Τα ερωτηματολόγια είναι η πιο διαδεδομένη μέθοδος που χρησιμοποιούν τα χρηματοπιστωτικά ιδρύματα για να εξασφαλίζουν τη συνεργασία τους με τους παρόχους τους. Ωστόσο σύμφωνα με τους ρυθμιστικούς φορείς, αυτή η μέθοδος γίνεται ολοένα και πιο ανεπαρκής.
Η διαχείριση του κινδύνου από τους προμηθευτές, γίνεται ολοένα και πιο κρίσιμος τομέας για την ασφάλεια στον κυβερνοχώρο, ιδιαίτερα τώρα που οι τράπεζες μετακινούν τις επιχειρήσεις στο cloud και οι διαχειριστές περιουσιακών στοιχείων προσλαμβάνουν τρίτους για να διαχειριστούν την τεχνολογία τους.
Οι τράπεζες ανησυχούν ότι οι αδύναμοι έλεγχοι από τους παρόχους τεχνολογίας θα μπορούσαν να επιτρέψουν σε hacker να εισβάλουν στα δικά τους συστήματα. Οι ρυθμιστικές αρχές εκφράζουν επίσης την ανησυχία τους για το ότι μια κυβερνοεπιθέση που θα έπληττε μια μεγάλη χρηματοπιστωτική εταιρεία, θα μπορούσε να αποσταθεροποιήσει τις αγορές.
Τα ερωτηματολόγια, ακόμη και τα μεγάλα, “παρέχουν στην πραγματικότητα περιορισμένη κατανόηση των πραγματικών επιχειρηματικών κινδύνων που αντιμετωπίζει μια επιχείρηση όταν χρησιμοποιείται ένας πάροχος”, δήλωσε ο Jason Harrell, επικεφαλής επιχειρήσεων και κυβερνητικών συνεργασιών στον κυβερνοχώρο στο Depository Trust & Clearing Corp., του ιδρύματος που ρυθμίζει όλες τις χρηματιστηριακές συναλλαγές στις Η.Π.Α.
Τέτοιου είδους έγγραφα, συνήθως αναζητούν μια σειρά πληροφοριών σχετικά με διάφορα θέματα, όμως δεν παρέχουν ουσιαστικές πληροφορίες σε τομείς όπως η ασφάλεια στον κυβερνοχώρο, δήλωσε σε συνέντευξή του ο Rick Holland, επικεφαλής της υπηρεσίας ασφάλειας πληροφοριών στην εταιρεία ασφαλείας Digital Shadows Ltd.
Ο κ. Harrell δήλωσε ότι τα έγγραφα μπορεί να περιλαμβάνουν εκατοντάδες ερωτήσεις, πολλές από τις οποίες επιτρέπουν μόνο θετικές ή καθόλου απαντήσεις, γεγονός που περιορίζει τη χρησιμότητά τους.
Οι ρυθμιστικές αρχές επικεντρώνονται όλο και περισσότερο στη διαχείριση του κινδύνου στον κυβερνοχώρο. Νωρίτερα φέτος, η Επιτροπή Κεφαλαιαγοράς απέστειλε διάφορα ερωτηματολόγια σε επενδυτικούς συμβούλους, σχετικά με τις ρυθμίσεις ασφαλείας όσο αφορά τους παρόχους υπηρεσιών cloud. Εξέδωσε επίσης μία προειδοποίηση για διαμεσολαβητές και επενδυτικούς συμβούλους, σχετικά με τους κινδύνους που σχετίζονται με την αποθήκευση αρχείων πελατών στο cloud.
Η CFTC, εν τω μεταξύ, επέβαλε πρόστιμο στην Phillip Capital Inc., ύψους 1,5 εκατομμυρίου δολαρίων το Σεπτέμβριο, αφού hacker παραβίασαν το σύστημα ηλεκτρονικού ταχυδρομείου της εταιρείας και απέσυραν 1 εκατομμύριο δολάρια από κεφάλαια πελατών. Από το πρόστιμο, το 1 εκατομμύριο δολάρια προορίζονταν για την αποκατάσταση των χρημάτων των πελατών. Το τελευταίο πρόστιμο που επέβαλε ο ρυθμιστικός φορέας ήταν το Φεβρουάριο του 2018, όταν επέβαλε πρόστιμο στην AMP Global Clearing LLC, ύψους 100.000 δολαρίων, για την αδυναμία της να εποπτεύει σωστά έναν τρίτο προμηθευτή τεχνολογίας.
Ο πλήρης έλεγχος των τρίτων παρόχων είναι δύσκολος και δαπανηρός, δήλωσε σε συνέντευξή του ο Chris Morales, επικεφαλής αναλύσεων ασφαλείας της Vectra AI Inc. Αυτό σημαίνει ότι μια τέτοια ενέργεια έχει γενικά νόημα μόνο για κρίσιμους προμηθευτές.
Ο Steve Durbin, διευθύνων σύμβουλος του Information Security Forum, ενός μη κερδοσκοπικού οργανισμού που συμβουλεύει τους οργανισμούς σχετικά με θέματα ασφάλειας στον κυβερνοχώρο, δήλωσε ότι οι χρηματοπιστωτικές επιχειρήσεις πρέπει να απομακρυνθούν από τις “ξεπερασμένες” διαδικασίες όπως τα ερωτηματολόγια. Αντ ‘αυτού, θα πρέπει να επικεντρωθούν στην παρακολούθηση και την προστασία των δικτύων τους και την κατανόηση του τρόπου αλληλεπίδρασης των προμηθευτών με αυτούς.
Κατά τη διάρκεια της συνάντησης CFTC, ο κ. Harrell πρότεινε ότι οι πάροχοι θα μπορούσαν να υποχρεωθούν να συμμορφωθούν με ένα σύνολο προτύπων για την ασφάλεια στον κυβερνοχώρο, απαιτώντας πιστοποίηση που αποδεικνύει ότι συμμορφώνονται για να παρέχουν υπηρεσίες.
