Dvojí tlak na banky: regulace a kriminalita
Finanční sektor, banky, pojišťovny i další finanční instituce, patří mezi hlavní cíle kybernetických zločinců. Roste počet i nebezpečí útoků. Do roku 2027 by kybernetická kriminalita mohla působit firmám celosvětově finanční škody ve výši až 23 bilionů dolarů ročně. Zároveň se finanční společnosti musejí podřídit historicky nejsložitějšímu regulačnímu prostředí v EU: musí plnit požadavky DORA, NIS2 i nařízení EU o umělé inteligenci. Upozorňuje na to společnost Fortinet.
Podle analýzy Fortinetu věnované finančním službám v EU čelí instituce náročnému prostředí, které zahrnuje nové předpisy, neustálé kybernetické hrozby, rychle se měnící geopolitickou situaci a rostoucí využívání nástrojů umělé inteligence jak v obranné, tak v útočné rovině. Ačkoli inovace, jako je využívání cloudu pro některé pracovní úlohy a rostoucí integrace aplikací třetích stran, zvyšují produktivitu a zlepšují zákaznický servis, rozšiřují zároveň plochu pro útoky a zvyšují nároky na bezpečnost i soulad s předpisy.
„Finanční sektor je již nyní hlavním terčem hackerů, ransomwarových útoků a dalších kybernetických hrozeb. Přidávání nových technologií, nových aplikací a nových obchodních vztahů s třetími stranami na základy tvořené zastaralými systémy a on-premise aplikacemi dále rozšiřuje potenciální útočnou plochu,“ říká Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.
Evropské finanční organizace musí v souladu s nařízením DORA (Digital Operational Resilience Act) pravidelně testovat odolnost svých systémů a řídit rizika spojená s využíváním třetích stran v informačních a výpočetních technologiích (ICT). Nařízení EU o umělé inteligenci zase zavádí odstupňované požadavky na vysvětlitelnost a kontrolu AI systémů a směrnice NIS2 zpřísňuje kybernetické požadavky na kritickou infrastrukturu. Velká Británie i další evropské země mimo EU zavádějí obdobné kontrolní mechanismy, aby sladily požadavky v rámci celého kontinentu.
Výzkum publikovaný v odborném časopisu Journal of International Business Studies přitom ukazuje, že stabilita bankovního systému se po zavedení regulace v oblasti kyberkriminality zvyšuje v průměru o více než 25 procent. Evropa zároveň dosahuje nejvyšší míry adopce zákonů o kyberkriminalitě na světě, příslušnou legislativu přijalo 91 % zemí.
„Je zásadní budovat tyto příležitosti na základech bezpečnosti, zabezpečení a souladu s předpisy,“ zdůrazňuje Ondřej Šťáhlavský. „Bezpečnostní týmy potřebují úplnou viditelnost dat a chování aplikací v celé organizaci. Bez ní jim zůstane roztříštěný a neúplný pohled na operace, kdy jsou klíčové informace schovány a chybí jediný zdroj pravdivých informací pro rozhodování.“
Regulaci ještě zkomplikuje AI
Umělá inteligence (AI) přináší do finančního sektoru zcela novou dimenzi rizik. Kyberbezpečnostní týmy ji sice využívají k automatizaci detekce a reakce a snižují tím průměrné ztráty z kybernetických incidentů průměrně o 1,9 milionu dolarů. Útočníci ji ale zároveň zneužívají pro phishing, deepfakes, krádeže identity a zero-day exploity. Podle analýz dnes AI pohání již 16 % kybernetických útoků.
Zvláště závažný je scénář, kdy útočníci napadnou nebo manipulují samotné AI modely v průběhu trénování. V praxi se již stalo, že pojišťovna měsíce uplatňovala chybné pojistné podmínky, aniž zjistila, že její model pro hodnocení pojistných událostí byl natrénován na nespolehlivých syntetických datech dodaných třetí stranou.
Společnost Fortinet se tituluje jako světový lídr v kybernetické bezpečnosti a průkopník konvergence sítí a zabezpečení. Poskytuje integrovaná řešení, jako jsou firewally nové generace, SD-WAN, zabezpečení cloudu a ochrana koncových bodů. Nabízí AI-driven ochranu pro firmy všech velikostí, od malých podniků po velké korporace, se zaměřením na automatizaci a vysoký výkon. Společnost byla založena v roce 2000 a sídlí v Kalifornii. Má více než 100 poboček po celém světě, téměř 4000 zaměstnanců a více než 350 platných patentů.