Kibernetska varnost v finančnem sektorju za leto 2025

Ko se glavni direktorji za informacijsko varnost (CISO) v finančnem sektorju lotevajo digitalne transformacije in uvajanja oblaka, se soočajo s številnimi izzivi. Izzivi za CISO vključujejo varovanje kritičnih sredstev, upravljanje naraščajoče površine napadov in krmarjenje po kompleksnem regulativnem okolju. CISO v celotnem sektorju morajo izpolnjevati širok spekter zahtev, hkrati pa delovati v svetu zmanjšane vidljivosti in povečanega šuma zaradi širjenja in posledične kompleksnosti podatkov. Zmožnost hkratnega osredotočanja na ranljivosti, kritična sredstva in incidente je postala ključnega pomena.

Čeprav se proračuni nujno ne krčijo, pa tudi ne rastejo sorazmerno z naraščajočimi zahtevami. CISO morajo nenehno upravičevati svojo trenutno porabo, medtem ko se trudijo zagotoviti dodatna sredstva za bistvene stvari, kot sta avtomatizacija in varnost v oblaku. Večji izziv je napetost med osredotočanjem proračunov na inovativne rešitve, ki vključujejo umetno inteligenco (UI) in strojno učenje (ML), in nenehnimi regulativnimi sanacijami glede na globalni porast novih kibernetskih pravil in standardov.

Poleg tega se morajo direktorji za varnost v finančnih storitvah spopasti tudi z nizom večregionalnih predpisov, ki postajajo vse strožji in kompleksnejši. V ZDA sta Urad za nadzor valut (OCC) in Zvezne rezerve okrepila nadzor nad globalnimi bankami prvega reda, pri čemer sta izdala sporočila o zadevah, ki zahtevajo pozornost (MRA), formalna sporočila regulatorjev, ki jih predložijo med pregledom ali pregledom in ki od institucije zahtevajo, da obravnava določena vprašanja. Podobno se v Evropski uniji predpisi, kot je Zakon o digitalni operativni odpornosti (DORA), ki zahteva posebne taktične varnostne zahteve, vse bolj intenzivno in prednostno obravnajo.

Da bi se spopadli s temi izzivi, se direktorji za varnost v finančnih storitvah obračajo na bolj napredne tehnologije, kot sta umetna inteligenca in strojno učenje, da bi avtomatizirali varnostne operacije, zmanjšali število lažno pozitivnih rezultatov in poenostavili odzivanje na incidente. Vendar pa sama tehnologija ni dovolj. Direktorji za varnost v finančnih storitvah morajo spodbujati sodelovanje in zagotoviti, da so njihovi programi usklajeni s cilji podjetja, tako da vzdržujejo odprto komunikacijo z višjimi vodji. Spremembe so že v teku. Glede na raziskavo KPMG 74 odstotkov organizacij finančnih storitev pravi, da je kibernetska varnost običajno vključena že v najzgodnejše faze načrtovanja naložb v tehnologijo in ima velik vpliv na proces odločanja.1

Po pandemiji so se številne organizacije znašle v napihnjenih drugih obrambnih linijah. To je sčasoma privedlo do ponovne ocene obstoječih vlog in odgovornosti. Vodje informacijske varnosti (CISO) spodbujamo, naj tesno sodelujejo z drugo obrambno linijo – ki upravlja nadzor nad kontrolami – da se osredotočijo na ključne kazalnike uspešnosti poslovanja (KPI) kot približke splošnega zdravja digitalnega okolja in te KPI uskladijo z ustreznimi ključnimi kazalniki tveganja (KRI). Kot vedno morajo biti CISO proaktivni in prilagodljivi, nenehno ocenjevati kibernetsko varnost, prepoznavati vrzeli in izvajati močne, a prilagodljive kontrole za ublažitev tveganj.

V tem poročilu bomo raziskali nekatere ključne vidike kibernetske varnosti za organizacije finančnih storitev z uporabnimi vpogledi in priporočili za CISO.

Ključni vidiki kibernetske varnosti za CISO

Moč ljudi
Vgrajevanje zaupanja ob širjenju umetne inteligence
Resilience by design: Cybersecurity for businesses and society

Moč ljudi

Umetna inteligenca in strojno učenje lahko pomagata podjetjem za finančne storitve avtomatizirati rutinske naloge kibernetske varnosti in tako zmanjšati obremenitev premalo zaposlenih ekip. Pri trenutnih procesih je v podatkih veliko šuma, kar vodi do številnih lažno pozitivnih rezultatov. Vendar pa je realnost taka, da ni dovolj ljudi, da bi se kosali s količino podatkov. Rešitve umetne inteligence lahko pomagajo zmanjšati lažno pozitivne rezultate, samodejno dodeliti naloge in stopnjevati pomembna vprašanja za boljše upravljanje varnostnih zaznav ter določanje prioritet in odpravljanje ranljivosti – področij, ki so pod pomembnim regulativnim nadzorom. To lahko izboljša operativno učinkovitost in izboljša skladnost s predpisi, kot sta Splošna uredba o varstvu podatkov (GDPR) in Zvezni svet za pregled finančnih institucij (FFIEC).

Ključni izzivi

Vrzel na področju kibernetskih znanj

Podjetja za finančne storitve se še naprej soočajo s pomanjkanjem usposobljenih strokovnjakov za kibernetsko varnost. To še povečuje izziv pri obravnavanju vse večje kompleksnosti in števila kibernetskih groženj.

Dodelitev virov

Brez avtomatizacije so strokovnjaki zaposleni z rutinskimi nalogami. Zaradi tega imajo manj časa za obravnavanje in analizo kompleksnih varnostnih groženj.

Regulatorni pritisk

Finančne institucije so podvržene pogosto spreminjajočim se regulativnim zahtevam. Nenehno prilagajanje novim standardom je lahko intenzivno in zahteva skrbno upravljanje, da se izognemo napakam.

Ključne priložnosti

Izboljšano zaznavanje groženj – umetna inteligenca in strojno učenje zagotavljata napredne zmogljivosti za odkrivanje groženj, kar omogoča hitrejšo in natančnejšo identifikacijo. To lahko pomaga preprečiti finančne izgube in zaščititi občutljive podatke. Posledično se lahko strokovnjaki za kibernetsko varnost posvetijo bolj kompleksnim in strateškim nalogam. Dejansko se po raziskavi KPMG 68 odstotkov strokovnjakov za finančne storitve strinja (24 odstotkov se močno strinja), da jim umetna inteligenca pomaga zapolniti vrzeli v znanju in spretnostih med strokovnjaki, ki so bili prej velik izziv.

Operativna učinkovitost – avtomatizacija rutinskih opravil omogoča stalno spremljanje in hitro analizo podatkov. To vodi do hitrejšega ublažitve groženj in boljše izrabe virov. Ta skalabilnost zagotavlja dosledno skladnost s predpisi o kibernetski varnosti in povečuje splošno odpornost.

Številne finančne organizacije prepoznavajo vrednost uporabe umetne inteligence in strojnega učenja v kibernetski varnosti, vendar se njihova uporaba razlikuje. Večje institucije trenutno v tem pogledu vodijo zaradi svoje sposobnosti, da namenijo več virov in zaposlijo dodatne strokovnjake. Manjše organizacije zaostajajo zaradi proračunskih omejitev. Na splošno se vse bolj zavedamo potrebe po avtomatizaciji in smo pripravljeni na implementacijo teh rešitev v strategije kibernetske varnosti. V prihodnje bodo motnje, povezane z umetno inteligenco, verjetno pomenile znatne naložbe v izpopolnjevanje, kar bo strateški imperativ, saj bo 40 Odstotkov strokovnjakov za finančne storitve pričakuje, da bo umetna inteligenca v naslednjih 10 letih bistveno spremenila delovna mesta.

Vgrajevanje zaupanja ob širjenju umetne inteligence

Rast umetne inteligence ponuja finančnim organizacijam številne priložnosti za izboljšanje poslovanja, uporabniške izkušnje in inovacij. Vendar pa sproža tudi vprašanja zaupanja, varnosti in zasebnosti. Da bi ohranile integriteto podatkov, varnost in skladnost s predpisi, morajo finančne institucije vgraditi zaupanje v svojo uvedbo umetne inteligence.

Organizacije za finančne storitve trenutno pristopajo k upravljanju umetne inteligence na podoben način kot pri modelnem upravljanju tveganj, na primer pri algoritmih trgovanja. Kar zadeva vključenost direktorjev za varnost informacijske tehnologije (CISO), vključenost še ni zadostna. Mnogi eksperimentirajo z varovanjem orodij umetne inteligence, vendar niso prepričani, kako se ta orodja razlikujejo od drugih kritičnih podatkov ali algoritmov.

Key challenges

Zasebnost in varnost podatkov

Sistemi umetne inteligence potrebujejo velike nabore podatkov, vključno z občutljivimi finančnimi informacijami, zaradi česar so ranljivi za kibernetske napade. Finančne institucije se morajo spopadati s pomisleki glede zasebnosti in varnosti sredi spreminjajočih se zahtev glede skladnosti, kot so GDPR, kalifornijski zakon o varstvu zasebnosti potrošnikov (CCPA) in zakon EU o umetni inteligenci.

Kakovost podatkov in pristranskost

Čisti in natančni podatki so bistveni za učinkovito umetno inteligenco. Težave s klasifikacijo, kakovostjo in doslednostjo lahko povzročijo napačne ali pristranske rezultate. To lahko škoduje verodostojnosti in zmanjša zaupanje v sisteme umetne inteligence.

Preglednost in razložljivost

Kompleksni modeli umetne inteligence, kot je globoko učenje, pogosto delujejo kot »črne skrinjice« z omejenim vpogledom v njihovo odločanje. To pomanjkanje jasnosti lahko oteži pojasnjevanje odločitev, kar je bistveno za ohranjanje zaupanja strank in skladnost s predpisi.

Ključne priložnosti

Izboljšana varnost z umetno inteligenco – Uporaba umetne inteligence in strojnega učenja za zaznavanje in odzivanje na varnostne incidente v realnem času lahko izboljša varnostne ukrepe organizacij za finančne storitve. Umetna inteligenca lahko prepozna vzorce, ki kažejo na potencialne grožnje. To lahko omogoči hitrejše in natančnejše odzive na kibernetske grožnje.

Izboljšanje upravljanja podatkov in skladnosti – Uporaba umetne inteligence za upravljanje podatkov lahko pomaga ohranjati celovitost, natančnost in skladnost podatkov z regulativnimi standardi. Umetna inteligenca lahko pomaga pri avtomatiziranem razvrščanju podatkov, odkrivanju anomalij in zagotavljanju doslednega upoštevanja predpisov o zasebnosti. To lahko spodbudi zaupanje in zanesljivost v procese, ki jih poganja umetna inteligenca.

Organizacije za finančne storitve se zavedajo, da morajo vgraditi zaupanje v umetno inteligenco, vendar je njihova pripravljenost na to različna. Nekatere trenutno izvajajo orodja za upravljanje podatkov in razlago z umetno inteligenco, druge pa nimajo dovolj virov. Zavedanje o potrebi po preglednosti, kakovosti podatkov in varnosti narašča, razvijajo pa se strategije in tehnologije za reševanje teh vprašanj.

Odpornost po zasnovi: Kibernetska varnost za podjetja in družbo

Z vzponom medsebojno povezanih sistemov je kibernetska odpornost v finančnih storitvah še vedno ključnega pomena. Direktorji za varnost informacijske tehnologije (CISO), v tem sektorju, morajo upravljati široko površino napadov, hitro obravnavati incidente in vzdrževati prakse odpornosti. Zlasti grožnje kritični infrastrukturi lahko znatno motijo delovanje in ogrozijo občutljive podatke. Posledično je odpornost zdaj glavni poudarek načrtovanja neprekinjenega poslovanja in programov za obnovo po nesrečah.

Key challenges

Obsežna površina za napad

Digitalizacija in integracija različnih sistemov znotraj finančnih storitev sta povzročili razširjeno površino za napad, kar predstavlja znatne izzive pri učinkovitem varovanju vseh vstopnih točk pred potencialnimi grožnjami.

Hiter odziv na incidente

Finančne institucije potrebujejo napredne sisteme za odkrivanje in učinkovite načrte odzivanja za hitro prepoznavanje in ublažitev incidentov.

Standardi skladnosti s predpisi in odpornosti

Finančne institucije morajo upoštevati stroge regulativne standarde glede odpornosti. Ti se razlikujejo glede na njihov pomen in medsebojne povezave znotraj finančnega ekosistema, kar povečuje kompleksnost.

Ključne priložnosti

Napredno zaznavanje in odzivanje na grožnje – Z uporabo tehnologij, kot sta umetna inteligenca in strojno učenje, lahko finančne institucije učinkoviteje prepoznajo in se odzovejo na kibernetske grožnje, s čimer zmanjšajo morebitno škodo in izboljšajo splošno odpornost.

Vključevanje nenehnega izboljševanja – Finančne institucije lahko okrepijo odpornost z rednim usposabljanjem, naložbami v napredno tehnologijo in proaktivnim upravljanjem površin napadov.

Ker večje institucije blestijo, manjša podjetja pa se izboljšujejo, kibernetska odpornost postaja tema druge obrambne linije (LOD), ne le skrb prve linije. To je prednostna naloga, ki se nanaša tudi na ključne tretje osebe in ponudnike storitev v oblaku. Dejansko je vse več pozornosti namenjene temu, kakšna raven motenj v osnovnih poslovnih funkcijah bi lahko nastala, če bi ključni partner v dobavni verigi naletel na težavo.

Kibernetska varnost v resničnem svetu v sektorju finančnih storitev

V finančnih storitvah regulativne zahteve vse bolj pritiskajo na organizacije, da okrepijo svoje zmogljivosti za upravljanje ranljivosti. Ogromna količina ranljivosti in odločitev zahteva inovativno rešitev za dosledno in sistematično obravnavanje teh tveganj.

Vodilna investicijska banka je želela razviti in implementirati modele umetne inteligence/strojnega učenja, ki bi izboljšali operativno učinkovitost in zagotovili skladnost s predpisi. Projektna ekipa podjetja KPMG je s tesnim sodelovanjem in celovito oceno potreb banke zasnovala in uvedla rešitve, ki temeljijo na strojnem učenju, za upravljanje ranljivosti in odzivanje na incidente. Te rešitve izkoriščajo ciljno usmerjene primere uporabe za prepoznavanje slabosti v trenutnem poslovanju in določitev, kje so lahko inovativne rešitve najučinkovitejše. Primeri uporabe so segali od triaže in dodelitve lastništva do prilagajanja kritičnosti.

Modeli umetne inteligence/strojnega učenja, ki jih je uvedel KPMG, niso le zmanjšali ročnega posredovanja in pospešili procesov odločanja, temveč so vključili tudi vgrajene preglede skladnosti. Ti pregledi so pomagali zagotoviti, da človeško strokovno znanje ohranja ustrezno preglednost procesov odločanja v modelih, kar je v skladu z regulativnimi zahtevami.

Takšne rešitve organizacijam finančnih storitev omogočajo, da hitreje kot kdaj koli prej prepoznajo, določijo prednost in odpravijo ranljivosti. Tako se lahko spopadejo s širšim naborom tveganj v celotnem okolju in okrepijo svoj splošni položaj na področju kibernetske varnosti.

Ker se sektor še naprej sooča z vse večjim pritiskom regulativnih organov, so lahko organizacije, ki proaktivno sprejemajo inovativne rešitve, v boljšem položaju za hitro prepoznavanje, določanje prednostnih nalog in ublažitev ranljivosti. S tem lahko napredno misleče institucije ne le zaščitijo svoja sredstva in ugled, temveč tudi ostanejo korak pred drugimi v vse bolj kompleksnem in zahtevnem okolju kibernetske varnosti.

stream

KPMG združuje naš multidisciplinarni pristop z globokim, praktičnim znanjem industrije, da bi strankam pomagal pri soočanju z izzivi in odzivanju na priložnosti.

Preberite več