 |
| image Information Trust Institute |
Sebuah studi oleh Raytheon dan Websense menemukan bahwa layanan keuangan organisasi melihat tiga kali lebih banyak upaya serangan oleh penjahat cyber dari industri lain. Gartner memperkirakan bahwa pada tahun 2020, belanja global mencegah dan remediating cyberattacks akan memukul $ 170.000.000.000.
Banyak statistik yang lebih bisa dikutip, tetapi intinya adalah, apa yang bisa lembaga keuangan lakukan untuk meningkatkan kesiapan cybersecurity?
Untuk secara efektif mendeteksi dan mengelola cyberattacks, lembaga keuangan harus memahami: yang jenis serangan cyber yang meningkat; taktik yang digunakan untuk mencapai serangan tersebut; dan yang jenis serangan biaya yang paling. Berbekal pengetahuan ini, bank dapat mengambil langkah-langkah proaktif untuk melindungi bisnis mereka dan pelanggan mereka dalam hal pelanggaran.
Serangan phishing meningkat
Phishing adalah sumber nomor satu dari serangan cyber pada tahun 2016, menurut 2017 PricewaterhouseCoopers (PwC) global Negara Survey Keamanan Informasi. Phishing adalah upaya aktor yang buruk untuk merebut kepercayaan pengguna, data keuangan, atau informasi sensitif lainnya dengan berpura-pura menjadi sumber komunikasi email yang sah.
Hacker terus mempekerjakan taktik ini karena semua yang diperlukan adalah satu karyawan untuk membuka email yang tidak curiga dan klik pada link yang buruk, memberikan akses hacker ke jaringan perusahaan.
Phishing teknik terus berkembang. Tombak-phishing, misalnya, adalah taktik yang sangat bertarget dan disesuaikan di mana sumber email tampaknya menjadi orang otoritas dalam organisasi penerima sendiri. Tombak-phishing biasanya membutuhkan usaha minimal dengan hasil yang besar, seperti yang digambarkan oleh profil tinggi serangan tombak-phishing baru-baru ini. serangan profil tinggi tersebut termasuk JPMorgan Chase, di mana 82 juta rekening nasabah yang hack ketika mandat karyawan dicuri.
Memerangi serangan phishing
Maraknya serangan phishing membuktikan bahwa penjahat cyber memahami bagaimana untuk menargetkan organisasi, dan mencuri segala sesuatu dari kekayaan intelektual, kredensial jaringan, uang, kecerdasan pelanggan, data karyawan, dan banyak lagi.
Untuk memerangi serangan tersebut, lembaga keuangan harus menilai kebijakan mereka saat ini sekitar penggunaan email, lampiran, dan penggunaan web. Dengan mengevaluasi kebijakan mereka, kontrol, dan pendidikan karyawan, bank dapat menentukan di mana mereka rentan dan mengambil langkah-langkah untuk memperkuat strategi cybersecurity mereka.
Lembaga keuangan juga harus memberlakukan kontrol tertentu, termasuk email dan filter web, anti-virus, anti-malware, dan kontrol deteksi perilaku anomali. Ini pengamanan sederhana dapat membantu lembaga tetap di depan banyak ancaman lazim.
Mempromosikan kesadaran phishing antara karyawan penting. Bank dapat memberikan pelatihan untuk karyawan baru dan pelatihan karyawan yang sedang berlangsung. Selain itu, tes phishing dan kuis pop dapat digunakan untuk cepat menilai reaksi karyawan untuk upaya tombak-phishing.
USB Drives, malvertising, dan ransomware
Sementara phishing mungkin hacker 'senjata pilihan, ancaman lain harus pada bank radar.
 |
| image infrastructure-intelligence |
USB Drives
Dikompromikan USB drive dapat berisi malware yang memiliki kemampuan untuk menyerang komputer terisolasi. Orang sering menggunakan memori stick ini tanpa berpikir dua kali tentang keamanan.
Keamanan tergantung pada hanya menggunakan memori stick yang berasal dari sumber yang terpercaya. Karyawan tidak harus membawa drive sendiri untuk bekerja. Sebagai tindakan pencegahan tambahan, bank dapat mendorong karyawan untuk menonaktifkan fitur autorun pada komputer mereka dan secara teratur back up data sebagai tindakan pencegahan.
malvertising
Malvertising belum hacker taktik lain yang sering digunakan. Bahkan, 2.016 laporan Cyphort Labs mengungkapkan bahwa kampanye malvertising telah meningkat 325% sejak 2014. Hacker tempat malware pada populer, situs terpercaya seperti YouTube atau Yahoo. Konsumen yang mengunjungi situs ini maka sengaja klik pada iklan palsu yang menginfeksi komputer mereka.
Meskipun mengurangi ancaman malvertising sebagian besar jatuh di pundak jaringan iklan dan pemilik situs web, pengguna web di lembaga keuangan dapat mengambil tindakan dengan memastikan semua sistem komputer dengan benar ditambal dan diperbarui-termasuk teratur blocker iklan.
Ransomware
Ransomware adalah jenis virus komputer yang mengacak file korban dan menuntut pembayaran uang tebusan dalam pertukaran untuk berkas dikembalikan. Ancaman ini dengan cepat menjadi salah satu risiko terbesar dan paling merusak bagi bank. Internet Crime Complaint Center melaporkan bahwa korban ransomware membayar lebih dari $ 24 juta kepada ransomware penjahat pada tahun 2015 saja.
Lembaga keuangan adalah contoh utama dari sebuah organisasi pada risiko serangan ransomware ditargetkan. Hacker dapat menyimpan sensitif sandera data keuangan, mengancam membocorkan informasi rahasia kecuali pembayaran diterima.
Teratur back up file penting dan memastikan semua sistem dan program diperbarui dan ditambal pada waktu yang tepat dapat membantu melindungi lembaga keuangan dari ransomware.
Hal ini juga bijaksana untuk karyawan lembaga keuangan untuk membiasakan diri dengan kebijakan ransomware organisasi, termasuk:
• Bagaimana mereka akan melakukan bisnis dalam hal serangan ransomware.
• Jika dan berapa banyak lembaga bersedia membayar hacker.
• Siapa yang akan berbicara kepada media.
• Bagaimana pelanggan akan diberitahu.
Ini semua harus dipahami dan di tempat sebelum serangan. Selama insiden, penegakan hukum atau pengacara mungkin diwajibkan untuk membuktikan lembaga lalai atau melaporkan kejadian tersebut ke Federal Trade Commission.
kesiapan cybersecurity
Tidak ada lembaga keuangan yang bebas dari serangan cyber yang potensial. Sebagai cyberattacks berkembang dan ancaman baru muncul, lembaga keuangan harus konsisten menguji pertahanan mereka untuk kerentanan. Bank harus berusaha untuk terus meningkatkan program cybersecurity mereka dan anggaran tepat untuk hardware, software, dan tenaga untuk melakukannya.
Untuk mulai membangun program cybersecurity, lembaga keuangan dapat merujuk pada FFIEC Cybersecurity Assessment Tool dan Keamanan Informasi buku pegangan. Alat-alat ini memberikan kerangka kerja yang optimal untuk suatu program. Selanjutnya, untuk memastikan rencana cybersecurity solid, menyewa pihak ketiga yang independen untuk memeriksa sistem dan melaporkan setiap perbaikan yang diperlukan juga dapat membantu.
Ke depan pada tahun 2017, industri keuangan mungkin akan melihat peningkatan tajam dalam serangan cyber dan peraturan cybersecurity baru, seperti yang diusulkan oleh New York State Department of Financial Services .
Mengambil langkah-langkah pencegahan terhadap tren teknik yang digunakan oleh hacker dan konsisten pengujian untuk kerentanan jaringan akan membantu lembaga keuangan saat ini berada di depan kriminal di dunia maya dan mencegah mahal efek samping dari pelanggaran data yang berhasil.
Tentang Penulis
Sean Feeney adalah CEO dari DefenseStorm . Perusahaan ini adalah platform data keamanan melayani lembaga keuangan.
Comments