Den Australiska Prudential regulation Authority (APRA) har fått 36 incident meddelanden från nämnder av finansiella tjänster till företag i de fyra månader som gått sedan dess nya security reporting standard kom in i bilden.
CPS-234 Information Security standard kräver styrelser APRA-reglerade enheter att vara ansvarig för att säkerställa att företaget upprätthåller sin informationssäkerhet.
Enligt krav, reglerade enheter är att anmäla APRA så snart som möjligt och i varje fall inte senare än 72 timmar efter att de blivit medvetna om en av informationssäkerhet.
APRA ledamot av styrelsen för Geoff Summerhayes berättade Cyber Brott Simulering Australien (CyBSA 2019) konferens i Sydney på torsdagen att kravet har redan bidragit till att ge APRA med ytterligare insikt i omfattningen och arten av de hot som möter reglerade enheter.
Av de 36 anmälningar, Summerhayes sagt var många uppgifter överträdelser som innefattar utlämnande av personlig information som ett resultat av mänskliga misstag, till exempel av misstag när en anställd mailade ett kalkylblad som innehåller kunden information externt.
“Andra, mer illavarslande, innebar en kompromiss av personal eller kund referenser som resulterar i att obehörig manipulation av skivor, webbplats förvanskning och bedrägeri”, sa han senare att kalla dem för “relativt liten”.
Behovet att avslöja ett brott? Läs detta: Anmälningspliktig dataintrång system: redo att lämna ut ett dataintrång i Australien
“Det är viktigt att notera att APRA: s reglerade flock skulle ha varit föremål för betydligt mer försökt it-angrepp. Dessa är bara de som lyckats — och som vi vet om.”
Summerhayes sade antalet incidenter är inte en orsak till onödiga larm, men med tanke på att det är en rapporterande populationen av nästan 600 personer.
Han sa att den finansiella sektorn i stort sett hanterar informationssäkerhet incidenter bra, men sa att APRA har också observerats områden av gemensamt svaghet, många av vilka tillsynsmyndigheten har ringt flera gånger.
“Till exempel har vi identifierat grundläggande it-hygien som ett ständigt bekymmer. I detta ingår att ha ett system för vilka säljaren är inte längre ger stöd eller säkerhetsuppdateringar,” förklarade han.
“Att det saknas en övergripande säkerhet lapp regimen och dålig tillgång praxis i förvaltningen är också vanligt. Vissa institutioner har fortfarande inte utvecklat en komplett förteckning över sina tillgångar information inom sin IT-fastigheter eller införa en effektiv tillsyn, där en del av att fastigheter som förvaltas av tredje part.”
Detta inkluderar både moln-baserade tjänster och traditionell stödja arrangemang, alla tagna av CPS-234.
Se även: APRA råder reglerade enheter för att hantera risker när det antar moln
Enligt det nya direktivet, APRA-reglerad enhet måste tydligt ange den information som säkerhet-relaterade roller och ansvar för styrelse, ledande, styrande organ, och enskilda personer.
De måste också hålla och föra en logg som beskriver storleken och omfattningen av hot mot sin information tillgångar, samt genomföra kontroller för att skydda sin information tillgångar logga in och genomföra en “systematisk testning och kvalitetssäkring när det gäller effektiviteten i dessa kontroller”.
Dessutom enhet måste anmäla APRA av “väsentlig” information-incidenter.
“Du kan inte rädda det som du inte förstår, och du är bara så stark som din svagaste länk,” Summerhayes sagt. “Kort sagt, det finns utrymme för förbättringar i branschen.”
APRA: s roll, Summerhayes sade, är att se till reglerade institutioner är motståndskraftig mot it-angrepp genom att förebygga, upptäcka och reaktionsförmågan. Han sa att tillsynsmyndigheten kommer att bli allt svårare enheter på detta område genom att använda data-driven insikter för att “prioritera och anpassa tillsynsverksamhet”.
“På längre sikt, vi kommer att använda denna information för att informera baseline mått mot vilka APRA reglerade institutioner kommer att jämföras och ställas till svars för att underhålla deras it-försvar”, sade han. “Vi har satt golvet med CPS-234 och kommer att tillämpa dessa rättsligt bindande minimikrav i ett “konstruktivt tuff’ sätt.”
Internt, Summerhayes sade APRA är också stärka sin förmåga att bedöma beredskapen inom de institutioner som reglerar genom att förbättra sin egen förmåga, att vända sig till tredje parter om det krävs.
APRA också meddelade på torsdagen att det skulle vara företaget ett flerårigt projekt för att uppgradera den “bredd, djup och kvalitet” av sin pension för insamling av data.
APRA: s Pension Data Transformation syftar till att driva på bättre praxis inom branschen och förbättra medlemsstaternas resultat genom att väsentligt öka jämförbarhet och konsistens av rapporterade data, diskussionsunderlag säger.
Det förväntas att projektet kommer att göra det lättare att granska och på ett tillförlitligt sätt jämföra fonden och produktens prestanda, speciellt vid val av segment av marknaden.
APRA sa att det har för avsikt att använda denna förbättrade data för att informera sin egen tillsyn aktiviteter, få en djupare insikt i fondens verksamhet och stärka sin kontroll över industrin.
MER SÄKERHET
Min Hälsa Record “brott” mestadels fastställande stämmer Medicare recordsCybersecurity: Under hälften av organisationer är fullt beredd att ta itu med cyberattacksFormer ASIO-chefen efterlyser större it-stöd från governmentCyber Säkerhet-Strategin 2020: Att det Civila samhället experter slam “nationella säkerhet” agendaPhishing varning: Denna falska e-postmeddelande om att en bank betalning levererar trojan malwareWhy ett digitalt kunniga styrelsen kommer att öka dina intäkter (TechRepublic)Hur CISOs kan förbättra sin kommunikation med styrelsen (TechRepublic)Snabb ordlista: It-attacker (TechRepublic Premium)
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter