Взлом баз данных eBay (EBAY), атаки на JPMorgan Chase (JPM) и Home Depot (HD) в сочетании с кибер-атаками на американские правительственные учреждения показали риски, связанные с хакерами, которые будут только увеличиваться. При этом регуляторы предупреждают, что именно финансовые компании находятся на передней линии фронта.
Речь идет о недавнем предупреждении для финансовой индустрии со стороны FINRA. Хакерская группа, известная как DD4BC, пригрозила продолжением нападений на финансовые институты, если они не согласятся вносить выкуп в криптовалюте Bitcoin.
Деятельность FINRA посвящена защите прав инвесторов и контролю целостности рынка посредством эффективного регулирования отрасли ценных бумаг. FINRA обрабатывает более 99 процентов объемов сделок по ценным бумагам и арбитражных посредников в США через свою сеть в более чем 70 представительств, во всех 50 штатах США, Пуэрто-Рико и Лондоне. Разрешение споров FINRA ведет реестр более 6400 арбитров и 250 посредников по всей стране.
FINRA предупреждает, что группа DD4BC как правило сначала делает предупреждение фирме, на которую нападает, и устанавливает цену выкупа. Следующим шагом является "демонстрация атаки" которая сопровождается требованием о выплате в течение 24 часов. Вымогательства для крупных фирм варьировались от нескольких тысяч до нескольких сотен тысяч долларов в эквиваленте Биткоин.
Нападениям подвергались фирмы в Новой Зеландии и Австралии. Атаки также были направлены на швейцарское правительство, и все это стало делом рук DD4BC в течении только этого года.
“Во многих отношениях, это можно считать преступлением года” - сказал Кевин Петрачик, партнер в отделе банковских и платежных систем юридической фирмы Paul Hastings, которая имеет офисы в Нью-Йорке, Европе и Азии. “Есть различные причины для этого, которые в значительной степени объединились в результате чего мы получили своего рода "идеальный шторм" в сфере кибербезопасности”.
Контролирующие организации призывают компании усилить свои системы кибер-безопасности для защиты как своих собственных предприятий, так и данных клиентов. Федеральная торговая комиссия в июне выпустила руководство, в котором изложены 10 превентивных мер, полученных в результате изучения взломов 50 компаний.
Среди рекомендуемых шагов:
- Не собирать ненужную личную информацию от клиентов;
- Не уничтожать данные, когда они больше не нужны;
- ограничение доступа к данным клиентов для всех сотрудников;
- Усложнение системы входа, создание сложных и уникальных паролей, отключение учетных записей после определенного количества неудачных попыток входа.
Руководитель отдела по ценным бумагам и биржам комиссар Луис Агилар сказал в июне в своем выступлении в Нью-Йорке:
Потенциальные возможности для получения прибыли кибер-преступниками огромные. Рынок только украденных кредитных карт оценивается в $114 млрд, значительно превысив стоимость рынка продаж кокаина, которая составляет $29 млрд.
Интернет стал неотъемлемой частью нашей профессиональной и личной жизни. И в то время, как выгоды огромны, также есть и большие риски.
Правительственные агентства, включая ФБР и SEC, призвали компании развивать сотрудничество с правоохранительными органами, заранее сообщать о возможности потенциального нападения.
Беспокойство также стали проявлять крупные компании, такие как Goldman Sachs (GS) и Morgan Stanley (MS).
Как сказали в Голдман в недавнем заявлении:
Мы разработали и внедрили свою систему принципов, политики и технологии для защиты информации, предоставляемой нашим клиентам. Наши гарантии применяются также для поддержания конфиденциальности, целостности и доступности информации.
Morgan Stanley также усиливает свою защиту, но предупреждает, что никакие меры безопасности не являются абсолютно надежными.
Как и другие финансовые услуги фирмы, мы и наши контрагенты продолжаем подвергаться попыткам несанкционированного доступа, неправильного обращения или ввода неправильной информации, компьютерных вирусов или вредоносных программ, а также кибератак, направленных на получение конфиденциальной информации. Увеличение использования смартфонов, планшетов и других мобильных устройств, а также облачных вычислений повышает риски.
Суть в том, что фирмы должны сделать жесткий выбор и посвятить больше времени, денег и усилий, для того чтобы изолировать себя от кибер-атак, считают эксперты.
Кевин Петрачик:
При разработке комплексных решений нет простых ответов, которые не связаны с той или иной формой участия государства. В конечном счете, мы должны отказаться от некоторых программ с государственным участием, чтобы получить больше безопасности с точки зрения защиты от киберпреступлений.
