FS-ISACは、サードパーティリスク（TPR）を2021年のサイバーセキュリティリスクのトップ3の1つとしています。サイバーインテリジェンスのグローバルヘッドであるJR Manesの言葉を引用すると、「金融会社へのサプライヤーは引き続き脅威アクターにとって有利なターゲットになる」と主張しています。 HSBCで：「多層防御を適切に実践している組織は、サードパーティのサプライヤを介した大規模な問題やシステム上の問題に対しても脆弱です。」

サプライチェーンに対する最も有名な攻撃の1つは、2020年12月に発生しました。ロシアにリンクされた国民国家の攻撃者は、何千もの企業や政府機関で使用されているSolarWindsの監視ソフトウェアを侵害しました。敵は企業のシステムに何ヶ月も隠れて、貴重なビジネスIPを盗みました。

クラウドサービスプロバイダー、マネージドサービスセキュリティプロバイダー、およびオープンバンキングイニシアチブのAPI統合など、複数の価値のあるクライアントに重要なサービスを実行するその他のサードパーティは、引き続き脅威アクターの有利なターゲットになります。データやお金を盗んだり、システムにアクセスしたりする可能性があります。

すべての銀行が社内で処理しているわけではありません。オンラインバンキング、投資、モバイルアプリケーション、ウェブサイトなどの多くのアウトソーシングサービスです。最後に、州ごとに米国を襲っているグローバルなデータプライバシー規制の進化を考えると、銀行は以前よりもサプライヤーに対してさらに勤勉である必要があります。

サイバーレジリエントになる
運用のレジリエンスが重要です。違反が発生した場合（そうでない場合）、重要な要素は可能な限り迅速に効果的に対応することです。被害を制限するために、侵害後の災害復旧計画を実施し、リハーサルする必要があります。ただし、事前に計画することもできます：

• ビジネスに深刻な影響を与える、外部と内部の両方の侵入テストシナリオを作成します。
• 基本を正しく理解する–たとえば、すべてのシステムに100％パッチが適用されていることを確認します。
• セキュリティツールを統合する：Gartnerは、Tier 1銀行には100以上、Tier 220-45は多すぎると見積もっています。
• 防衛線を最初に運用、次にリスク管理、次に内部監査に分けてください。これらの3つの領域は、Tier 1銀行では別々の役割ですが、下位Tierでは重複する傾向があります。
• 複雑さを回避するために、サプライヤはクラウドセキュリティ、ID /アクセス管理、セキュリティ分析、脅威検出を中心に統合する必要があります
• データの保護と移植性に重点を置く：GDPRは銀行に大きな影響を与えており、プライバシーとセキュリティの問題がまだ残っています（たとえば、同意管理などの分野で）
• 広大なデジタル環境を一元化された効果的な制御を提供するID境界を確立します
• 投資ROIを提供する：サイバー投資に続いてリスクプロファイルを下げる必要があります。

特定のクラウドセキュリティ評価を実施することをお勧めします。ある米国の信用組合は、AIと機械学習を適用して、メンバーに経済的ニーズへのオファーを積極的に提供したいと考えていました。 Microsoft Azureに基づいて、安全なクラウド環境を立ち上げ、後続の本番環境で使用できるように、スケーラブルで反復可能な一連のプロセスを作成しました。これにより、セキュリティがクライアントのビジネスイネーブラーになるだけでなく、この環境が金融サービス業界の監査のセキュリティ要件を満たすか上回るという自信が高まりました。

ここから始めて、サイバーセキュリティの全体像を把握してください。