Finanzen
Vom Diebstahl von 26.000 Kiwisaver-Kundendaten bis hin zu DDoS-Angriffen auf NZX und zwei Großbanken versucht die Finanzmarktaufsicht, dem Finanzsektor bei Gegenangriffen zu helfen. James Craig fragt, ist Ihr Geld neben der Abschussliste des Cyber-Angreifers?
Kommentar: Die Reaktion Neuseelands auf Russlands Krieg in der Ukraine erhöht das Risiko von Cyberangriffen auf die digitale Küste, und Finanzdienstleister sind bekanntermaßen das Hauptziel.
Umfang und Schwere von Cyberangriffen haben in den letzten Jahren bereits zugenommen. Im Jahr 2020 wurde der Anbieter Kiwi Saver gehackt und die Kundendaten von 26.000 Personen gestohlen. Ein DDoS-Angriff (Distributed Denial of Service) wird NZX später in diesem Jahr offline schalten. Dasselbe geschah im vergangenen Jahr mit den Online-Diensten zweier Großbanken. In einigen dieser Fälle haben wir, die Finanzmarktaufsichtsbehörde, eng mit Einrichtungen zusammengearbeitet, um auf Angriffe zu reagieren und die Interessen unserer Kunden und Investoren zu priorisieren.
Jetzt gibt es eine sehr reale Bedrohung für militärische Cyberkampagnen, die von Russland oder seinen Agenten durchgeführt werden – zusätzlich zu all den üblichen böswilligen Angreifern, die versuchen, betrügerisches Geld zu machen.
Was kommt als nächstes? Werden Ihre persönlichen Daten gestohlen, um im Dark Web gehandelt zu werden? Oder haben Sie den Zugriff auf Ihr Online-Konto verloren?
Was noch wichtiger ist, was tun Ihre Banken, Versicherungsunternehmen und Kiwi Saver-Anbieter jetzt, um dies zu verhindern? Wenn eines in diesem Jahr so gut wie sicher ist, dann wird es ein Cyberangriff sein.
Wenn Sie sich nur die letzten Statistiken ansehen, können Sie sehen, dass sie nicht verschwunden sind.
Finanzieren Sie beliebte Ziele
Im ersten Quartal dieses Jahres wurden CERT NZ 167 Cyber-Vorfälle gemeldet, die neuseeländische Organisationen betrafen, von denen mehr als die Hälfte nur den Finanz- und Versicherungssektor betrafen.
Diese Angriffe schaden nicht nur Organisationen und ihren Kunden, sondern untergraben auch das Vertrauen der Verbraucher und in Finanzdienstleistungen.
Leider hat die Technologie in der Realität des modernen Handelsumfelds Finanztransaktionen schneller und zugänglicher gemacht, aber auch neue Risiken geschaffen.
Eine solche Bedrohung unseres kollektiven finanziellen Wohlergehens erfordert eine angemessene Reaktion von großen und kleinen Unternehmen, denen unser Vermögen anvertraut ist.
Aus diesem Grund hat die Finanzmarktaufsichtsbehörde ein Informationsblatt veröffentlicht, das dem Finanzsektor helfen soll, widerstandsfähiger gegen Cyberangriffe zu werden. Beim Einsatz eines sicheren und zuverlässigen IT-Systems ist es unsere Aufgabe, sicherzustellen, dass die Branche die Mindestlizenzierungsstandards erfüllt, und das Informationsblatt zeigt, was von der Branche erwartet wird.
Minimale Sicherheit
So wie Inhaltsversicherer damit rechnen, Türen zu verschließen, hat die FMA minimale Erwartungen an Finanzdienstleister und deren Cybersicherheit. Dazu gehören Systeme und Kontrollen, die sicherstellen, dass die Sicherheit der Größe und Art des Unternehmens angemessen ist.
Unabhängig von der Anzahl der Kunden in einem Unternehmen sollten Sie zum Beispiel idealerweise eine „Großvater-Vater-Sohn“-Backup-Strategie verfolgen. Bei dieser Strategie werden die Daten zyklisch gespeichert, normalerweise monatlich, wöchentlich oder täglich (daher der Name).
Unternehmen müssen ihre Mitarbeiter auch regelmäßig über Risiken aufklären. Denn während Menschen ihre größte Stärke bei der Erkennung von Bedrohungen sind, können sie auch große Schwächen sein. Wir alle wissen, wer auf den Link zu dem geklickt hat, was Sie nicht haben sollten.
Anbieter sollten die Cyber-Resilienz mindestens jährlich überprüfen und auf anomale Aktivitäten achten (Audit-Protokolle, Systemzugriff, Überprüfung des Transaktionsverhaltens). Und sie sollten niemals davon ausgehen, dass ihnen das nicht passieren könnte.
Reaktions- und Wiederherstellungspläne sollten in der obersten Schublade des Anbieters sein. Auf diese Weise wissen Sie, was zu tun ist, wenn ein Angriff auftritt (einschließlich dringender Meldungen an die zuständigen Aufsichtsbehörden und deren Kunden) und wie Sie kritische Dienste schnell zusammenfassen können.
Wir erwarten von unseren Kunden, dass sie in ihren ursprünglichen Zustand zurückkehren, als wäre kein Unfall passiert, und angemessen und rechtzeitig zu reagieren.
Investition in Cyber-Resilienz
Natürlich gehen Finanzdienstleister, die sich für den Schutz der Gelder und personenbezogenen Daten ihrer Kunden einsetzen, über diese Mindesterwartungen hinaus.
Anbieter müssen ständig auf neue Bedrohungen hören, die sich auf die Branche auswirken, und nach Entwicklungen suchen, die schließlich hier im Ausland ankommen werden. Sie fühlen sich im Moment vielleicht nicht verwundbar, aber neue Trends werden wahrscheinlich bald auftauchen.
Unternehmen müssen kontinuierlich in Cyber Resilience investieren und diese als notwendige Fixkosten anerkennen. Dies ist gleichbedeutend mit einer Versicherung für Ereignisse, die viel mehr kosten können, einschließlich Reputation.
Wenn Ihr Anbieter nicht über gut ausgebildetes internes Personal verfügt, sollten Sie die Dienste eines unabhängigen Spezialisten in Anspruch nehmen, der Ihnen hilft, die Schwachstelle zu verstehen. Darüber hinaus müssen Penetrationstests durchgeführt werden, um herauszufinden, wo der Anbieter seine Ressourcen konzentriert.
Auch die ständige Aufklärung der Kunden sollte Priorität haben. Über die Wichtigkeit, Passwörter regelmäßig zu ändern und robuste Cyber-Schutz-Software zu verwenden. Und das Risiko, ihre Daten online zu teilen. Mit anderen Worten, die Verantwortung des Anbieters endet nicht im Geschäft.
Resilienz ist keine Option
2019 untersuchte die FMA die Cyber Resilience von Finanzdienstleistern. Besorgniserregend ist, dass die meisten Menschen ihre Fähigkeit, Bedrohungen zu erkennen und darauf zu reagieren, nicht zu schätzen wussten. Die meisten Verbesserungen werden im nächsten Jahr erwartet – so auch die Erwartung der FMA.
Drei Jahre später verstärkten wir unseren Fokus auf Resilienz. Das heißt, überprüfen Sie den Anbieter, um zu sehen, ob er sich wirklich verbessert hat. Dies kann bedeuten, dass einige Anbieter Aktionspläne in Betracht ziehen und ihre Abwehr stärken müssen. Cyber-Bedrohungen entwickeln sich ständig weiter – halten die Anbieter Schritt?
Leider hat die Technologie in der Realität des modernen Handelsumfelds Finanztransaktionen schneller und zugänglicher gemacht, aber auch neue Risiken geschaffen.
Und obwohl Sie das Schlechte nicht unbedingt für das Gute akzeptieren müssen, müssen Sie auf jeden Fall darauf und auf das Worst-Case-Szenario vorbereitet sein.