Svetovne finančne institucije so tarča profesionalnih hekerjev

V preteklem letu so največje svetovne finančne institucije zabeležile skokovito rast varnostnih napadov, še posebej iz zunanjih virov. Več kot tri četrtine (natančneje 78%, leta 2005 le 26%) udeležencev v raziskavi je potrdilo kršitve varnosti iz zunanjih virov, skoraj polovica (natančneje 49%, prejšnje leto 35%) pa jih je zabeležila vsaj eno kršitev znotraj organizacije. Te ugotovitve izhajajo iz globalne raziskave o varnosti 2006, ki so jo ta mesec objavile družbe članice Deloitte Touche Tohmatsu (DTT). Četrta letna raziskava zapored je temeljila na intervjujih z vodilnimi s področja varnosti v največjih svetovnih finančnih institucijah ter služi kot globalno merilo za stanje IT varnosti in zasebnosti na področju finančnih storitev.

Med tri najbolj pogoste vrste napadov, ki so jih globalne finančne institucije zabeležile v preteklem letu iz zunanjih in notranjih virov, spadajo z denarjem povezani napadi. Več kot polovica (51%) zunanjih napadov se nanaša na phishing (tj. pridobivanje zaupnih podatkov s prevaro) in pharming (tj. preusmerjanje uporabnikov na zlonamerne spletne strani), tema vrstama napadov pa sledijo napadi s vohunsko programsko opremo spyware in z zlonamerno ali škodljivo programsko opremo malware (48%). Udeleženci v raziskavi so kot najbolj pogoste notranje kršitve navedli notranje prevare (28%) in razkritje podatkov o strankah (18%).

“Obseg in narava teh varnostnih kršitev opozarjata na nove razmere na globalnem finančnem področju. Samo priprava in izvedba teh napadov zahtevata bistvene vire in koordinacijo, kar kaže na dejstvo, da so profesionalni hekerji in organizirani kriminal vstopili na domeno, ki so jo prej obvladovali amaterji in naključni hekerji,” pojasnjuje Adel Melek, globalni vodja Deloitta za storitve obvladovanja IT tveganj in varnosti v globalnih finančnih institucijah. “Ta novi trend pomeni ne le to, da se organizacije soočajo z bolj prefinjenimi napadi, ki jih je težje odkriti, ampak tudi z večjimi tveganji in potencialnimi izgubami. Finančne institucije morajo tako pri pripravi svoje splošne varnostne strategije upoštevati te nove dejavnike.”

Organizacije so ta novi, nevarnejši profil spletnih napadalcev in povezana tveganja že vzela v zakup z izvajanjem ukrepov za preprečevanje teh groženj. Najpomembnejših pet varnostnih iniciativ za leto 2006 tako že vključuje iniciative za preprečevanje kraje identitete in zlorabe računa (58%) ter za identifikacijo in vodenje dostopa (41%).

“Raziskava Deloitta kaže, da se finančne institucije zavedajo hitro razvijajočega in spreminjajočega se varnostnega okolja, saj spreminjajo prioritete in sprejemajo ukrepe za zmanjševanje različnih varnostnih tveganj in izzivov,” razlaga Adel Melek. “Nedvomno se je pomembno osredotočiti na najresnejše in neposredne grožnje, vendar organizacije pri tem ne smejo gledati preveč ozko in morajo obdržati uravnotežen in celovit pristop do varnosti in povezanih iniciativ.”

Zanimivo je, da v primerjavi z lansko raziskavo na seznamu petih najpomembnejših iniciativ ni več osveščanja o varnosti in povezanega izobraževanja. Medtem ko je 96% udeležencev izrazilo zaskrbljenost glede napačnega ravnanja zaposlenih na področju IT sistemov, je samo tretjina udeležencev (34%) svojim zaposlenim v preteklem letu omogočila z varnostjo in zasebnostjo povezano izobraževanje.

Dodatne ključne ugotovitve raziskave:
– 95 % udeležencev je potrdilo, da so se razpoložljiva sredstva za informacijsko varnost v preteklem letu povečala. Največ razpoložljivih sredstev za varnost se je porabilo za proizvode za nadzorovanje dostopa (76 % udeležencev).
– Za skoraj tri četrtine finančnih institucij (72%), ki so zabeležile varnostne kršitve, je ocenjena škoda, vključno z neposrednimi in posrednimi stroški, znašala 1 milijon ameriških dolarjev ali več.
– To leto je 71% udeležencev dejalo, da imajo upravljavsko strukturo za informacijsko varnost (npr. opredeljene odgovornosti, politike in postopke), 24% udeležencev pa je v procesu vzpostavitve takšne strukture.
– Odstotek finančnih institucij, ki so pripravile strategijo za informacijsko varnost, je padel na 61, 21% institucij pa je v procesu oblikovanja ali posodobitve svoje strategije.
– Dve tretjini (65%) udeležencev ima program za nadzorovanje zasebnosti, kar je 3% manj kot preteklo leto.