Чем раньше банки начнут свой путь и разработают эффективный подход к моделированию управления рисками решений в области кибербезопасности, тем быстрее они смогут управлять рисками и устанавливать контроль.
Каково текущее состояние модели управления рисками в отношении решений в области кибербезопасности? Не так давно (март 2021 года) регулирующее агентство в Европе стало жертвой атаки на свои серверы, которая затронула его систему электронной почты и потенциально привела к краже личных данных.
Аналогичным образом, восемь месяцев спустя в Северной Америке крупная американская платформа для торговли акциями подверглась утечке данных после того, как злоумышленники смогли взломать ее системы. Хакеры получили доступ к личной информации более чем семи миллионов клиентов торговой платформы. Более того, угрозы институтам продолжают расти из-за более взаимосвязанного мира. В результате продолжающихся и постоянно развивающихся киберугроз Министерство внутренней безопасности США и Европейский центральный банк направили финансовым учреждениям уведомления с просьбой усилить практику, сохранять бдительность и демонстрировать устойчивость.
Поскольку кибератаки становятся все более частыми и изощренными, финансовые учреждения используют все больше аналитических решений и инструментов для анализа и смягчения киберугроз. По мере роста использования кибермоделей растут и риски, связанные с разработкой и использованием этих моделей. Вот почему повышается внимание к модельному управлению рисками (MRM) для решений в области кибербезопасности в попытке выявить ключевые риски в организационных киберрешениях и помочь снизить их. MRM отслеживает риски, связанные с потенциальными неблагоприятными последствиями решений, основанных на неправильных или неправильно используемых моделях.
Первым шагом MRM является определение использования этих аналитических инструментов и включение их в перечень моделей. Финансовые учреждения по всему миру добавляют киберрешения в свой модельный ряд, причем банки Северной Америки лидируют по сравнению с банками Европы, Ближнего Востока и Африки (EMEA). Согласно опросу McKinsey, проведенному в 2021 году, 70 процентов банков-респондентов в Северной Америке (NA) стремятся включить типы моделей киберрисков в сферу управления MRM. С другой стороны, 38 процентов банков-респондентов в регионе EMEA планируют включить типы моделей киберрисков в сферу MRM. По сравнению с EMEA сфера применения MRM в NA более обширна. Любой подход, который соответствует определению модели, помимо нормативных моделей, также считается частью сферы применения MRM.
Следовательно, поскольку большинство киберрешений используют передовую аналитику, включая методы машинного обучения (ML), считается, что они соответствуют определению модели учреждениями в АН и, таким образом, включаются в перечень.
Как выглядит типичный набор решений/инструментов для борьбы с кибер-рисками?
Кибербезопасность остается на первом месте в повестке дня исполнительной власти, и банки выделяют больше ресурсов и инвестиций для укрепления своей защиты от кибербезопасности. Банки используют комбинацию аналитических моделей и детерминированных решений как часть надежной кибернетической инфраструктуры. Киберрешения используются в банковской сфере для решения следующих трех приоритетных задач: защита веб- и мобильных приложений, выявление подверженности риску и обзор существующих средств киберзащиты.
Защита веб- и мобильных приложений. С усилением перехода к цифровой экономике возникает необходимость во внедрении правильных решений для защиты банковских приложений. Решения в области кибербезопасности необходимы для выполнения ряда задач, включая обнаружение и предотвращение вторжений, защиту данных и сообщений, а также управление доступом. Для достижения этих целей можно использовать целый ряд решений — от продвинутой аналитики (например, ML) до подходов, основанных на правилах (например, немодели, управляемые экспертами). Например, решения ML играют ключевую роль в обнаружении и предотвращении вторжений и атак типа «отказ в обслуживании». Аналогичным образом, аналитические решения используются банками для обеспечения безопасности данных и обмена сообщениями и обеспечения общего реагирования на угрозы конечных точек. С другой стороны, основанные на правилах подходы используются банками для внедрения средств контроля за управлением Интернетом вещей (IoT) и предотвращения мошенничества при транзакциях. Кроме того, для управления идентификацией и доступом используются качественные экспертные подходы, которые важны с момента появления общих хранилищ данных и мира, связанного с облаком.
Определите подверженность риску. В условиях растущей неопределенности, связанной с киберугрозами, банки стремятся понять вероятность сбоев в работе бизнеса или передачи данных и определить подверженность риску кибербезопасности. Любой вид сбоев может привести к экономическим последствиям, и банкам важно количественно оценить потенциальную подверженность риску в долларовом эквиваленте из-за киберрисков. Чтобы измерить риск, организации начинают с качественного создания каталога областей киберрисков, которым подвергается организация. Затем риск долларовой стоимости моделируется по целому ряду сценариев и сравнивается с склонностью организации к риску. Затем разрабатываются и определяются средства контроля для смягчения или уменьшения риска. Как только это будет сделано, важно качественно отслеживать и периодически пересматривать среду рисков для выявления возникающих угроз и обеспечения соблюдения руководящих принципов кибербезопасности.
Пересмотрите существующие средства киберзащиты. Наконец, учитывая динамичный характер кибербезопасности, банкам необходимо периодически пересматривать и оспаривать существующие средства защиты от кибербезопасности. Для достижения этой цели используются определенные инструменты и решения для имитации атаки с целью выявления уязвимостей системы. Качественные подходы используются для создания системы анализа и решения проблем в области кибербезопасности. Кроме того, для расследования потенциальных кибератак и обеспечения обратной связи устанавливается процесс инцидентов безопасности (см. врезку “Решения для обеспечения кибербезопасности обычно используются для трех ключевых целей”).
Каковы ключевые типовые риски решений в области кибербезопасности?
Включение киберрешений в сферу MRM банка может пролить новый свет на риски, с которыми организация никогда не сталкивалась. MRM может помочь определить области модельных рисков, а затем указать на решения, снижающие риск. В следующем разделе мы представляем области риска, которые могут быть введены киберрешениями, и последствия для модельного управления рисками моделей кибербезопасности.
Устаревание методологии. Организации сталкиваются с риском конкуренции, который постоянно развивается. Противник, будь то хакер или инсайдер, всегда пытается перехитрить защитников, изобретая инновационные методы или просто используя социальную инженерию жертвы, чтобы она передала свои учетные данные. В обоих случаях методология модели со временем может устареть, а это означает, что ее необходимо адаптировать к возникающим угрозам.
Высокоскоростная и внезапная атака. Часто кажется, что атака происходит из ниоткуда, и она происходит практически без предупреждения. Когда это происходит, жертва выполняет сортировку, а сортировка предоставляет ограниченную возможность отразить нападение. В этом сценарии методология модели должна быть осведомлена и уметь думать наперед и фиксировать такие угрозы до того, как они станут атаками.
Высокие ставки и длительное время простоя. Что касается атак, то одним из ключевых факторов кибербезопасности является устранение любых незапланированных простоев. С этой целью атака может привести к значительным финансовым последствиям, утечке данных, длительному периоду простоя или повлиять на репутацию организации, особенно в случае атаки программ-вымогателей. Вот почему кибермодель должна иметь эффективное управление и надежный контроль.
Риск поставщика. При внедрении киберрешения поставщика требуется широкий уровень сотрудничества. В большинстве случаев решения разрабатываются поставщиками и внедряются в рамках интегрированной инфраструктуры. Технология, лежащая в основе решения, однако, хранится поставщиками в качестве коммерческой тайны. Имея это в виду, организация должна провести эффективный анализ и оспорить киберрешения, предлагаемые поставщиками.
Инфраструктурные проблемы. Киберрешения требуют большого объема данных в виде интернет-трафика, отпечатков пальцев браузера и постоянно меняющегося поведения трафика, что требует высокоразвитой ИТ-инфраструктуры. Простой неправильно обработанный сигнал может привести к большим потерям и подвергнуть приложения банка внешним угрозам. Вот почему необходимо проводить эффективное тестирование на проникновение, чтобы убедиться, что решения хорошо интегрированы и должным образом функционируют в наборе приложений.
Каковы ключевые соображения для модельного управления рисками решений в области кибербезопасности?
Список потенциальных рисков, выделенных в предыдущем разделе, показывает важность MRM и его применения для кибербезопасности. Результаты опроса McKinsey показывают, что банки Северной Америки и региона EMEA упомянули, что киберрешения добавляются в их модельный список. Для эффективного управления рисками, связанными с киберрешениями, необходимо усовершенствовать процедуры управления рисками, чтобы учесть динамику, привносимую моделями кибербезопасности. Ниже приведены передовые методы и ключевые соображения, на которые следует обратить внимание для эффективного управления рисками киберрешений:
Для эффективного управления рисками, связанными с киберрешениями, необходимо усовершенствовать процедуры управления рисками, чтобы учесть динамику, привносимую моделями кибербезопасности.
Модель управления запасами. Наиболее продвинутые банки проводят обзор всей среды кибербезопасности, чтобы обеспечить прозрачное представление о ландшафте и классифицировать подкомпоненты на модели и немодели. Любое решение, которое либо имеет сложность методологии количественной оценки, либо имеет определенную степень неопределенности выходных данных, классифицируется как модель. Исчерпывающая и точная инвентаризация могла бы послужить для банков инструментом мониторинга модельных рисков и управления общим портфелем.
Оценка существенности. Оценка существенности обычно проводится банками на основе выявленных моделей на основе метода внутреннего моделирования и его критичности. Определяющими факторами, лежащими в основе оценки серьезности киберрешений, являются мотивация и пример использования модели. При оценке существенности можно было бы рассмотреть следующие подходы: включить вопросы, связанные с потерями от киберрисков (то есть количество потерь в прошлом, которые привели к разработке конкретного решения); определить финансовые последствия путем проведения гипотетического моделирования; и ранжируйте решения по важности для одного и того же варианта использования (то есть основного или дополнительного решения).
Взаимодействие с поставщиками. Киберрешения, как правило, поставляются сторонними поставщиками, которые обычно не предоставляют полной информации о ключевых элементах своей технологии. Поэтому банки совершенствуют свои стандарты типовой документации для моделей поставщиков, чтобы предоставить достаточную информацию для понимания концептуальной основы. Кроме того, типовые документы разрабатываются с учетом результатов тестирования и действий по управлению, выполняемых поставщиком, чтобы гарантировать, что модель работает так, как задумано. Непрерывный диалог между поставщиком и службой безопасности банка может служить каналом обратной связи при любых неожиданностях или проблемах.
Мониторинг модели. Субъекты угроз становятся все более инновационными и изощренными. Это также может означать, что решение в области кибербезопасности со временем может утратить свою эффективность и, следовательно, нуждается в периодическом мониторинге. Продвинутые банки настраивают мониторинг в реальном времени для отслеживания ухудшения качества, периодического тестирования производительности выходных данных и создания аудиторского журнала. Кроме того, модели периодически пересматриваются на предмет переподготовки или любых корректировок по мере необходимости. Периодическое тестирование на проникновение также выполняется для выявления любого уникального сценария, которого может не быть в рабочей версии модели.
Независимая проверка. Банки также укрепляют свою вторую линию защиты, проводя независимую проверку киберрешений для выявления типовых рисков. Стандарты валидации, используемые функцией MRM банка, расширены, чтобы сосредоточиться на концептуальной обоснованности модели, исчерпывающем тестировании оценки, выполняемом первой линией, и надежности управления и контроля вокруг модели. На выставке мы описываем индивидуальный подход к валидации, следуя структуре валидации по пяти измерениям: входные данные, методология, производительность модели, внедрение и управление.
С чего банкам следует начать свой путь?
Важность модельного управления рисками киберрешений в настоящее время очевидна и будет только расти в будущем. Банки начали понимать ландшафт кибераналитики и настраивать свои стандарты MRM с учетом специфики киберрешений. Чем раньше банки начнут свой путь и выработают эффективный подход, тем быстрее они смогут управлять рисками и устанавливать контроль. Ниже приведен путь, который организация могла бы предпринять для установления эффективного управления и стандартов:
Проводите семинары по повышению осведомленности. Банкам следует начать с организации семинаров с бизнес-подразделением, функцией управления рисками и руководством для повышения осведомленности о типовых рисках и управления модельными рисками в группах сетевой безопасности, технологий и киберрисков. Кроме того, семинары также должны быть направлены на углубление понимания ландшафта кибербезопасности банка и того, как любой пробел влияет на организацию.
Наращивайте возможности. Банкам следует развивать и обучать команды на первой и второй линиях защиты, обладающие соответствующими навыками, в том числе передовыми техническими навыками и навыками программирования, знаниями в области управления и контроля, а также осведомленностью о нормативных указаниях по управлению рисками модели.
Просмотрите ландшафт модели и определите инвентарь. Банкам следует провести идентификацию модели для выявления и классификации киберрешений. Проходя через этот процесс, банки также получат возможность определить недостающие решения для любого конкретного варианта использования.
Настройка стандартов MRM. Существующие стандарты MRM банка, включая методы проверки, должны быть адаптированы с учетом специфики кибербезопасности. Уточненные стандарты должны в конечном итоге применяться к моделям кибербезопасности для выявления потенциального источника модельных рисков.
Провести независимую валидацию. Функция второй линии должна проводить первоначальные проверки выявленных моделей в соответствии с улучшенными и индивидуальными практиками. Основное внимание следует уделять ключевым источникам риска, выявленным в индивидуальной модели кибербезопасности.
Измерьте риск модели и начните сообщать о нем внутри компании. Банкам следует оценивать модельный риск по отдельным моделям и сообщать о нем внутри компании ключевым заинтересованным сторонам. Такие периодические обзоры и отчеты будут иметь решающее значение для выявления пробелов, принятия решений и повышения устойчивости.
Сейчас самое время использовать MRM кибербезопасности, чтобы убедиться, что все находятся на одной волне, и предотвратить дорогостоящую атаку со стороны участников угрозы. https://www.mckinsey.com/business