«Регуляторы должны установить более высокие ИБ-стандарты для всех поставщиков услуг»

Атака на цепочку поставщиков стала причиной взлома Bank of America — многонациональной корпорации инвестиционно-банковских и финансовых услуг. Организация начала уведомлять клиентов о том, что в ноябре 2023 года взлом одного из её поставщиков услуг привёл к раскрытию конфиденциальной информации.

Точкой входа стала компания Infosys McCamish Systems (IMS), дочерняя структура Infosys BPM, которая специализируется на предоставлении решений для страхового и пенсионного секторов. IMS предоставляет услуги по плану отсроченных компенсаций Bank of America. Согласно заявлению IMS, поданному генеральному прокурору штата Мэн, ориентировочно 3 ноября 2023 года в компании произошел инцидент, в результате которого третья сторона получила несанкционированный доступ к системам организации, что привело к недоступности некоторых приложений IMS.

В уведомлении говорилось, что в результате взлома пострадали данные 57 028 клиентов Bank of America. Сведения включали имена и адреса граждан, номера социального страхования, кредитных карт и счетов. 4 ноября IMS уведомила Bank of America об утечке. Ответственность за атаку и шифрование более двух тысяч систем IMS взяла на себя группировка LockBit.

Это не первый случай, когда Bank of America подвергается кибератаке со стороны поставщиков. В прошлом мае компания Ernst & Young, предоставляющая услуги банку, была взломана бандой вымогателей Cl0p с помощью эксплойта нулевого дня в ПО для передачи файлов MOVEit. В этом инциденте также были раскрыты личные данные и финансовая информация клиентов Bank of America.

Многочисленные примеры подчёркивают тот факт, что крупные компании как Bank of America имеют зрелые протоколы кибербезопасности, отмечают эксперты портала IT Security Guru. В то же время как небольшие организации, например, ISM, не уделяют должного внимания вопросам безопасности, хотя обязаны это делать.

По мнению Тома Келлерманна, старшего вице-президент по киберстратегии компании Contrast Security, «выбирая менее защищённых поставщиков услуг, киберпреступники могут успешно скомпрометировать крупные банки, а регуляторы должны установить более высокие стандарты кибербезопасности для всех поставщиков услуг». При этом ситуация не освобождает от ответственности такие организации, как Bank of America. Возникают вопросы, провёл ли банк комплексную проверку после первой кибератаки на цепочку поставщиков, чтобы гарантировать безопасность работы с партнёрами. После осенней кибератаки ответ на этот вопрос, вероятно, будет отрицательным.

Эрфан Шадаби, эксперт по кибербезопасности из компании Comforte AG, отмечает, что очередное нарушение безопасности говорит о необходимости того, чтобы финансовые учреждения применяли упреждающий подход к кибербезопасности, используя возможности непрерывного мониторинга и анализа угроз для обнаружения угроз и реагирования на них в режиме реального времени.

15 февраля, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.07.2026
В США объявили войну пиратским сайтам, транслирующим футбол
02.07.2026
Инцидент с сервисом 1-800-Dentist грозит масштабной утечкой
02.07.2026
Компания JoyMoney выбрала MaxPatrol SIEM ядром своего SOC
02.07.2026
«К2Тех»: Нового оборудования нет — рынок заполнен б/у-железом
02.07.2026
Open Standard готовит к выпуску долларовый стейблкоин
02.07.2026
Российские регуляторы грозят Apple судом
01.07.2026
«Законодательная инициатива» от Anonymous: BorderAge вместо указания возраста
01.07.2026
Зачем ещё нужна база IMEI в России
01.07.2026
«Эта работа не доказывает, что ИИ повсеместно создаёт рабочие места»
01.07.2026
Анонсирована флагманская LLM Sol с ограниченным доступом

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных