金融機関は、耐用年数が経過した機器のアップグレードや撤去が十分な速さで行われておらず、重要なデータを扱うスタッフ全員を特定できず、システムへのアクセス権を持つパートナーの包括的なリストを維持できていないことを認めている。
銀行の業務停止や大規模なデータ漏洩が相次ぐ中、金融機関はサイバーおよびテクノロジーへの耐性を高めるよう、業界監視機関、国会議員、国民からますます圧力を受けている。
金融行動監視機構は、2017年9月から2018年10月までの業務上の失敗に関する独自のデータと比較し、回復力の状態を評価するため、約300社の大規模および小規模企業を対象に調査を実施した。
英国銀行業界の悲惨な状況*:今回はクライズデール銀行とヨークシャー銀行
続きを読む
全体では、この1年間に646件の業務上のインシデントが発生し、そのうち511件がテクノロジー関連、119件がサイバー関連に分類されました。残りは洪水など、テクノロジー関連以外の問題でした。しかし、FCAは、企業が重大な事象を過少報告していると考えていると指摘しました。
今週発表された報告書(PDF)全体を通じて、監視機関は、回復力のいくつかの基本的な側面が考慮されていない、または適切に準備されていないことに対して失望を表明した。
同報告書は、金融ビジネスが一部の分野で成熟していると報告しているものの、こうした強みは別の分野の弱さによって損なわれるだろうと警告し、こうした分野の多くは明らかに取り組むべき分野であると述べた。
「企業が自社の技術資産によって自社の事業や顧客にもたらされるより明白なリスクに対処していないことを懸念している」と同社は述べた。
特定された弱点の中には、第三者に関する知識の欠如があり、これは運用上のインシデントの根本原因として2番目に多く、年間で合計646件のうち約71件を占めています。
ほとんどの組織(80%)がこれらの関係者の登録簿を保持していると述べているにもかかわらず、すべてのパートナーやシステムとデータにアクセスできる関係者全員の包括的なリストは保持していませんでした。
大企業では66%、小企業では59%のみがサードパーティの対応および復旧計画を理解しており、独自のテスト計画にサードパーティを含めていたのはそれぞれわずか22%と19%でした。
FCAは「第三者が企業の業務の回復力に及ぼすリスクが広く認識されていること、および第三者が関与する事件の数を考慮すると」、これには失望したと述べた。
二つの銀行のTITSUPの完璧なタイミング:全く弁解の余地なし、給料日を台無しにした
続きを読む
組織は耐用年数を迎えた資産の管理においても同様の課題を抱えていました。多くの組織がハードウェアとソフトウェアを定期的に点検していると回答していましたが、多くの場合、これらは手作業または場当たり的なプロセスであり、キットの状況を継続的に把握できていません。
さらにFCAは、見直しが実施された場合でも「企業のほぼ半数が、合理的な期間内に耐用年数を迎えた資産のアップグレードや撤去を行っていない」と指摘した。また、その間にリスク管理体制を強化するための措置も示していない。
FCAは、「サポートされていない資産の脆弱性が適時に特定され、修正されないという重大なリスクがある」と述べた。「これは攻撃者にとって常套手段だ」
もう一つの明らかな攻撃の入り口は人ですが、ここでも企業は的を外しているようです。
彼らは、特別なトレーニングしか提供していないと報告しており、重要かつ機密性の高いデータを扱う高リスクのスタッフを特定して管理するのに問題がありました。誰が高リスクであるかを知っていたとしても、追加のトレーニングを提供していたのはわずか47パーセントでした。
FCAは「ソーシャルエンジニアリングやフィッシングがサイバー攻撃の手段として広く利用され、これらの役職が標的にされることを考えると、これは重大な弱点となる」と述べた。
「多くの場合、このリスクは同時に従業員の活動の監視が欠如していることでさらに悪化するため、企業は従業員の行動やその後の活動における異常を検知できない可能性が高くなります。」
潜在的なサイバー攻撃を検知し、対応を支援する自動システムを導入しているのは、最大規模の企業のみとされています。その他の企業は手作業に依存しているか、あるいは全く導入していないケースもあります。
しかし、運用上のインシデントのほとんどは IT の変更によって発生したと特定されており、2017 ~ 2018 年に報告された総数のうち 91 件に上ります。
FCAは、この件は、各社がこの分野での能力は概ね成熟しているとみていたため、現実と各社の自己評価した強みとの間に乖離があることを露呈したと述べた。
FCAは、回復力に関する最近の論文で述べたコメントを繰り返し、時には物事がうまくいかないこともあると認識していると述べた。
しかし同社は、調査結果が、重要なビジネスサービスの特定や回復の実現など、同社がすでに提示した主要課題が企業の考えの一部ではないことを示していると強調した。
報告書で特定された主な問題(第三者機関と変更管理)は、2019年の監督計画で考慮される予定であると述べた。®
