Στις μέρες μας πλέον πάνω από 7 στους 10 (73%) θεωρούν την κυβερνοασφάλεια ως ύψιστη προτεραιότητα, κάτι που αναδεικνύει τον ρόλο των Chief Risk Officers (CROs) των τραπεζικών ιδρυμάτων ιδιαίτερα κρίσιμο και φυσικά απαραίτητο όσο ποτέ.
Η ραγδαία αύξηση των επιθέσεων, η πολυπλοκότητα και η συνεχής εξέλιξη των απειλών αυτών δεν αφήνει περιθώρια εφησυχασμού στους ιθύνοντες των τραπεζικών ομίλων, υπογραμμίζει τελευταία έρευνα της EY.
Απεναντίας, απαιτείται σήμερα, έμφαση στην κριτική σκέψη, αυξημένη οργανωτική ευελιξία, περαιτέρω αξιοποίηση προηγμένων τεχνολογιών και περισσότερες δυνατότητες για διαχείριση και ανάλυση δεδομένων.
Ρυθμιστικοί κανόνες, γεωπολιτικές εντάσεις και άλλες απειλές
Σύμφωνα με την ΕΥ, οι προβληματισμοί για τη συμμόρφωση με τους ρυθμιστικούς κανόνες και τις απαιτήσεις των εποπτικών αρχών, καθώς και η λειτουργική ανθεκτικότητα, κατατάσσονται ως ο δεύτερος πιο επείγων κίνδυνος (36% έκαστος) για το προσεχές διάστημα.
Παράλληλα, οι μεγαλύτεροι αναδυόμενοι κίνδυνοι για τα επόμενα πέντε χρόνια περιλαμβάνουν τους κινδύνους που σχετίζονται με την κλιματική αλλαγή και τα φυσικά φαινόμενα (56%), καθώς και την αξιοποίηση της μηχανικής μάθησης και της τεχνητής νοημοσύνης (53%).
Οι γεωπολιτικές εμπορικές εντάσεις, μπορούν να οδηγήσουν σε αυξημένο πιστωτικό κίνδυνο αντισυμβαλλομένου για ιδρύματα που δραστηριοποιούνται σε περιοχές που επηρεάζονται από αυτές. Οι γεωπολιτικές εξελίξεις θα μπορούσαν, επίσης, να θέσουν υπό δοκιμασία τη λειτουργική ανθεκτικότητα των τραπεζών, εφόσον εκείνες αναγκαστούν να αποσυρθούν από ορισμένες αγορές.
Τα αποτελέσματα της έρευνας υποδηλώνουν ότι η ρευστή αγορά και οι συνεχώς εξελισσόμενοι κίνδυνοι, επιτάσσουν την άμεση προσαρμογή του λειτουργικού μοντέλου διαχείρισης κινδύνου, σε όλα τα επίπεδα των τραπεζικών ιδρυμάτων – από τα διοικητικά συμβούλια μέχρι τις υπηρεσίες πρώτης γραμμής.
Νέες τεχνολογίες: Πηγή κινδύνων… αλλά και πάροχοι άμυνας
Σύμφωνα με τους ειδικούς της ΕΥ, η ραγδαία εξέλιξη της τεχνητής νοημοσύνης και του quantum computing, θα οδηγήσουν σε αύξηση της συχνότητας και, ιδίως, της έντασης των επιθέσεων στον κυβερνοχώρο.
Παράλληλα, όμως, οι νέες αυτές τεχνολογίες θα αποτελέσουν και τον ακρογωνιαίο λίθο των κυβερνοαμυνών των τραπεζών.
«Απαιτούνται, πλέον, νέες δεξιότητες και αποτελεσματικότερη αξιοποίηση της τεχνολογίας, ώστε οι τράπεζες να μπορέσουν να ενισχύσουν περαιτέρω την ευελιξία και την ανθεκτικότητά τους σε ολοένα και πιο απρόβλεπτους και περίπλοκους κινδύνους», σημειώνουν.
Μέσω Dropbox η επίθεση κυβερνοεγκληματιών
Άξιο αναφοράς είναι ένα τελευταίο εύρημα της Kaspersky σύμφωνα με το οποίο ένα σύστημα phishing πολλαπλών βημάτων στόχευε σε εργαζόμενους του χρηματοοικονομικού κλάδου που επεξεργάζονται οικονομικά έγγραφα.
Η απάτη ξεκινά όταν τα θύματα λαμβάνουν ένα email από τη νόμιμη διεύθυνση μιας ελεγκτικής εταιρείας. Αυτή η αρχική επαφή έχει ως στόχο να κάνει τον παραλήπτη λιγότερο καχύποπτο, ως ένα στάδιο προετοιμασίας για να διευκολυνθεί η διαδικασία προς τη βασική δόλια δραστηριότητα.
Στη συνέχεια, ακολουθεί μια ειδοποίηση από την υπηρεσία Dropbox, η οποία περιέχει κακόβουλα links που ανακατευθύνουν σε αρχεία phishing που έχουν ανεβάσει οι κυβερνοεγκληματίες με σκοπό την υποκλοπή διαπιστευτηρίων.
Στο πρώτο στάδιο τα θύματα λαμβάνουν emails που υποτίθεται ότι προέρχονται από νόμιμη ελεγκτική εταιρεία. Αυτά τα emails αποστέλλονται από αυθεντική διεύθυνση, η οποία πιθανότατα έχει υποκλαπεί από εισβολείς. Χρησιμοποιούν τακτικές κοινωνικής μηχανικής για να μειώσουν την επιφυλακή των θυμάτων και να τα προετοιμάσουν να λάβουν ένα αρχείο Dropbox.
ΔΝΤ: Πάρτε μέτρα…
Σε πρόσφατη έκθεση του για τους κινδύνους στον κυβερνοχώρο, το ΔΝΤ εκτιμά πως η υιοθέτηση σε εθνικά επίπεδα αυστηρότερης νομοθεσίας για τα δρώμενα στον κυβερνοχώρο και η ανάληψη δράση από τις ίδιες τις εταιρείες για καλύτερη εποπτεία στα δρώμενα του κυβερνοχώρου μπορούν να οδηγήσουν σε μείωση της συχνότητας των περιστατικών αυτών. Ειδικότερα, το Ταμείο κάνει τις εξής προτάσεις για την αντιμετώπιση των κινδύνων από κυβερνοεπιθέσεις:
- Η λεγόμενη ανθεκτικότητα του χρηματοπιστωτικού τομέα στον κυβερνοχώρο θα πρέπει να ενισχυθεί με την ανάπτυξη επαρκούς εθνικής στρατηγικής για την κυβερνοασφάλεια, κατάλληλα ρυθμιστικά και εποπτικά πλαίσια, ικανό εργατικό δυναμικό για την επίτευξη ασφάλειας στον κυβερνοχώρο και εγχώριες και διεθνείς προβλέψεις ανταλλαγής σχετικών πληροφοριών.
- Η αναφορά περιστατικών στον κυβερνοχώρο από εταιρείες του χρηματοπιστωτικού κλάδου προς τις εποπτικές αρχές θα πρέπει να ενισχυθεί ώστε να υπάρχει δυνατότητα αποτελεσματικότερης παρακολούθησης των κινδύνων στον κυβερνοχώρο.
- Μέλη διοικητικών συμβουλίων εταιρειών του χρηματοπιστωτικού κλάδου θα πρέπει να οριστούν υπεύθυνα για τη διαχείριση της κυβερνοασφάλειας των εταιρειών αυτών. Επίσης θα πρέπει να δημιουργηθεί κουλτούρα αντίληψης κινδύνου, αντίστοιχης εκπαίδευσης και ευαισθητοποίησης των εργαζομένων.
- Οι χρηματοπιστωτικές εταιρείες θα πρέπει να αναπτύξουν και να δοκιμάσουν διαδικασίες άμεσης αντίδρασης και ανάκτησης δεδομένων ώστε να παραμείνουν λειτουργικές σε περίπτωση επιθέσεων στον κυβερνοχώρο. Οι εθνικές αρχές θα πρέπει επίσης να αναπτύξουν αποτελεσματικά πρωτόκολλα αντιμετώπισης και διαχείρισης τέτοιων συμβάντων, στα πλαίσια διαχείρισης για την αντιμετώπιση συστημικών κρίσεων στον κυβερνοχώρο.
Δεν είναι πλέον καθόλου τυχαίο ότι κεντρικές τράπεζες και οι χρηματοπιστωτικές εποπτικές αρχές θεωρούν την κυβερνοασφάλεια ως ιδιαίτερα σημαντικό πυλώνα.
Το Ευρωπαϊκό Συμβούλιο Συστημικού Κινδύνου (European Systemic Risk Board), το Συμβούλιο Εποπτείας Χρηματοπιστωτικής Σταθερότητας (Financial Stability Oversight Council) των ΗΠΑ και η αρμόδια επιτροπή (Financial Policy Committee) στη Βρετανία έχουν ήδη αναγνωρίσει τους συστημικούς κινδύνους που δημιουργούνται κυβερνοχώρο από τέτοιες επιθέσεις και κινούνται για να λάβουν μέτρα.