«Регуляторы должны установить более высокие ИБ-стандарты для всех поставщиков услуг»

Атака на цепочку поставщиков стала причиной взлома Bank of America — многонациональной корпорации инвестиционно-банковских и финансовых услуг. Организация начала уведомлять клиентов о том, что в ноябре 2023 года взлом одного из её поставщиков услуг привёл к раскрытию конфиденциальной информации.

Точкой входа стала компания Infosys McCamish Systems (IMS), дочерняя структура Infosys BPM, которая специализируется на предоставлении решений для страхового и пенсионного секторов. IMS предоставляет услуги по плану отсроченных компенсаций Bank of America. Согласно заявлению IMS, поданному генеральному прокурору штата Мэн, ориентировочно 3 ноября 2023 года в компании произошел инцидент, в результате которого третья сторона получила несанкционированный доступ к системам организации, что привело к недоступности некоторых приложений IMS.

В уведомлении говорилось, что в результате взлома пострадали данные 57 028 клиентов Bank of America. Сведения включали имена и адреса граждан, номера социального страхования, кредитных карт и счетов. 4 ноября IMS уведомила Bank of America об утечке. Ответственность за атаку и шифрование более двух тысяч систем IMS взяла на себя группировка LockBit.

Это не первый случай, когда Bank of America подвергается кибератаке со стороны поставщиков. В прошлом мае компания Ernst & Young, предоставляющая услуги банку, была взломана бандой вымогателей Cl0p с помощью эксплойта нулевого дня в ПО для передачи файлов MOVEit. В этом инциденте также были раскрыты личные данные и финансовая информация клиентов Bank of America.

Многочисленные примеры подчёркивают тот факт, что крупные компании как Bank of America имеют зрелые протоколы кибербезопасности, отмечают эксперты портала IT Security Guru. В то же время как небольшие организации, например, ISM, не уделяют должного внимания вопросам безопасности, хотя обязаны это делать.

По мнению Тома Келлерманна, старшего вице-президент по киберстратегии компании Contrast Security, «выбирая менее защищённых поставщиков услуг, киберпреступники могут успешно скомпрометировать крупные банки, а регуляторы должны установить более высокие стандарты кибербезопасности для всех поставщиков услуг». При этом ситуация не освобождает от ответственности такие организации, как Bank of America. Возникают вопросы, провёл ли банк комплексную проверку после первой кибератаки на цепочку поставщиков, чтобы гарантировать безопасность работы с партнёрами. После осенней кибератаки ответ на этот вопрос, вероятно, будет отрицательным.

Эрфан Шадаби, эксперт по кибербезопасности из компании Comforte AG, отмечает, что очередное нарушение безопасности говорит о необходимости того, чтобы финансовые учреждения применяли упреждающий подход к кибербезопасности, используя возможности непрерывного мониторинга и анализа угроз для обнаружения угроз и реагирования на них в режиме реального времени.

15 февраля, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.09.2025
ВТБ: Переход к своим решениям — один из трендов современного финтеха
18.09.2025
«Россельхозбанк»: Китай и «азиатские тигры» показывают кратно опережающую динамику
18.09.2025
«Локомотив» импортозамещения приходит на конечную станцию?
18.09.2025
В Google Workspace появился новый уровень безопасности
18.09.2025
Число угроз API возросло до 40 тысяч инцидентов в первой половине 2025 года
17.09.2025
«Наша задача — обеспечить максимальное удобство и простоту при работе с почтой»
17.09.2025
К 2028 году — выплаты цифровым рублём, универсальный QR-код, биометрические транзакции
17.09.2025
Природа Камчатки киберочистится на четверо суток
17.09.2025
Синтез ИБ и кооперации в новом формате — конференция CoopDays IV
17.09.2025
Госдеп даёт 11 млн долларов за поимку украинского хакера

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных