Avustralya finans sektörünün geniş çaplı bir siber güvenlik değerlendirmesi, üçüncü tarafların verileri işleme ve güvenlik standartlarını karşılama şeklindeki zayıflıkları ortaya çıkarmaya devam ediyor.
Değerlendirme nihayetinde 2023’ün sonuna kadar “300’den fazla banka, sigortacı ve emeklilik mütevelli heyetini” kapsayacak ve “APRA tarafından yürütülecek türünün en büyük çalışması” olarak faturalandırılıyor.
APRA şimdiye kadar bunların dörtte birini değerlendirdi ve sonuçlar, 2021’de değerlendirdiği daha küçük bir örneğe büyük ölçüde benziyor.
Yani, tedarik zinciri güvenliği ve “makul aksama senaryolarını” test eden olay müdahale planlarına sahip olmak finans sektörü için bir sorun olmaya devam ediyor.
Bulguların çoğu tedarik zinciri riskiyle ilgilidir.
APRA, üçüncü taraflarca yönetilen bilgi varlıklarının “tam olarak tanımlanıp sınıflandırılmadığını ve bazı durumlarda hiç tanımlanmadığını” söyledi.
APRA, “Uygun tanımlama ve sınıflandırma olmadan, kuruluşların kritik ve hassas verileri yetkisiz erişim veya ifşadan korumak için uygun bilgi güvenliği kontrollerini belirlemesi zor olabilir” dedi.
APRA, “kritik sistemleri yönetmek için hizmet sağlayıcılara güvenen… giderek daha fazla varlık” ile sağlayıcıların bilgi güvenliği kontrollerinin daha iyi güvence altına alınması gerektiğini söyledi.
APRA, sağlayıcıların kontrollerinin değerlendirmelerinin derinliğinden memnun değildi ve bazılarının bağımsız olarak değerlendirilmediğini kaydetti.
Kontrollerin bağımsız olarak değerlendirildiği durumlarda APRA, “bazı durumlarda, kontrol testi yapan iç denetçilerin gerekli bilgi güvenliği becerilerinden yoksun olduğunu” tespit etti.
APRA’nın ayrıca tespit edilen herhangi bir güvenlik olayı veya zayıflığı hakkında bilgilendirilmesi amaçlanmaktadır.
Ancak, “kritik üçüncü taraflarla yapılan sözleşmelerin, maddi olayları ve kontrol zayıflıklarını APRA’ya bildirme gerekliliğini içermediğini” tespit etti.
APRA, tedarik zinciri risklerinin dışında, olay müdahale planlarının hala çoğunlukla mantıksız senaryolar etrafında oluşturulduğuna veya yeterince kapsamlı bir şekilde test edilmediğine dair endişelerini de dile getirdi.
2021’deki pilot uygulamada APRA, finans sektörünün fidye yazılımı olay müdahalesine hazırlıksız olduğundan endişeliydi.
Şimdi, veri ihlali, kimlik bilgilerinin tehlikeye atılması, hizmet reddi saldırıları, “internete dönük bir platformun hacklenmesi” ve “gelişmiş bir kalıcı tehditle uzlaşma” dahil olmak üzere çok daha geniş bir senaryo yelpazesinin test edildiğini görmek istiyor.
APRA, uyumluluktaki boşlukları belirlediği alanlarda tipik olarak “denetim gözetimini yoğunlaştırdığını” söyledi.