«Регуляторы должны установить более высокие ИБ-стандарты для всех поставщиков услуг»

Атака на цепочку поставщиков стала причиной взлома Bank of America — многонациональной корпорации инвестиционно-банковских и финансовых услуг. Организация начала уведомлять клиентов о том, что в ноябре 2023 года взлом одного из её поставщиков услуг привёл к раскрытию конфиденциальной информации.

Точкой входа стала компания Infosys McCamish Systems (IMS), дочерняя структура Infosys BPM, которая специализируется на предоставлении решений для страхового и пенсионного секторов. IMS предоставляет услуги по плану отсроченных компенсаций Bank of America. Согласно заявлению IMS, поданному генеральному прокурору штата Мэн, ориентировочно 3 ноября 2023 года в компании произошел инцидент, в результате которого третья сторона получила несанкционированный доступ к системам организации, что привело к недоступности некоторых приложений IMS.

В уведомлении говорилось, что в результате взлома пострадали данные 57 028 клиентов Bank of America. Сведения включали имена и адреса граждан, номера социального страхования, кредитных карт и счетов. 4 ноября IMS уведомила Bank of America об утечке. Ответственность за атаку и шифрование более двух тысяч систем IMS взяла на себя группировка LockBit.

Это не первый случай, когда Bank of America подвергается кибератаке со стороны поставщиков. В прошлом мае компания Ernst & Young, предоставляющая услуги банку, была взломана бандой вымогателей Cl0p с помощью эксплойта нулевого дня в ПО для передачи файлов MOVEit. В этом инциденте также были раскрыты личные данные и финансовая информация клиентов Bank of America.

Многочисленные примеры подчёркивают тот факт, что крупные компании как Bank of America имеют зрелые протоколы кибербезопасности, отмечают эксперты портала IT Security Guru. В то же время как небольшие организации, например, ISM, не уделяют должного внимания вопросам безопасности, хотя обязаны это делать.

По мнению Тома Келлерманна, старшего вице-президент по киберстратегии компании Contrast Security, «выбирая менее защищённых поставщиков услуг, киберпреступники могут успешно скомпрометировать крупные банки, а регуляторы должны установить более высокие стандарты кибербезопасности для всех поставщиков услуг». При этом ситуация не освобождает от ответственности такие организации, как Bank of America. Возникают вопросы, провёл ли банк комплексную проверку после первой кибератаки на цепочку поставщиков, чтобы гарантировать безопасность работы с партнёрами. После осенней кибератаки ответ на этот вопрос, вероятно, будет отрицательным.

Эрфан Шадаби, эксперт по кибербезопасности из компании Comforte AG, отмечает, что очередное нарушение безопасности говорит о необходимости того, чтобы финансовые учреждения применяли упреждающий подход к кибербезопасности, используя возможности непрерывного мониторинга и анализа угроз для обнаружения угроз и реагирования на них в режиме реального времени.

15 февраля, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

16.09.2024
Уголовный кодекс пополнится дипфейками. В хорошем смысле
16.09.2024
Санкт-Петербург ждёт участников «PKI-Форум Россия 2024»!
16.09.2024
Регулятор запрещает запрещать
13.09.2024
Невский экспресс. Питерские чиновники спускаются ниже радаров с помощью московского ПО
13.09.2024
Кибермошенники делают всё больше работы за жертву
13.09.2024
Fortinet не стала платить взломщику
13.09.2024
Moscow Forensics Day 2024 — кратко
13.09.2024
Инфляционное давление поднимается
12.09.2024
Объединение двух банков снизит затраты на ИТ-решения
12.09.2024
Платёжные данные в обмен на бусы. Хакеры заразили мерч Cisco

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных