FS-ISAC đặt rủi ro bên thứ ba (TPR) là một trong ba rủi ro an ninh mạng hàng đầu cho năm 2021. Nó lập luận rằng 'các nhà cung cấp cho các công ty tài chính sẽ tiếp tục là mục tiêu sinh lợi cho các tác nhân đe dọa', trích lời JR Manes, Giám đốc Toàn cầu về Tình báo Mạng tại HSBC:“Các tổ chức thực hành đúng đắn về quốc phòng chuyên sâu với các biện pháp kiểm soát nhiều lớp vẫn dễ bị ảnh hưởng bởi các vấn đề quy mô lớn và thậm chí mang tính hệ thống thông qua các nhà cung cấp bên thứ ba.”

Một trong những cuộc tấn công nổi tiếng nhất vào chuỗi cung ứng diễn ra vào tháng 12 năm 2020. Những kẻ tấn công nhà nước-quốc gia có liên kết với Nga đã xâm nhập phần mềm giám sát của SolarWinds, được hàng nghìn doanh nghiệp và cơ quan chính phủ sử dụng. Kẻ thù ẩn náu trong hệ thống của các công ty trong nhiều tháng, đánh cắp IP doanh nghiệp có giá trị.

Các nhà cung cấp dịch vụ đám mây, nhà cung cấp dịch vụ bảo mật được quản lý và các bên thứ ba khác thực hiện các dịch vụ quan trọng cho nhiều khách hàng có giá trị, chẳng hạn như tích hợp API cho các sáng kiến ​​Ngân hàng mở, sẽ tiếp tục là mục tiêu sinh lợi cho các tác nhân đe dọa. Nó có thể là ăn cắp dữ liệu, tiền hoặc hệ thống truy cập.

Không phải tất cả các ngân hàng đều xử lý nội bộ:nhiều dịch vụ thuê ngoài như ngân hàng trực tuyến, đầu tư, ứng dụng di động và trang web. Cuối cùng, với sự phát triển của các quy định về quyền riêng tư dữ liệu toàn cầu hiện đang áp dụng theo từng tiểu bang ở Hoa Kỳ, các ngân hàng sẽ cần phải chăm chỉ hơn với các nhà cung cấp của họ so với trước đây.

Trở thành
khả năng phục hồi hoạt động trên không gian mạng là chìa khóa. Khi vi phạm xảy ra (không phải nếu), yếu tố quan trọng là phải phản ứng hiệu quả càng nhanh càng tốt. Các kế hoạch khắc phục hậu quả sau vi phạm phải được đưa ra - và được diễn tập - để hạn chế thiệt hại. Tuy nhiên, bạn cũng có thể lập kế hoạch trước:

• Phát triển các kịch bản thử nghiệm thâm nhập, cả bên ngoài và bên trong, sẽ gây ra tác động nghiêm trọng đến hoạt động kinh doanh.
• Hiểu đúng những điều cơ bản - ví dụ:đảm bảo tất cả các hệ thống đều được vá 100%.
• Củng cố các công cụ bảo mật của bạn:Gartner ước tính các ngân hàng cấp 1 có hơn 100 ngân hàng cấp 2 và 20-45 cấp 2, quá nhiều.
• Giữ các tuyến phòng thủ của bạn hoạt động riêng biệt trước tiên, sau đó là quản lý rủi ro, sau đó là kiểm toán nội bộ. Ba lĩnh vực này có vai trò riêng biệt trong các ngân hàng cấp 1, nhưng chúng có xu hướng chồng chéo lên nhau ở các cấp thấp hơn.
• Để tránh phức tạp, các nhà cung cấp nên được hợp nhất về bảo mật đám mây, quản lý ID / quyền truy cập, phân tích bảo mật và phát hiện mối đe dọa
• Tập trung vào bảo vệ dữ liệu và tính di động:GDPR đã có tác động đáng kể đến các ngân hàng và vẫn còn các vấn đề xung quanh quyền riêng tư và bảo mật (ví dụ:trong các lĩnh vực như quản lý sự đồng ý)
• Thiết lập một vành đai nhận dạng để cung cấp khả năng kiểm soát tập trung, hiệu quả đối với các môi trường kỹ thuật số rộng lớn
• Cung cấp ROI đầu tư:hồ sơ rủi ro của bạn sẽ giảm xuống sau khi đầu tư mạng.

Bạn có thể muốn thực hiện các đánh giá bảo mật đám mây cụ thể. Một công đoàn tín dụng của Hoa Kỳ muốn áp dụng AI và Học máy để chủ động cung cấp cho các thành viên của họ những đề nghị đáp ứng nhu cầu tài chính của họ. Chúng tôi đã tạo một tập hợp các quy trình có thể mở rộng, có thể lặp lại để xây dựng một môi trường đám mây an toàn nhằm hỗ trợ điều này, dựa trên Microsoft Azure, để sử dụng trong các môi trường sản xuất tiếp theo. Điều này không chỉ cho phép bảo mật trở thành một yếu tố thúc đẩy kinh doanh cho khách hàng mà còn tăng cường niềm tin của họ rằng môi trường này sẽ đáp ứng hoặc vượt quá các yêu cầu bảo mật cho hoạt động kiểm toán ngành dịch vụ tài chính của họ.

Bắt đầu tại đây để có bức tranh toàn cảnh về toàn cảnh an ninh mạng của bạn.