«Регуляторы должны установить более высокие ИБ-стандарты для всех поставщиков услуг»

Атака на цепочку поставщиков стала причиной взлома Bank of America — многонациональной корпорации инвестиционно-банковских и финансовых услуг. Организация начала уведомлять клиентов о том, что в ноябре 2023 года взлом одного из её поставщиков услуг привёл к раскрытию конфиденциальной информации.

Точкой входа стала компания Infosys McCamish Systems (IMS), дочерняя структура Infosys BPM, которая специализируется на предоставлении решений для страхового и пенсионного секторов. IMS предоставляет услуги по плану отсроченных компенсаций Bank of America. Согласно заявлению IMS, поданному генеральному прокурору штата Мэн, ориентировочно 3 ноября 2023 года в компании произошел инцидент, в результате которого третья сторона получила несанкционированный доступ к системам организации, что привело к недоступности некоторых приложений IMS.

В уведомлении говорилось, что в результате взлома пострадали данные 57 028 клиентов Bank of America. Сведения включали имена и адреса граждан, номера социального страхования, кредитных карт и счетов. 4 ноября IMS уведомила Bank of America об утечке. Ответственность за атаку и шифрование более двух тысяч систем IMS взяла на себя группировка LockBit.

Это не первый случай, когда Bank of America подвергается кибератаке со стороны поставщиков. В прошлом мае компания Ernst & Young, предоставляющая услуги банку, была взломана бандой вымогателей Cl0p с помощью эксплойта нулевого дня в ПО для передачи файлов MOVEit. В этом инциденте также были раскрыты личные данные и финансовая информация клиентов Bank of America.

Многочисленные примеры подчёркивают тот факт, что крупные компании как Bank of America имеют зрелые протоколы кибербезопасности, отмечают эксперты портала IT Security Guru. В то же время как небольшие организации, например, ISM, не уделяют должного внимания вопросам безопасности, хотя обязаны это делать.

По мнению Тома Келлерманна, старшего вице-президент по киберстратегии компании Contrast Security, «выбирая менее защищённых поставщиков услуг, киберпреступники могут успешно скомпрометировать крупные банки, а регуляторы должны установить более высокие стандарты кибербезопасности для всех поставщиков услуг». При этом ситуация не освобождает от ответственности такие организации, как Bank of America. Возникают вопросы, провёл ли банк комплексную проверку после первой кибератаки на цепочку поставщиков, чтобы гарантировать безопасность работы с партнёрами. После осенней кибератаки ответ на этот вопрос, вероятно, будет отрицательным.

Эрфан Шадаби, эксперт по кибербезопасности из компании Comforte AG, отмечает, что очередное нарушение безопасности говорит о необходимости того, чтобы финансовые учреждения применяли упреждающий подход к кибербезопасности, используя возможности непрерывного мониторинга и анализа угроз для обнаружения угроз и реагирования на них в режиме реального времени.

15 февраля, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

16.04.2024
Сайт просит вас отключить блокировщик рекламы? Не спешите
16.04.2024
Руководителям не хватает качественного общения друг с другом
16.04.2024
НКЦКИ представил свой трекер утечек персональных данных
16.04.2024
Где VPN, там и DDoS. В Госдуме заявили о неочевидной связи этих аббревиатур
16.04.2024
«Мы можем внести свой вклад в будущее и работаем над этим»
15.04.2024
«Мы начали внедрение искусственного интеллекта с самих себя»
15.04.2024
«Ростелеком»: Рынок должен вложиться в инфраструктуру связи
15.04.2024
Балканские инженеры добавили ярких красок в системы безопасности
15.04.2024
Расходы ИТ-компаний на продвижение в СМИ выросли в полтора раза
15.04.2024
Имейл — небезопасный канал для получения распоряжений на перевод

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных