Кібербезпека є одним із найбільш актуальних викликів щороку для підприємств із різних галузей, в тому числі банків і фінансових компаній. Ризики, яким вони протистоять, можуть поставити під загрозу дані установи й клієнтів, та зрештою вплинути на довіру останніх та репутацію компанії. При цьому банки та небанки, залишаючись головними цілями для кіберзлочинців, продовжують впроваджувати інновації та інтегрувати нові рішення. Все це вимагає стратегії з кібербезпеки, яка враховуватиме нові тенденції та ризики.
Аналітична та аудиторська компанія Baker Tilly проаналізувала ці тенденції та надала фінансовим гравцям свої рекомендації.
ШІ та автоматизація
Банки та фінансові компанії застосовують штучний інтелект та машинне навчання, зокрема щоб покращити взаємодію з клієнтами. Незважаючи на те, що ШІ допомагає оперативніше виявляти загрози та реагувати на них швидше, кіберзлочинці також все активніше використовують його для більш складних атак, таких як фішинг із підтримкою штучного інтелекту та шахрайство з дипфейками.
Порада: фінустановам необхідно використовувати штучний інтелект та автоматизацію для посилення захисту. Крім того, важливе значення мають постійні інвестиції в навчання співробітників, щоб вони могли швидко розпізнавати нові загрози і реагувати на них.
Безпека в хмарі
Зі збільшенням кількості банківських операцій, які переходять у хмару, надійне шифрування, багатофакторна автентифікація та регулярні аудити стали важливішими, ніж будь-коли.
Порада: розробіть комплексну стратегію хмарної безпеки, яка включає як технологічні рішення, так і регулярні аудити для підтримки комплаєнс.
Відповідність нормативним вимогам
Регуляторні органи посилили свою увагу до кібербезпеки, вимагаючи від фінансових установ дотримання суворих інструкцій і стандартів звітності.
Порада: намагайтеся сприймати зусилля з дотримання вимог як процес постійного вдосконалення для підтримки стійкості.
Управління ризиками третіх сторін
Фінансові установи продовжують значною мірою покладатися на сторонніх постачальників, що збільшує ризики.
Порада: проводьте регулярне оцінювання сторонніх постачальників і продовжуйте дотримуватись суворих вимог кібербезпеки до своїх постачальників.
Еволюція багатофакторної автентифікації (MFA)
У 2025 році ми побачимо більш просунуті форми автентифікації, які покладаються на біометричні дані, такі як розпізнавання обличчя, розпізнавання голосу та біометрія поведінки (моніторинг взаємодії користувачів зі своїми пристроями).
Порада: фінансовим установам потрібно буде прийняти та інтегрувати методи MFA наступного покоління, щоб покращити взаємодію з користувачем, а також щоб іти в ногу з досвідченими кіберзлочинцями, які постійно розробляють способи обходу традиційних заходів безпеки. Звісно, це потребуватиме інвестицій у нові технології.
Кібербезпека як послуга
Оскільки кіберзагрози продовжують розвиватися, очікується, що багато фінансових установ запровадять моделі “Кібербезпека як послуга” (Cybersecurity as a Service, CaaS). Цьогоріч аутсорсинг певних аспектів кібербезпеки, таких як виявлення загроз, управління вразливістю та реагування на інциденти, стане більш поширеним, особливо серед невеликих банків, яким може не вистачати ресурсів для повноцінної внутрішньої команди безпеки.
Порада: фінансові організації можуть використовувати досвід і передові інструменти постачальників кібербезпеки, що дозволить знизити витрати та операційну складність.
Кібербезпека фінансових установ у 2025 році: коментар експерта
Ми запитали у Віталія Якушева, CEO компанії 10Guards, про те, що банкам і фінансовим компаніям варто враховувати при побудові стратегії з кібербезпеки на 2025 рік.
“Фінансовий сектор завжди буде в об’єктиві фінансово вмотивованих хакерів (котрі заробляють на кібератаках) і нефінансово вмотивованих хакерів (кібервійська та хакери-активісти), бо в цих компаніях є як гроші, так і чутливі дані клієнтів-власників цих грошей. Тому складова кіберризиків серед усіх бізнес-ризиків для таких компаній дуже висока.
Головний принцип безпеки, орієнтованої на результат – зробити бюджет на безпеку інвестиціями, а не витратами. Для цього треба кіберризики порахувати кількісно (у грошах), тобто які будуть потенційні витрати у випадку якоїсь кібератаки (витрати від простою бізнесу, викрадання грошей, сплата штрафів, втрата клієнтів і нових контрактів/клієнтів, витрати на юристів тощо), і по кожному ризику впроваджувати захист як технологічний (антивіруси/захист кінцевих точок, міжмереживні екрани, системи моніторингу, резервного копіювання тощо), так і організаційно-процесні (запровадження культури кібербезпеки на рівні бізнес-процесів, як то парольні політики, політики оновлень, доступів до даних), включаючи навчання персоналу протидії атакам соціальної інженерії (фішинг на пошту та у месенджерах, вішинг (телефоном)).
Тільки в системному, прорахованому підході до кіберзахисту може бути ефективність, інакше це буде ще одна частина витрат”.
