En nylig rapport fra SecurityScorecard fremhæver en betydelig cyberresiliens-krise, der påvirker finansielle institutioner i Den Europæiske Union (EU), med svimlende 78% af de største enheder, der har oplevet tredjepartsbrud i løbet af det seneste år.

Det eskalerende trusselslandskab, eksemplificeret ved angreb som MOVEit og SolarWinds, har understreget, at det haster med robuste cybersikkerhedsforanstaltninger og omfattende strategier til at styre leverandørrisici og sikre overholdelse.

Hvad der er endnu mere bekymrende er, at 84% af disse finansielle institutioner er blevet ofre for brud fra en fjerdepart, hvilket kaster lys over det indviklede netværk af skjulte risici, der lurer i almindelig visning. Opretholdelse af synlighed på tværs af både tredjeparts- og fjerdeparts økosystemer er af altafgørende betydning, selv om der er mangel på konsensus i organisationer om måling og overvågning af fjerdepartsrisici.

Effekt af ​​Supply Chain-angreb

Kun 3% af de vurderede tredjepartsleverandører viste sig at have oplevet brud direkte. Denne statistik understreger den dybe ringvirkning, som hackere nu kan udnytte i langt højere grad. Cyberkriminelle bliver i stigende grad tiltrukket af forsyningskædeangreb på grund af den potentielle udbredte virkning, som infiltrerende udbredt software kan give, hvilket giver dem adgang til en lang række organisationer, der er afhængige af den kompromitterede software.

Følgerne af disse brud er bemærkelsesværdige, hvor 18% af institutionerne modtager en cybersikkerhedsvurdering på 'C' eller derunder. Denne uheldige karakter placerer dem på et sårbarhedsniveau fire til syv gange højere end dem, der har en 'A'-rating. Syv nøglefaktorer, der i væsentlig grad bidrager til cyberrisiko og kan tjene som forudsigere for potentielle brud, omfatter slutpunktssikkerhed, patchingsfrekvens, ransomware-beredskab, DNS-sundhed, IP-omdømme, "cubit"-score og netværkssikkerhed.

En opfordring til forbedret cyberresiliens

Matthew McKenna, Chief Sales Officer hos SecurityScorecard, fremhæver bekymringerne og udtaler, at hvis næsten 20 % af EU's mest fremtrædende finansielle enheder er vurderet som 'C' eller værre, betyder det, at andre finansielle organers overordnede cyberresiliens sandsynligvis er meget lavere. Han understreger behovet for et pålideligt perspektiv på sikkerhedsrisici og bemærker, at SecurityScorecards dynamiske risikoopdagelse på tværs af en kundes hele angrebsoverflade, inklusive tredjeparts- og fjerdeparts økosystemer, væsentligt kan mindske risikoen for kompromis.

Undersøgelse af cyberrisiko efter finanssektor

Blandt forskellige finansielle vertikaler ser detailbanker ud til at have den højeste risiko, hvor 82 % kæmper med tredjepartsbrud inden for det seneste år, og 8 % har oplevet brud inden for deres egne domæner. Omvendt udviser forsikringsselskaber de laveste sikkerhedsscore, da 24% har en 'C'-sikkerhedsvurdering eller lavere, og svimlende 78% har rapporteret tredjeparts- eller tredjepartsbrud. Navnlig har private equity-selskaber gjort cybersikkerhed til en prioritet, idet de ikke kan prale af nogen brud inden for deres domæner og opnået topvurderinger; kun 9 % har en 'C'-vurdering eller derunder.

Retning af finansielle institutioner mod objektiv cyberrisikovurdering

En hjørnesten i EU's digitale cyberrisikostrategi, DORA, drejer sig om styring af tredjepartsrisici. Dette indebærer at identificere og evaluere alle potentielle trusler mod data, systemintegritet, tilgængelighed og en enheds operationelle kontinuitet i forhold til tredjepartshændelser.

Dan Morgan, Senior Government Affairs Director for Europe & APAC hos SecurityScorecard, understreger vigtigheden af ​​at vælge troværdige partnere og etablere bæredygtig tillid som centrale elementer for at styrke modstandsdygtigheden i EU's finansielle servicesektor. Han understreger nødvendigheden af, at finansielle institutioner anvender en upartisk, standardiseret tilgang til måling af tredjeparts cyberrisiko. Denne tilgang, foreslår han, ville bedre informere regulatoriske beslutninger, begrænse cyberhændelser og tilpasse sig EU-regler som DORA.