be an accompanying communication strategy, both internal and external (including for regulators). In the recovery phase, forensic examination of the incident is key to reinforcing defenses.
Banks must have a regularly rehearsed response-and-recovery plan ready when an intruder is detected or some other breach occurs.
Em relação aos contratos de TI terceirizados, os bancos devem implementar governança e protocolos para supervisão e monitoramento, que podem ser automatizados. Os contratos devem ser revisados e alinhados com o novo modelo operacional.
Arquitetura de risco. Os CISOs devem acionar os programas de implementação - oferecendo às equipes de TI para endurecer os sistemas, por exemplo, exigindo senhas mais complexas que devem ser renovadas com mais frequência - e tornar os padrões parte integrante do desenvolvimento de aplicativos. Um imperativo é garantir que as políticas de risco sejam entendidas pelas partes interessadas e sejam adequadamente incorporadas aos sistemas. A conformidade e os processos regulatórios também devem ser monitorados. Os bancos também devem adotar o compartilhamento de informações sobre ameaças e incidentes, tanto internamente quanto com colegas e terceiros. Nas palavras de um especialista: “Detecção por uma parte pode ser prevenção por outra.” Getting the architecture right is about making the strategy real in the bank’s data/information, applications, and networks and infrastructure. CISOs should trigger implementation programs—guiding IT teams to harden systems, for example, by requiring more complex passwords that must be renewed more often—and make standards an integral part of application development. One imperative is to ensure that risk policies are understood by stakeholders and are properly incorporated into systems. Regulatory compliance and processes should also be monitored.
Culture. The tone from the top is crucial in creating a cybersecurity mentality and promoting information sharing, with senior management actively highlighting the need for reinforced information security. Banks should also embrace the sharing of information on threats and incidents, both internally and with peers and third parties. In the words of one expert: “Detection by one party can be prevention by another.”
RESPONHA RESPONSAÇÃO OPERACIONAL RECURAIS
Implementando um modelo operacional reformado e integrando novas capacidades e tecnologia humanas apresentam desafios significativos. Há uma vasta gama de ferramentas disponíveis no mercado, mas muitas vezes os bancos escolhem muitos, criando uma defesa fragmentada. Isso pode levar a lacunas na supervisão e prolongar “tempos de permanência” entre quando um banco é comprometido e quando o compromisso é detectado. Uma única plataforma é preferível, projetada para fornecer uma visualização consolidada em tempo real. O aprendizado de máquina também ajuda a reduzir o ruído, distinguindo entre alertas reais e falsos positivos. Os sistemas integrados podem realizar varreduras contínuas nos dados, aplicativos e infraestrutura de rede e infraestrutura do banco, interrogando bancos de dados em busca de anomalias. Deve ser apoiado por uma equipe de operações de segurança dedicada e especialistas em assuntos, ou "forças especiais", para impulsionar operações e estratégia de defesa. Quando ocorre um incidente, o ativo crítico é o tempo e esses especialistas devem ser obrigados a responder de maneira rápida e autonomamente.
A smart technology stack, supported by machine learning to improve mechanisms over time, should be deployed to integrate diverse security controls and platforms. Machine learning also helps reduce noise by distinguishing between real alerts and false positives. Integrated systems can conduct continuous sweeps across the bank’s IT data, applications, and network and infrastructure, interrogating databases in search of anomalies.
The transformation to operational excellence can be characterized as a journey from preincident measures, such as antivirus software, to threat intelligence and rapid response and finally to forensic analysis. It should be supported by a dedicated security operations team and subject matter experts, or “special forces,” to drive defense operations and strategy. When an incident occurs, the critical asset is time, and these experts should be mandated to respond quickly and autonomously.
Banks are under almost constant assault from cyberattackers, but many lack the operational capabilities and resilience that would provide adequate protection. They have limited insight into their key assets and little understanding of the threats they face. A shortage of talent exacerbates the challenges. Executives must take steps to face the threat to consumers, to banks themselves, and to the stability of the financial system. That means recognizing that cyber risk is more than just an IT problem, but rather a primary risk of the banking business. They must respond strategically and operationally, starting with a health check and moving to embed cyber resilience into the operating model. At the same time, they should add the technology and staff needed to monitor, detect, and respond to attackers on a daily basis. In the coming era of digital banking and ecosystems, cyber threats will grow and accelerate. To preempt the onslaught, the time to act is now.
