FS-ISAC은 제3자 위험(TPR)을 2021년의 3대 사이버 보안 위험 중 하나로 지정했습니다. 사이버 인텔리전스 글로벌 책임자인 JR Manes의 말을 인용하여 '금융 회사에 대한 공급업체는 계속해서 위협 행위자의 수익성 있는 표적이 될 것'이라고 주장합니다. HSBC에서:"다계층 제어를 통해 심층 방어를 적절하게 실행하는 조직은 여전히 ​​제3자 공급업체를 통한 대규모 및 시스템 문제에 취약합니다."

공급망에 대한 가장 잘 알려진 공격 중 하나는 2020년 12월에 발생했습니다. 러시아와 연결된 국가 공격자는 수천 개의 기업과 정부 기관에서 사용하는 SolarWinds의 모니터링 소프트웨어를 손상시켰습니다. 적들은 몇 달 동안 회사 시스템에 숨어 귀중한 비즈니스 IP를 훔쳤습니다.

클라우드 서비스 제공업체, 관리형 서비스 보안 제공업체 및 Open Banking 이니셔티브를 위한 API 통합과 같이 여러 가치 있는 클라이언트를 위해 중요한 서비스를 수행하는 기타 제3자는 계속해서 위협 행위자의 수익성 있는 표적이 될 것입니다. 데이터, 돈을 훔치거나 시스템에 액세스할 수 있습니다.

모든 은행이 사내에서 처리하는 것은 아닙니다. 온라인 뱅킹, 투자, 모바일 애플리케이션 및 웹사이트와 같은 많은 아웃소싱 서비스가 있습니다. 마지막으로, 현재 주별로 미국을 강타하고 있는 글로벌 데이터 개인 정보 보호 규정의 진화를 고려할 때 은행은 이전보다 공급업체에 더욱 부지런해야 합니다.

사이버 복원력이 되십시오.
운영 복원력이 핵심입니다. 침해가 발생하면(만약 아닌 경우), 중요한 요소는 가능한 한 빨리 효과적으로 대응하는 것입니다. 피해를 제한하기 위해 사고 후 재해 복구 계획을 수립하고 연습해야 합니다. 그러나 미리 계획할 수도 있습니다.

• 심각한 비즈니스 영향을 미칠 수 있는 외부 및 내부 침투 테스트 시나리오를 개발합니다.
• 예를 들어 모든 시스템이 100% 패치되었는지 확인하십시오.
• 보안 도구 통합:Gartner는 Tier 1 은행에는 100개 이상, Tier 2에는 20~45개로 너무 많은 것으로 추정합니다.
• 방어선을 먼저 운영한 다음 위험 관리, 내부 감사를 별도로 운영하십시오. 이 세 영역은 계층 1 은행에서 별도의 역할이지만 하위 계층에서는 겹치는 경향이 있습니다.
• 복잡성을 피하기 위해 공급업체는 클라우드 보안, ID/액세스 관리, 보안 분석 및 위협 탐지를 중심으로 통합되어야 합니다.
• 데이터 보호 및 이동성에 중점:GDPR은 은행에 상당한 영향을 미쳤으며 개인정보 보호와 보안에 대한 문제가 여전히 존재합니다(예:동의 관리와 같은 영역에서).
• 증가하는 디지털 환경을 중앙 집중식으로 효과적으로 제어할 수 있는 ID 경계 설정
• 투자 ROI 제공:사이버 투자 후 위험 프로필이 낮아져야 합니다.

특정 클라우드 보안 평가를 수행할 수 있습니다. 한 미국 신용 조합은 AI 및 기계 학습을 적용하여 회원에게 재정적 필요에 대한 제안을 사전에 제공하기를 원했습니다. 후속 프로덕션 환경에서 사용하기 위해 Microsoft Azure를 기반으로 이를 지원하는 보안 클라우드 환경을 구축하기 위해 확장 가능하고 반복 가능한 프로세스 세트를 만들었습니다. 이를 통해 보안이 고객의 비즈니스 조력자가 되었을 뿐만 아니라 이 환경이 금융 서비스 산업 감사를 위한 보안 요구 사항을 충족하거나 초과할 것이라는 확신을 갖게 되었습니다.

사이버 보안 환경에 대한 전체 그림을 보려면 여기에서 시작하세요.