Укрощение киберрисков: Стратегии защиты для финансовых технологий будущего

Поскольку компании, оказывающие финансовые услуги, по всему миру стремятся не отставать от быстро развивающегося технологического ландшафта, им следует учитывать не только те преимущества, которые предлагают новые появляющиеся технологии, но и те риски, которые они влекут за собой.

Чтобы понять, как компании пытаются найти наилучшие способы использования и защиты технологий сегодняшнего и завтрашнего дня, McKinsey в партнерстве с Институтом международных финансов (IIF) провела опрос финансовых учреждений по всему миру относительно текущего и планируемого использования ими десяти ключевых новых технологий. Как компании подходят к новым технологиям? Какие новые технологии они внедряют? Как они планируют обеспечивать безопасность и снижать связанные с этим киберриски? Какие возможности кибербезопасности потребуются для успешного внедрения и обеспечения безопасности новых технологий?

the-cyber-clock-is-ticking-derisking-emerging-technologies-in-financial-services Скачать

Из новых технологий, включенных в исследование, большинство компаний, оказывающих финансовые услуги, указали, что они отдают приоритет внедрению и инвестициям в четыре из них: облачные и периферийные вычисления, прикладной искусственный интеллект, разработку программного обеспечения следующего поколения и цифровую идентификацию и архитектуру доверия (рис. 1). Все четыре технологии, вероятно, будут внедрены быстрее, чем расширенные возможности подключения, мобильность будущего, иммерсивная реальность, квантовая технология, машинное обучение и Web3. Возможно, это связано с их широкой применимостью и зрелостью, а также с проверенными примерами их использования, основанными на ценности, для компаний, оказывающих финансовые услуги.

Мы стремимся предоставить людям с ограниченными возможностями равный доступ к нашему веб-сайту. Если вам нужна информация об этом контенте, мы будем рады сотрудничать с вами. Пожалуйста, напишите нам по адресу: McKinsey_Website_Accessibility@mckinsey.com

Хотя эти технологии могут приносить экспоненциальные выгоды, они также могут нести киберриски, которые компании должны снижать, используя свои существующие возможности в области кибербезопасности. Исследование показывает, что текущие возможности не справляются с этими рисками. Большинство респондентов опроса также признают необходимость укрепления критически важных возможностей кибербезопасности, включая управление сторонними организациями или цепочками поставок и управление привилегированным доступом (PAM). Поскольку компании продолжают все больше полагаться на новые технологии, они должны убедиться, что продумали и внедрили необходимые возможности управления рисками. В противном случае они могут обнаружить, что риски перевешивают выгоды.

Поскольку технологический ландшафт в индустрии финансовых услуг продолжает стремительно развиваться в течение следующих трех-пяти лет и связанные с этим риски возрастают, сейчас самое время позаботиться об окружающей среде, ориентированной на будущее. Финансовые учреждения могут заложить основу для действий, задав себе четыре вопроса о своем стремлении к новым технологиям:

Расставляем ли мы приоритеты в отношении правильных технологий и возможностей кибербезопасности? Согласуются ли наши технологические приоритеты с нашими возможностями в области безопасности?
Инвестируем ли мы в правильные технологии и возможности кибербезопасности?
Есть ли у нас правильные показатели и отчетность? Можем ли мы точно и уверенно оценивать нашу склонность к риску, обеспечивать прозрачность для регулирующих органов и руководителей и выявлять сильные и слабые стороны?
Есть ли у нас достаточный талант для устранения пробелов в возможностях? Есть ли у нас достаточный и соответствующий талант не только для поддержания существующих возможностей сейчас, но и для поддержки будущей зрелости и расширения технологий?

Финансовые учреждения держат новые технологии в поле зрения

В условиях растущей загруженности и стремительного развития технологического ландшафта компании сталкиваются с необходимостью идти в ногу со временем.

Финансовые учреждения должны не только решать, как наилучшим образом использовать и защищать свои текущие технологии, но и уделять все больше внимания растущей сфере новейших технологий, которые обещают укрепить их бизнес, предлагая такие преимущества, как повышенная автоматизация, масштабируемость и экономия средств.

Чтобы лучше понять, как учреждения подходят к новым технологиям и расставляют приоритеты, мы опросили компании по всему миру на предмет применимости десяти новых технологий в их бизнесе.

Результаты опроса показывают, что компании, оказывающие финансовые услуги, не изучают все новые технологии в равной степени. Вместо этого они концентрируются на тех, которые, по их мнению, наиболее применимы для их организаций и, вероятно, принесут наибольшую пользу, принимая во внимание свои текущие технологические возможности, свои долгосрочные бизнес- и технологические стратегии, а также потенциальное регулирующее воздействие.

За последние годы компании, оказывающие финансовые услуги, превратились в компании, ориентированные на технологии. Этот технологически ориентированный подход проявляется в том, как они расставляют приоритеты в своих инвестициях; помимо внедрения программных технологий, они уделяют приоритетное внимание инвестициям в масштабирование развития технологий, таких как DevOps (разработка программного обеспечения и ИТ-операции), а также индустриализации машинного обучения и искусственного интеллекта.

Учреждения также оценивают текущий уровень зрелости каждой технологии в своих планах, рассматривая проверенные (и недоказанные) варианты использования, которые могли бы повысить ценность их бизнеса. Наиболее применимые технологии продвинулись по пути зрелости дальше, чем некоторые из тех, которые считались менее актуальными.

Облачные и периферийные вычисления возглавляют список: 84 процента респондентов признали их актуальность для своего бизнеса. Среди этих респондентов шесть из десяти сообщили, что более 25 процентов их рабочей нагрузки в настоящее время находится в облаке. Эта доля, несомненно, будет расти по мере дальнейшего развития облачных возможностей и по мере того, как компании продолжают преобразовывать свою ИТ-инфраструктуру посредством миграции в облако и инвестиций в инфраструктуру, ориентированную на облако, привлекаемую такими преимуществами, как гибкость, масштабируемость и экономическая эффективность, которые в противном случае недоступны традиционным локальным центрам обработки данных.

Зрелость и проверенные варианты использования, несомненно, способствуют широкому внедрению, и действительно, респонденты опроса подтвердили, что облачные вычисления уже являются наиболее зрелой новой технологией, используемой компаниями, оказывающими финансовые услуги. Более 70 процентов компаний рассматривают внедрение облачных технологий на этапе после запуска пилотного проекта, а 42 процента считают, что их возможности полностью освоены и находятся на стадии технического обслуживания.

Прикладному ИИ уделяется почти столько же внимания: почти 80 процентов респондентов назвали его актуальным для своего бизнеса. ИИ и машинное обучение имеют давнюю историю в сфере финансовых услуг. Корпоративные и инвестиционные банки, а также страховщики первыми внедрили искусственный интеллект и машинное обучение, за десятилетия до других финансовых институтов. Остальная часть индустрии финансовых услуг за последние годы наверстала упущенное, и внедрение продолжает только расти.

Это согласуется с более широкими технологическими тенденциями в сфере финансовых услуг, поскольку прикладные технологии искусственного интеллекта продолжают развиваться и открывают потенциал для увеличения стоимости компаний. Следующий этап развития искусственного интеллекта — генеративный искусственный интеллект – обещает беспрецедентные потрясения в отрасли (см. Врезку “Обещания — и риски — генеративного искусственного интеллекта”).

Однако, в отличие от внедрения облачных технологий, уровень зрелости прикладного искусственного интеллекта все еще развивается. Хотя многие компании, оказывающие финансовые услуги, признают актуальность прикладного искусственного интеллекта, большинство вариантов его использования остаются на ранних стадиях разработки. Семьдесят процентов респондентов опроса сообщили, что находятся на стадии пилотного проекта или раньше. Некоторые варианты использования, такие как моделирование финансовых преступлений, финансовых рисков и активов, являются достаточно зрелыми. К тем, которые находятся на ранних стадиях, относятся искусственный интеллект нового поколения и большие языковые модели. Многие учреждения все еще изучают их применение в поддержке взаимодействия с клиентами, персонализированном маркетинге и мошенничестве. Эти усилия дают компаниям возможность получить конкурентное преимущество в сфере прикладного искусственного интеллекта до того, как технология будет готова к внедрению. Они могут внедрить, например, надлежащий надзор и ответственные ограждения и средства контроля для технологии искусственного интеллекта, тем самым ускорив ее внедрение до тех пор, пока она не достигнет достаточной зрелости.

Почти 75% опрошенных признают применимость разработки программного обеспечения нового поколения для своего бизнеса, привлеченные возможностью трансформировать жизненный цикл разработки программного обеспечения и упростить ранее сложные задачи индивидуальной разработки. Разработка и тестирование с использованием искусственного интеллекта, инструменты с низким уровнем кодирования и без него, а также другие достижения могут улучшить процессы и качество программного обеспечения на каждом этапе жизненного цикла разработки.

Разработка программного обеспечения нового поколения во многих компаниях в основном находится на стадии пилотирования. Они намерены изменить свой жизненный цикл разработки программного обеспечения, пожиная плоды упрощения сложных задач при разработке пользовательских приложений. Хотя только 11 процентов респондентов опроса полностью внедрили эту технологию, более 50 процентов находятся на стадии пилотного внедрения, что указывает на то, что у них было время рассмотреть преимущества и варианты использования технологии.

Архитектура доверия и цифровая идентификация также являются передовыми во многих компаниях. Почти 50 процентов респондентов опроса считают, что цифровая идентификация находится на стадии после запуска или сопровождения, а 70 процентов называют архитектуру доверия применимой к их бизнесу, с примерами использования, касающимися цифрового банкинга, омниканального обслуживания клиентов, 360-градусного обзора клиентов и предложений в виде цифровых кошельков. Эти усилия продемонстрировали такие преимущества, как ускорение внедрения инноваций, более надежная защита активов и улучшение качества обслуживания клиентов, что еще больше убедило учреждения инвестировать в базовые технологии, включая архитектуру с нулевым доверием, системы цифровой идентификации и разработку технологий обеспечения конфиденциальности.

Усилия по укреплению доверия к цифровым технологиям, несомненно, возрастут, поскольку количество нарушений, связанных с идентификацией, особенно кибератак на системы идентификации, продолжает расти. Восемьдесят четыре процента компаний, участвовавших в опросе Альянса по безопасности с определением личности в 2022 году, сообщили, что в течение этого года подвергались взлому, связанному с идентификацией.¹ По мере того, как организации продолжают расширять свое цифровое присутствие, они должны надежно наращивать свои возможности, связанные с идентификацией, и внимательно отслеживать их.

С другой стороны, менее трети респондентов опроса рассматривают следующие новые технологии, которые могут принести пользу компаниям, оказывающим финансовые услуги, и которые применимы к их компаниям сегодня: quantum, future of mobility и immersive reality. Многие учреждения, возможно, не ожидают, что внедрение этих технологий произойдет в ближайшее время, и поэтому не уделяют им приоритетного внимания сегодня из-за более длительного периода времени для внедрения. Вполне возможно, что достижения в области квантовых вычислений в течение следующих нескольких лет могут привести к тому, что квантовая технология быстро станет главной проблемой, учитывая ее потенциал существенного воздействия на такие области, как взлом паролей и шифрование.

Хотя такая точка зрения уместна при рассмотрении текущей зрелости этих технологий, особенно по сравнению с более передовыми и широко применяемыми технологиями, такими как облачные и периферийные вычисления, компаниям, оказывающим финансовые услуги, не следует так быстро отмахиваться от них. Например, по оценкам, стоимость квантовых вычислений для финансирования превысит 600 миллиардов долларов с такими потенциальными преимуществами, как автоматизированное принятие решений в режиме реального времени и вспомогательные мероприятия, такие как комплексное стимулирование ликвидности или рисков в рамках крупномасштабных высокодоходных сделок.

Ожидается, что внедрение и зрелость этих технологий, а также, несомненно, других, будут только расширяться, поскольку компании считают, что им следует тратить больше на те, которые, по их мнению, наиболее применимы для их организаций. Многие отметили, что не верят, что тратят достаточно на применимые технологии. Более половины респондентов опроса признают необходимость тратить больше средств для продолжения наращивания своих возможностей в области индустриализации машинного обучения, разработки программного обеспечения следующего поколения, прикладного искусственного интеллекта, мобильности будущего, архитектуры доверия и цифровой идентификации (рис. 2). Эта потребность в расходах будет только возрастать по мере дальнейшего развития и распространения технологий, пригодных для инвестиций.

Новые технологии усиливают существующие риски и добавляют новые

Новые технологии могут приносить значительные выгоды, но они также могут усугублять существующие риски и создавать новые киберриски.

Управление киберрисками не является чем-то новым для компаний, оказывающих финансовые услуги, но важность надежной, всеобъемлющей стратегии никогда не была более важной и будет только возрастать по мере расширения технологического присутствия организаций. Кибератаки продолжают увеличиваться, и компании, оказывающие финансовые услуги, сталкиваются с хорошо финансируемыми, высокоорганизованными и хорошо обученными киберпреступниками. Эти преступники также используют новые технологии для помощи в своих атаках, включая недавние атаки с использованием искусственного интеллекта в рамках сложных фишинговых кампаний.

Частота и серьезность киберинцидентов растут с каждым годом, и учреждения должны сохранять бдительность в отношении своих возможностей защитить себя и свои активы и финансы от электронных преступлений (рис. 3). Согласно отчету CrowdStrike о глобальных угрозах за 2024 год, электронная преступность (eCrime) продолжает расти и стала самой распространенной угрозой в 2023 году. Число случаев кражи данных и вымогательства также продолжает расти, и в 2023 году число жертв, указанных на специализированных сайтах утечки данных eCrime, увеличилось на 76 процентов по сравнению с 2022 годом.² По мере того, как компании расширяют использование технологий, они также увеличивают количество возможностей для потенциальной кибератаки со стороны зрелых участников угроз.

Мы провели дополнительный опрос финансовых учреждений, чтобы лучше понять, какие киберриски были в центре внимания. Крупнейшие риски, с которыми, по их словам, сталкиваются их организации, включают кибератаки, искусственный интеллект, управление талантами, сторонних производителей и управление цепочками поставок, а также безопасность данных (рисунок 4). Хотя это доказывает, что компании осознают и учитывают риски, с которыми они сталкиваются, это также поднимает пару вопросов: обладают ли они достаточными возможностями для снижения рисков? Учитывают ли они потенциальный рост рисков по мере расширения масштабов внедрения новых технологий? Хотя они в подавляющем большинстве признают, что подвергаются атакам и что новые технологии сопряжены с риском, им по-прежнему не хватает квалифицированных специалистов для устранения этих рисков.

По мере расширения внедрения компаниями своих технологий киберриски, вероятно, будут расти. В частности, каждая из четырех технологий, которым респонденты опроса уделили наибольшее внимание, сопряжена со своими рисками.

Возьмем, к примеру, миграцию в облако. По мере того, как финансовые учреждения переносят свои рабочие нагрузки в облако и границы сетей стираются, возрастает риск воздействия на участников угроз и получения национальными государствами доступа к сетям. Без надлежащего управления, основанного на надежной стратегии облачной безопасности и мощных возможностях обеспечения безопасности, компании сталкиваются с множеством киберрисков, включая неправильные настройки, нарушения конфиденциальности данных и их потерю. Строгий контроль доступа, программы управления уязвимостями, защита данных и возможности управления сторонних производителей имеют решающее значение для снижения этих рисков; в противном случае организации могут оказаться восприимчивыми к таким рискам, как потеря данных из-за слабых внутренних подключений и сбоев в обслуживании из-за сильной зависимости от сторонних производителей.

Использование прикладного ИИ и искусственного интеллекта нового поколения создает значительные регуляторные риски для компаний. Регулирующие органы все больше обращают внимание на риски, связанные с ИИ, и разрабатывают требования, подобные тем, которые изложены в Законе ЕС об ИИ, которые, вероятно, будут введены в действие в ближайшие годы. Компаниям, оказывающим финансовые услуги, следует наращивать свои возможности в области безопасности, включая отчетность, управление и конфиденциальность данных, в соответствии с новыми нормативными актами, прежде чем они вступят в силу.

Разработка программного обеспечения нового поколения и архитектура доверия также могут подвергнуть компании рискам, если они не будут разработаны и внедрены безопасно. Обе технологии могут обеспечить повышение эффективности и безопасности в технологической среде организации, но вместе с ними возникает риск неудачного привлечения нужных навыков к разработке и внедрению или неспособности полностью и надежно интегрировать технологии в окружающую среду.

Рассмотрите возможность внедрения архитектуры нулевого доверия. Проблемы с неправильной настройкой безопасности и интеграцией, связанные с устаревшими инструментами, могут увеличить риски потери данных, нанесения ущерба репутации и внутренних угроз.

Компании, оказывающие финансовые услуги, должны полагаться на свои базовые возможности кибербезопасности для обеспечения безопасности своих технологий и окружающей среды. Возможности кибербезопасности должны быть приоритетными в бизнесе, поскольку учреждения продолжают проводить технологические преобразования и признают преимущества, которые они приносят. Без надежных базовых средств обеспечения безопасности и контроля в рамках своих программ кибербезопасности организации будут подвержены рискам, связанным с их инвестициями в технологии.

“Цифровая трансформация лежит в основе нашей стратегии. Мы признаем важность внедрения новых технологий, таких как облако и искусственный интеллект, и инвестирования в них. В то же время управление связанными с ними кибер- и технологическими рисками имеет первостепенное значение для обеспечения общей устойчивости наших жизненно важных сервисов. Это помогает укрепить доверие наших клиентов к цифровым технологиям, одновременно защищая безопасность и состоятельность банка ”.—Джей Путанведу, руководитель глобального отдела противодействия кибермошенничеству и цифровому мошенничеству; BNP Paribas

Учитывая этот риск, крайне важно, чтобы организации понимали не только выгоды, которые могут принести новые технологии, но и сопутствующие риски. Чтобы учреждения могли по-настоящему использовать свои преимущества, они должны сначала скоординировать свои текущие возможности путем стратегического инвестирования и развития тех, которые поддерживают новые технологии. Хотя финансовые компании, несомненно, признают важность киберрисков и действий, которые они должны предпринять для управления ими, вопрос в том, полностью ли они осознают дополнительные риски, которые несут с собой эти новые технологии?

Компаниям нужны мощные базовые возможности кибербезопасности для противодействия киберрискам

Финансовые учреждения испытывают давление, вынужденное идти в ногу с другими организациями, и беспокоятся, что они не вкладывают должный уровень ресурсов во внедрение новых технологий.

Пятьдесят семь процентов опрошенных респондентов признались, что они озабочены тем, чтобы идти в ногу с новыми технологиями, особенно в том, что касается их расходов на кибербезопасность.

Хотя они признают важность наличия мощных средств кибербезопасности для снижения киберрисков, 31 процент компаний не уверены, что их возможности позволят это сделать. Чтобы понять, как компании расставляют приоритеты и управляют рисками, мы попросили их выделить свои основные сильные и слабые стороны в возможностях обеспечения безопасности в восьми доменах и многочисленных поддоменах (рис. 5).³

Выявленные ими самые слабые возможности требуют немедленного внимания, поскольку многие из них необходимы для успешной разработки и внедрения пяти технологий, представляющих наибольший интерес для респондентов опроса (рисунок 6):

Управление сторонними компаниями и цепочками поставок. Безусловно, самый большой недостаток возможностей — возглавляющий список для 65 процентов респондентов опроса — стороннее управление имеет решающее значение, поскольку компании продолжают расширять использование новейших технологий в облачных вычислениях и прикладном искусственном интеллекте, которые в значительной степени зависят от сторонних сервисов в таких важнейших компонентах, как вычисления, использование данных, предвзятость моделей и безопасность.Поскольку компании, оказывающие финансовые услуги, все больше и больше полагаются на услуги сторонних производителей, они должны укреплять свои собственные возможности безопасности, чтобы не превышать свои аппетиты к риску и не делать свою среду уязвимой для рисков.
Показатели и отчетность. Несмотря на то, что соблюдение требований является важным фактором для инвестиций в кибербезопасность, значительная часть респондентов опроса (41 процент) назвали свои возможности в области показателей и отчетности основным недостатком. Компаниям нужны надежные, содержательные показатели и отчетность (такие как соответствие требованиям безопасности, показатели рисков и отслеживание уязвимостей), чтобы доказать регулирующим органам работоспособность своих возможностей в области безопасности и управлять этими возможностями. Новые нормативные акты, такие как Правило SEC США о раскрытии кибератак⁴ и Закон об отчетности о кибератаках для критической инфраструктуры 2022 года (CIRCA) и аналогичные нормативные акты по всему миру подчеркнули важность улучшения отчетности, прозрачности и управления рисками кибербезопасности.⁵ Кроме того, в связи с повышенным вниманием во всем мире к соблюдению нормативных требований, операционной устойчивости, а также управлению рисками сторонних производителей, все большему числу финансовых учреждений приходится доказывать устойчивость своих поставщиков и их надежность в периоды экстремального стресса. Поэтому как никогда важно, чтобы компании могли должным образом оценивать свои риски.Без надежного процесса измерения, отчетности и управления рисками, связанными с возможностями, организации действуют вслепую, не зная, какой риск будут представлять новые технологии. Компаниям, например, потребуются усовершенствованные средства контроля для измерения погрешности модели и рисков, среднего времени, затрачиваемого на реагирование на инциденты в облачной среде, и серьезности уязвимостей. Эти средства контроля позволяют компаниям выявлять свои сильные и слабые стороны и устранять эти пробелы до того, как возникнет проблема.
Возможности управления идентификацией и доступом (IAM). Респонденты опроса высказали аналогичное суждение о своих возможностях IAM, в частности о возможностях PAM с более высоким уровнем риска. Несмотря на инвестиции в цифровую идентификацию и расширение сферы технологий для защиты, компаниям по-прежнему трудно защитить учетные записи с доступом высокого риска. Без надлежащего PAM возможности новейших технологий остаются уязвимыми для взлома злоумышленниками. Кроме того, поскольку финансовые учреждения все больше зависят от автоматизированной разработки программного обеспечения (например, разработки программного обеспечения нового поколения, которые финансируют 74 процента респондентов), им необходимо внедрять безопасные методы IAM и PAM.
Облако. Облако расширяет цифровую среду и общий вектор атак, который компании должны защищать. Несмотря на то, что они поддерживают цифровое доверие, организациям трудно управлять цифровыми идентификаторами. Автоматизированное развертывание и легко масштабируемая инфраструктура в облаке могут увеличить риск раскрытия данных. К сожалению, разработчики часто используют учетные записи администратора домена или master с привилегиями и учетные данные по умолчанию в облачной среде. Без должного PAM они практически приглашают плохих игроков завладеть ключами от королевства.
Управление жизненным циклом данных. Хотя многие компании, оказывающие финансовые услуги, используют разработку программного обеспечения нового поколения и прикладной искусственный интеллект для повышения эффективности и автоматизации, им часто не хватает основных основополагающих возможностей управления жизненным циклом данных, как признали 30 процентов респондентов опроса. Без безопасного управления данными и следования лучшим практикам от создания до уничтожения компаниям будет трудно оптимизировать преимущества технологий, требующих надежных источников данных.

Подумайте о прикладном искусственном интеллекте. Защита обучающих данных модели для предотвращения фальсификации и предвзятости имеет важное значение. Поскольку модели искусственного интеллекта применяются к наборам данных и данные проходят через модели, понимание полного жизненного цикла безопасности данных от обнаружения до классификации, мониторинга, соответствия требованиям и защиты не менее важно. Передовые технологии, в которые инвестируют учреждения, также имеют самую высокую корреляцию с более слабыми возможностями. Также существует несоответствие между заявленными первостепенными рисками и недостатками возможностей, с которыми сталкиваются компании. Эти отключения создают огромные риски для организаций, особенно по мере того, как они продолжают быстрыми темпами инвестировать, тестировать и внедрять эти технологии в своей среде. Организациям следует укреплять эти возможности уже сейчас, чтобы защитить себя в будущем от растущего уровня риска, связанного с этими технологиями.

Как компании определяют приоритеты и инвестируют в кибербезопасность?

Возможности организаций, оказывающих финансовые услуги, в области кибербезопасности с трудом поспевают за быстрыми темпами внедрения.

Чтобы лучше понять, как компании подходят к кибербезопасности, мы задали три важных вопроса: что заставляет организации совершенствовать свои возможности в области кибербезопасности? Как они расставляют приоритеты в расходах на кибербезопасность? Есть ли у них необходимые таланты для решения своих задач и пробелов? (См. Врезку “Облачные и периферийные вычисления — планируемые инвестиции в технологии, но не в безопасность”.)

Соблюдение требований повышает зрелость кибербезопасности

Что касается того, что заставляет финансовые учреждения наращивать свои возможности в области кибербезопасности, наш опрос показал, что у организаций, оказывающих финансовые услуги, есть два общих фактора: повышенное соблюдение нормативных требований и усиление защиты от внешних угроз. Семьдесят процентов компаний заявили, что более строгое соблюдение нормативных требований приводит к тому, что их организации совершенствуют свои возможности в области кибербезопасности (рис. 7).

Стремление к усилению защиты от взломов системы безопасности неудивительно; это второстепенный фактор зрелости. Аналогичным образом, учитывая ужесточение регулирования финансовых услуг, понятно, что более строгое соблюдение нормативных требований будет способствовать развитию потенциала, вероятно, в областях с известными пробелами.

“Ключом к повышению безопасности новых и критически важных технологий является разработка стандартов о том, как текущие меры кибербезопасности и информационной безопасности интегрируются в использование этих технологий. Более тесная интеграция между этими стандартами и существующими кибернетическими структурами, такими как ISO и CSF Национального института стандартов и технологий, создаст единообразие в том, как эти технологии внедряются финансовыми учреждениями, и согласованные меры безопасности при использовании этих технологий ”.—Джейсон Харрелл; руководитель отдела внешних взаимодействий, операционных и технологических рисков, Депозитарно-трастовая и клиринговая корпорация

Компании должны подходить к соблюдению требований как к минимальному базовому уровню ожиданий, а не как к желанной цели. Аналогичным образом, соблюдение нормативных требований должно осуществляться проактивно, а не как реакция или запоздалая мысль, особенно по мере того, как разработчики правил вникают в новые технологии. Для многих технологий нормативные акты все еще находятся в стадии разработки (особенно в сфере искусственного интеллекта). Поскольку нормативные акты догоняют уровень внедрения в организациях, компаниям необходимо быть готовыми их соблюдать. Используя комплаенс в качестве важного аспекта внедрения, организации могут обеспечить надежность своих технологий в будущем, опережая новые нормативные акты до их внедрения.

Привычки тратить деньги: компании признают критическую нехватку инвестиций в кибербезопасность

За последние три года число подтверждений недостаточного использования возможностей увеличилось. Семьдесят процентов респондентов опроса считают, что они расходуют недостаточно средств и должны тратить больше. Ни одна организация не сообщила о перерасходе. Это знаменует собой сдвиг по сравнению с предыдущими опросами: в опросе IIF и McKinsey по киберустойчивости за 2020 год только 58 процентов респондентов признали недостаточное расходование средств. В 2023 году большинство компаний заявили, что им следует увеличить расходы на кибербезопасность более чем на 20 процентов для создания необходимых возможностей (рис. 8).

Сегодня компании, оказывающие финансовые услуги, выделяют в среднем 13 процентов своего общего ИТ-бюджета на кибербезопасность. Поскольку компании продолжают вкладывать значительные средства в технологии, им следует учитывать краткосрочные и долгосрочные последствия этих технологий для кибербезопасности, чтобы поддерживать защиту своей среды.

К счастью, ожидается, что расходы на кибербезопасность увеличатся в течение следующих двух-трех лет, причем наибольший рост ожидается у региональных банков (уровень 2). Ожидаемые расходы банков второго уровня на обеспечение кибербезопасности, вероятно, возрастут по мере приближения к порогу достаточности капитала первого уровня и ожидания усиления контроля со стороны регулирующих органов (рис. 9).

Часть ожидаемого увеличения финансирования, вероятно, пойдет на специальные инициативы по борьбе с растущими киберрисками. Многие компании также признают, что в настоящее время они не готовы снижать риски, связанные с новыми технологиями, и что они должны внедрять специальные инициативы и средства контроля для обеспечения безопасности своей среды. Но в условиях постоянно растущей потребности в дополнительном финансировании специальные инициативы только усугубят существующую нагрузку на бюджет.

Более 40 процентов респондентов, участвовавших в опросе, выступили со специальными инициативами по устранению пробелов в контроле безопасности, связанных с внедрением новых технологий (рис. 10). Менее 10 процентов не планируют инвестировать в защиту четырех ведущих технологий.

Компании полагаются на таланты для устранения пробелов в возможностях

Усилия по устранению пробелов в возможностях обеспечения безопасности обычно связаны с привлечением новых талантов и повышением квалификации существующих. Все респонденты сообщили, что полагаются на существующие таланты, а также на новые таланты для обеспечения безопасности своих технологий. Тем не менее, 65% респондентов выразили обеспокоенность по поводу привлечения и удержания квалифицированных специалистов в области кибербезопасности. Хотя компании могут передавать часть работ по кибербезопасности на аутсорсинг, более половины респондентов планируют полагаться на внутренние ресурсы для устранения пробелов в возможностях, связанных с их новыми технологиями (рисунок 11).

Призыв к действию: защита окружающей среды от будущего

Технологический ландшафт в индустрии финансовых услуг будет стремительно развиваться в течение следующих трех-пяти лет, сопровождаясь ростом рисков.

Технологии, популярные сегодня, могут измениться завтра, и по мере развития вариантов использования компании, вероятно, будут постоянно пересматривать их применимость и инвестиционные приоритеты. Время для действий по защите окружающей среды от будущего настало. Наш опрос показал, что даже ведущие учреждения терпят неудачу, а небольшие компании со значительно меньшим бюджетом или способностью привлекать лучших специалистов в области безопасности сталкиваются с еще большими проблемами.

Финансовые учреждения должны заложить основу для действий, задав себе следующие четыре вопроса о своем стремлении к новым технологиям:

Правильно ли расставлены технологические приоритеты и соответствуют ли они нашим возможностям обеспечения безопасности? Внедрение новых технологий, таких как облако и прикладной искусственный интеллект, обычно означает большую зависимость от услуг сторонних производителей. Компаниям следует задуматься о своих возможностях и зрелости системы безопасности, прежде чем внедрять какие-либо технологии. Возможности управления рисками сторонних производителей заслуживают особого внимания.
Есть ли у нас правильные показатели и отчетность? Чтобы удовлетворить требования регулирующих органов или привлечь команды к ответственности, компаниям, оказывающим финансовые услуги, нужны прозрачные, основанные на ценности показатели для управления киберрисками. Они могут помочь в мониторинге эффективности, обосновании решений и выявлении возникающих проблем для принятия быстрых мер. Эти показатели должны измерять киберриски с точки зрения новых технологий и надлежащим образом доводиться до сведения соответствующих заинтересованных сторон, включая членов совета директоров и руководителей, линии защиты и команду по управлению рисками.
Инвестируем ли мы в правильные вещи? При принятии решений об инвестициях в технологии следует учитывать возможности обеспечения безопасности, особенно возможности IAM. Растущий риск нарушений безопасности и назревающая необходимость соблюдения нормативных требований привлекают внимание к этим возможностям.
Есть ли у нас необходимые таланты и технологии для устранения пробелов в возможностях? Каждой организации необходимо инвестировать в таланты, но наем и удержание нужных специалистов является сложной задачей и требует изучения других способов восполнения кадрового дефицита, таких как использование самих новых технологий, включая искусственный интеллект.

Новые технологии привлекают большое внимание в индустрии финансовых услуг. Каждая из них сопряжена с кибервозможностями и рисками. Большинству компаний придется наращивать свои возможности в области кибербезопасности, чтобы справляться с рисками. Сегодня самое время позаботиться об окружающей среде, ориентированной на будущее, чтобы обеспечить успех в завтрашнем дне.