イングランド銀行の関係者によると、サイバーレジリエンスは現在、英国の金融市場におけるオペレーショナル・レジリエンスの重要な構成要素となっている。
イングランド銀行の健全性規制機構(Prudential Regulation Authority)の監督リスク担当エグゼクティブ・ディレクターであるダンカン・マッキノン氏によれば、サイバー攻撃は2022年に38%増加した。「影響を受ける企業や組織の範囲は、ますます広がっているように見える」とマッキノン氏は述べた。
Infosecurity Europe 2023で講演したマッキノン氏は、健全性規制機構(PRA)、金融行為規制機構(FCA)、そしてイングランド銀行自身を含む英国当局が、セクター全体でオペレーショナル・レジリエンスをどのように構築しているかについてのケーススタディを提示した。目的は、英国の金融市場、企業、そして顧客を保護することだ。
マッキノン氏は、特に攻撃者が金融機関そのものではなく、クラウドコンピューティング資源やマネージドサービスプロバイダーを標的にするようになる中で、同セクターのサプライチェーンがもたらすリスクの増大を強調した。
「私たちは、セクター外にありながら金融機関に技術やサービスを提供している、いわゆる重要なサードパーティ企業に注目している。もしそれらが機能不全に陥れば、英国の金融サービス企業への影響は深刻になる」と同氏は説明した。
PRAは、サイバーセキュリティ、事業継続、災害復旧、インシデント対応チーム間の連携を強化しつつ、レジリエンスと復旧を重視している。
Infosecurity Europeについてさらに読む: 認証はセキュリティの保証ではない
規制当局は、金融機関が攻撃にどう対処するのか、そしてそれがより広範な金融サービスのエコシステムに与える影響をどう受け止めるのかを確認したいと考えている。同様の取り組みは、独自のサイバー専門家グループを持つG7によって国際レベルでも行われている。
英国では、レジリエンス向上の主な手段は、脅威インテリジェンスの共有、企業・規制当局・イングランド銀行・財務省間のより良い連携、そしてCBESTを含む侵入テストである。
マッキノン氏はまた、個々の企業に対しても市場レベルに対しても、定期的なシナリオテストとインシデントのシミュレーションが重要であると強調した。例えば、シティで定期的に実施されるSIMEX演習などだ。
こうしたテストは、攻撃が事業をどのように混乱させるか、そして企業がどのように復旧するかを組織がモデル化するのに役立つと、マッキノン氏は述べた。
金融サービス企業は「シナリオ別のプレイブック」を持つべきだと同氏は助言した。「侵入者を封じ込め、顧客や取引相手へ拡散するのを止める方法を明確にする必要がある」と述べた。過去にSIMEXは、テロ事案やパンデミック、そして現在はサイバー攻撃をモデル化してきた。
「2年ごとに、企業が自社のプレイブックをリハーサルし、テストできるようにするためのセクター全体の演習 を実施している」と同氏は述べた。「サイバーリスクは、イングランド銀行とPRAにとって重要な優先事項だ。人々が[市場を]混乱させ、歪めようとしていることは分かっており、その傾向は弱まっているようには見えない。」
翻訳元: https://www.infosecurity-magazine.com/news/financial-firms-to-build-resilience/
