Banky si v oblasti kybernetické bezpečnosti věří, mají ale mezery v obraně
Podle nové zprávy společnosti Accenture banky důvěřují svým strategiím kyberbezpečnosti, ale nedostatek komplexního testování zanechává mezery v jejich obraně.
Zpráva Building Confidence: Solving Banking´s Cybersecurity Conundrum (Budování důvěry: Řešení problému kybernetické bezpečnosti) je založena na celosvětovém průzkumu mezi 275 představiteli vyššího managamentu v oblasti bezpečnosti v bankovním sektoru a v sektoru kapitálových trhů. Bylo zjištěno, že 78 % dotazovaných vedoucích pracovníků věří své strategii kyberbezpečnosti; více než polovina respondentů uváděla, že jsou ve vysoké míře schopni identifikovat příčiny narušení (51 %), zhodnotit jejich důsledky (51 %) a zvládat následky (50 %).
Analýza také poukazuje na současné výzvy pro banky týkající se bezpečnosti. Kromě mnoha útoků typu phishing, malware a napadení, kterým banky na celém světě čelí každý den, respondenti udávají, že jejich banky zažily každý rok v průměru 85 vážných kybernetických útoků. Zhruba jedna třetina z nich (36 %) byla úspěšná, což znamená, že prostřednictvím útoku byly získány alespoň nějaké informace. V těchto případech trvalo 59 % bank několik měsíců, než odhalily útoky, které nastaly.
Navíc téměř polovina (48 %) respondentů uvedla, že interní narušení jsou ta, která mají největší dopad na kyberbezpečnost. Nedostatek důvěry ve schopnost své organizace odhalit útok prostřednictvím interního monitorování pociťuje 52 % dotazovaných.
„Vedoucí pracovníci bank jsou o svých schopnostech v oblasti kyberbezpečnosti přesvědčeni, ale stále je v této oblasti potřeba udělat hodně práce,“ řekl Chris Thompson, výkonný ředitel a ředitel sekce kyberbezpečnosti v oblasti finančních služeb Accenture Security. „Většina programů hodnotících kybernetickou bezpečnost – i když jsou dobře pojaty – je velmi teoretická a založená na známých praktikách kyberútoků. Realita je však velmi odlišná. Dynamicky se měnící hrozby vytvářejí každý den nové výzvy. Banky by se měly zaměřit na zavádění scénářů praktického testování, které se soustředí na danou oblast, aby útočníkům co nejvíce jejich pokusy ztížily.“
Zatímco bezpečnostní týmy bank odhalily vysoký počet narušení, prakticky všichni respondenti (99 %) uvedli, že se o ostatních narušeních dozvěděli od svých vlastních zaměstnanců a poukazovali na zásadní důležitost budování silného povědomí, posilování interních školicích programů a vytváření efektivních interních procesů.
Podle zprávy je vývoj a zavádění správného řídícího modelu holistického přístupu ke kyberbezpečnosti velmi důležitý pro posilování vnějších i vnitřních obranných schopností firem. Rozvoj efektivních schopností by měl být veden dvousměrnou strategií: soustředěná hodnocení kyberbezpečnosti na jedné straně a komplexní testování na straně druhé.
Banky predikují nedostatek dovedností v oblasti kybernetické bezpečnosti
Výzkum rovněž poukazuje na několik oblastí, kde respondenti předvídají významný nedostatek dovedností: například zabezpečení koncových bodů i sítí (61 %), schopnost reagovat na incident (53 %) a management zranitelnosti (53 %).
Thompson dále dodává: „Banky tradičně prioritně zajišťovaly svou kybernetickou bezpečnosti tím, že stavěly vyšší a bezpečnější zdi. Ale to bylo často na úkor jejich vnitřních schopností. Zatímco ochrana hranic je zásadní, mnohdy jsou to lidé uvnitř hradeb, kteří představují největší riziko, ale také největší zbraň ve snaze o odolnost.“
Zpráva doplňuje nedávno vydaný Accenture Security Index (Index bezpečnosti společnosti Accenture), ve kterém se bankovní organizace umístily na druhém místě v mezioborovém hodnocení výkonných bezpečnostních schopností. Banky získaly vysoké hodnocení v osmi schopnostech, včetně analýzy hrozeb „what-if“ (analýza toho, co se stane, když...) a připravenosti na „kyberbezpečnost třetích stran“. Pro zhodnocení efektivity současných snah společností o bezpečnost a přiměřenost stávajících investic provedla společnost Accenture průzkum mezi 2 000 respondenty, kteří se starají o bezpečnost ve společnostech s ročními příjmy ve výši 1 mld. USD a více. Výsledky tohoto průzkumu byly analyzovány ve spolupráci s Oxford Economics a byl vytvořen Index bezpečnosti společnosti Accenture (Accenture Security Index), který porovnává relativní sílu všech organizací v ochraně proti útokům.