Den Australske tilsyn Myndighed (APRA) har modtaget 36 hændelse meddelelser fra bestyrelserne i finansielle services virksomheder i de fire måneder siden sin nye security reporting standard kom i spil.
CPS-234 Information Security standard kræver, at bestyrelserne i APRA-regulerede enheder, til at være ansvarlig for at sikre, at virksomheden fastholder sin informationssikkerhed.
I henhold til kravet om, at regulerede enheder, der er til at underrette APRA så hurtigt som muligt og i alle tilfælde ikke senere end 72 timer, efter at de er blevet opmærksom på et information security incident.
APRA medlem af direktionen Geoff Summerhayes fortalte Cyber Brud Simulering Australien (CyBSA 2019) konference i Sydney torsdag, at kravet har allerede bidraget til at give APRA med yderligere indsigt i omfanget og karakteren af de trusler, som regulerede enheder.
Af de 36 meddelelser, Summerhayes sagde, at mange var brud på datasikkerheden indebærer videregivelse af personlige oplysninger som følge af menneskelige fejl såsom utilsigtet offentliggørelse, hvor en medarbejder sendt et regneark, der indeholder kunde oplysninger eksternt.
“Andre, mere ildevarslende, der er involveret i et kompromis af personale eller kunde legitimationsoplysninger, der resulterer i uautoriseret manipulation af poster, website defacement, og svig,” sagde han, senere kalde dem “relativt små”.
Har brug for at give en brud? Læs dette: Anmeldelsespligtig Brud på datasikkerheden ordning: Få klar til at afsløre et brud på datasikkerheden i Australien
“Det er vigtigt at bemærke, at APRA’ s regulerede flok ville have været genstand for langt mere forsøgt cyberangreb. Disse er bare dem, der er lykkedes-og at vi ved noget om.”
Summerhayes sagde antallet af hændelser er ikke en sag for uretmæssig alarm, men da der er en rapportering befolkning på næsten 600 enheder.
Han sagde, at den finansielle sektor generelt håndterer infosec hændelser godt, men sagde, at APRA har også observeret områder af fælles svaghed, mange af som tilsynsmyndigheden har kaldt ud flere gange.
“Vi har For eksempel identificeret grundlæggende cyber hygiejne som en løbende område til bekymring. Dette omfatter systemer, for hvilke sælger er ikke længere yder støtte eller sikkerhedsopdateringer,” forklarede han.
“Manglen på en omfattende sikkerhed lappe regime og dårlig adgang management praksis er også fælles. Nogle institutioner er stadig ikke har udviklet en komplet oversigt over deres information aktiver inden for deres IT-fast ejendom eller indføre et effektivt tilsyn, hvor en del af, at fast ejendom er administreret af tredjepart.”
Dette omfatter både cloud-baserede tjenester og traditionelle støtteordninger, alle fanget af CPS-234.
Se også: APRA rådgiver regulerede enheder til at styre risici, der er ved vedtagelsen af cloud
I henhold til det nye direktiv, en APRA-regulerede enhed, som skal klart definere de oplysninger, sikkerheds-relaterede roller og ansvar for bestyrelsen, den øverste ledelse, styrende organer, og enkeltpersoner.
De skal også holde og vedligeholde en log, der viser detaljer om størrelsen og omfanget af trusler mod sine oplysninger aktiver, samt gennemføre kontrol for at beskytte sine informationer aktiver log og foretage “systematisk test og kvalitetssikring vedrørende effektiviteten af kontrollerne”.
Derudover, den enhed, der skal underrette APRA af “materiale” it-sikkerheden.
“Du kan ikke sikker på, hvad du ikke forstår, og du er kun så stærk som din svageste led,” Summerhayes sagde. “Kort sagt, der er plads til forbedringer i branchen.”
APRA ‘ s rolle, Summerhayes sagt, er at sikre, at regulerede institutioner er modstandsdygtige over for cyberangreb gennem forebyggelse, afsløring, og reaktionsevnen. Han sagde, at regulator vil blive mere og mere udfordrende enheder i dette område gennem brug af data-driven indsigt til at “prioritere og skræddersy tilsyn”.
“På længere sigt, vil vi bruge disse oplysninger til at informere baseline målinger, mod hvilken APRA regulerede institutioner skal benchmarkes og stillet til regnskab for at opretholde deres cyberforsvar,” sagde han. “Vi har sat gulvet med CPS-234 og håndhæve disse juridisk bindende minimumsstandarder i en “konstruktiv hårde’ måde.”
Internt, Summerhayes sagde APRA er også at styrke sin evne til at vurdere cyber modstandsdygtighed over for de institutioner, der regulerer ved at forbedre sin egen formåen, henvender sig til tredjemand, hvor det er nødvendigt.
APRA også meddelte torsdag, at det ville være at foretage en multi-årigt projekt til at opgradere “bredde, dybde og kvalitet” af sine pensionsindbetalinger indsamling af data.
APRA ‘ s Pensionsindbetalinger Transformation af Data har til formål at drive en bedre praksis for branchen og forbedre medlemsstaternes resultater af væsentligt at forbedre sammenlignelighed og konsistens af de indberettede data, diskussionen papiret siger.
Det forventes, at projektet vil gøre det lettere at kontrollere og pålideligt at sammenligne fund og produktets ydeevne, især i valget segment af markedet.
APRA sagde, at det agter at bruge denne forbedrede data til at informere sin egen tilsynsmæssige aktiviteter, få et dybere indblik i fondens drift, og at styrke sit tilsyn med branchen.
MERE SIKKERHED
Min vandrejournal ‘brud’ for det meste om fastsættelse af forkerte Medicare recordsCybersecurity: Under halvdelen af de organisationer, som er fuldt ud rede til at beskæftige sig med cyberattacksFormer ASIO hoved beder om mere cyber støtte fra governmentCyber Sikkerhed Strategi 2020: civilsamfundet slam-eksperter “nationale sikkerhed” agendaPhishing advarsel: Denne falske e-mail om en bank betaling, leverer trojan malwareWhy et digitalt-kyndige vil bestyrelsen øge din indtjening (TechRepublic)Hvordan CISOs kan forbedre deres kommunikation med bestyrelsen (TechRepublic)Hurtig ordliste: Cybersecurity-angreb (TechRepublic Premium -)
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre