Storbritannias finanssektor presterer langt over gjennomsnittet. London er en god nummer to etter New York som verdens fremste finansknutepunkt, og landet er det verdens største netto eksportør av finansielle tjenester. Men denne suksessen gjør det til et stort mål for nettkriminelle og nasjonalstatlige aktører. Og til tross for at det er en av de mest regulerte sektorene, er ikke cyberrobustheten der den burde være.

De fortsatte kostnadene for økonomien av cyberangrep på sektoren, og faren for en systemisk hendelse, er grunnen til at Bank of England (BoE) fortsetter å kjøre et rammeverk for penntesting kjent som CBEST. Dessverre er dens siste rapport understreker at det fortsatt er en lang vei å gå for bransjen.

Hva rapporten fant

Poenget med CBEST er å simulere den typen angrep banker og andre selskaper i finanssektoren ville oppleve i praksis – fra sofistikerte kriminelle grupper, statlige aktører og ondsinnede innsidere. Denne innsatsen fokuserer på tredjepartsleverandørkompromittering, sosial manipulering og innsideaktivitet fordi det er disse områdene bransjen har vanskeligst for å takle. Nulldagsangrep, tilpasset skadelig programvare, AI-drevet automatisering og presis målretting brukes alle i disse vurderingene av det røde teamet – i angrep som simulerer sluttmål som cyberspionasje, økonomisk vinning og sabotasje.

Så, hva fant BoE ut?

  • Inkonsekvent konfigurerte og utilstrekkelig herdede/oppdaterte systemer
  • Mangel på kryptering av data i ro, inkludert privilegerte legitimasjonsopplysninger
  • Svake identitets- og tilgangsstyringskontroller (inkludert svake passord og/eller usikker passordlagring)
  • Altfor permissive tilgangskontroller
  • Under pari-deteksjon og respons (f.eks. «dårlig innstilt» EDR)
  • Ineffektiv trafikkovervåking/inspeksjon (slik at angripere kan gjemme seg i legitim trafikk)
  • Ineffektiv nettverkssegmentering (f.eks. mellom utviklings- og produksjonsmiljøer) forsterker den potensielle effekten av angrep
  • Ansatte som er utsatt for direkte og indirekte sosial manipulering
  • Ansatte lagrer rutinemessig legitimasjon i ubeskyttede miljøer (f.eks. åpne fildelinger)
  • Usikre brukerstøtteprotokoller som gjør det mulig for hackere å forsterke sosial manipulering

Rapporten bemerket også at organisasjoners trusselinformasjon manglet i «strategisk planlegging, definering av krav, etablering av styringsrammeverk og kartlegging av langsiktige kapasiteter». Dette har ført til et gap mellom informasjonen som finansforetak samler inn og deres faktiske forretnings-/driftsbehov. Det betyr utfordringer med å skalere og/eller utvikle disse programmene, hevdet BoE.

Hvorfor det gjelder

Taktikkene, teknikkene og prosedyrene (TTP-ene) som brukes av CBESTs penntestere ble valgt av en grunn. De gjenspeiler den typen trusler som finansinstitusjoner står overfor daglig eller ukentlig. I en del av rapporten advarte National Cyber ​​Security Centre (NCSC) om at Scattered Spider-kollektivet er kjent for sosial manipulering av IT-hjelpedeskpersonell for å tilbakestille passord og MFA-tokens, for eksempel. Det antas at de gjorde dette under ransomware-angrepene fra M&S og Co-Op-gruppen.

Separat siterte den den kinesiske APT-gruppen Volt Typhoon, som kompromitterte store deler av USA kritisk nasjonal infrastruktur nettverk med skjulte angrep. Bedre nettverksovervåking og segmentering ville ha bidratt til å belyse disse tiltakene og begrense angrepsradiusen, hevdet NCSC.

Finansielle tjenesteselskaper bør ikke bare se på CBEST som et viktig fundament for å bygge motstandskraft mot angrep i den virkelige verden. Mange vil også trenge å forbedre sikkerhetsstillingen i lys av EUs Lov om digital operativ motstandskraft (DORA), som pålegger strenge nye krav på tvers av bankenes forsyningskjede. Forsyningskjeder er en særlig risiko. 2025-rapport gjort krav på at 58 % av store finansforetak ble utsatt for minst ett tredjepartsangrep året før, og at en femtedel (23 %) ble målrettet tre eller flere ganger.

Hva skjer nå?

I forordet til rapporten oppfordret BoE og regulatorene FCA og Prudential Regulation Authority (PRA) organisasjoner i sektoren til å ta tak i «de underliggende årsakene» til risiko i stedet for å bruke midlertidige oppdateringer. Det betyr å ta en teknisk og kulturell tilnærming som dekker forebygging, deteksjon og respons.

Spesielt ønsker BoE/FCA/PRA å se organisasjoner i sektoren:

  • Oppdatering og konfigurasjon av kritiske applikasjoner og operativsystemer
  • Styrking av legitimasjonsadministrasjon, håndheving av sterke passord, bruk av MFA og segmentering av nettverk
  • Sikre tidlig oppdagelse og effektiv overvåking for å redusere virkningen av angrep
  • Implementering av risikobaserte tiltaksplaner i samarbeid med risikoansvarlige og interne revisorer

I tillegg til dette ønsker NCSC å se forbedringer i opplæringen av ansatte, spesielt i lys av AI-generert phishing, for å bidra til å bygge en positiv sikkerhetskultur. De ønsker også strengere administrasjon av privilegerte kontoer (PAM) i tråd med beste praksis. Og tettere tilsyn med eiendeler, spesielt eldre IT-systemer, delvis for å hjelpe med reisen mot postkvantekryptografi (PQC).

Nettverkssegmentering, enhetsherding og kontinuerlig overvåking bør alle implementeres som en del av en nulltillitsbasert tilnærming til sikkerhet, heter det. Omfattende logging og hendelsesresponsprosesser kan forbedre robustheten til overvåkings- og deteksjonskapasiteter. Trusseljakt gir viktig ekstra innsikt for å avdekke mer sofistikert ondsinnet aktivitet, konkluderte NCSC.

Komme i gang

Så hvor begynner finansforetak? Carl Hunt, direktør i Beyond Blue, hevder at deteksjon er et godt sted å starte.

«Dette inkluderer forbedring av endepunktdeteksjon og -respons, men også korrelering av hendelser på tvers av organisasjonens sannsynlige angrepsbaner for å oppdage unormal oppførsel», forteller han IO (tidligere ISMS.online). «For å gjennomføre dette kreves det god forståelse av kritiske eiendeler, angrepsbaner og effektiv finjustering av deteksjonsregler.»

Det menneskelige aspektet ved respons er en annen kritisk oppgave som sikkerhetsteam ofte overser.

«CIS-er må ha mulighet til å isolere et angrep på en rettidig måte, noe som krever at forretningskonteksten tar de nødvendige beslutningene. Dette er en spesiell utfordring der sikkerhetsoperasjoner outsources», fortsetter Hunt. «Man bør huske at i et virkelig angrep beveger angriperne seg raskt for å oppnå målene sine, i stedet for på en mer kontrollert måte som med en simulert øvelse som CBEST. En rask respons er avgjørende for å begrense virkningen.»

Han peker på nettverkssegmentering som like kritisk for å begrense angrepenes rekkevidde. «Dette underbygger også gjenopprettingsstrategier gjennom kartlegging av IT og nettverk til viktige forretningsfunksjoner, effektiv inneslutning og deretter en eventuell utryddelse av et angrep», sier Hunt.

Den gode nyheten er at standarder som ISO 27001 kan hjelpe organisasjoner med å legge grunnlaget for å akselerere disse beste praksisene. Og levere den risikobaserte tilnærmingen til cybersikkerhet som regulatorer i økende grad forventer, forankret i en kultur med kontinuerlig forbedring.