Bedrifter i Australias finansmarked har fortsatt å være motstandsdyktige mot cybertrusler, med forbedringsrater i cyberresiliens forblir stabile, rapporterte Australian Securities and Investment Commission (ASIC) mandag.
Dette funnet ble publisert i bedriftsregulatorens siste rapport [PDF], som samlet trender fra selvevalueringsundersøkelser utført av finansmarkedsbedrifter. Rapporten, med tittelen Cyber-resilience of firms in Australia's financial markets: 2020–21, er en oppdatering av en lignende cyber-resilience-rapport publisert av ASIC for to år siden.
I både 2020 og 2021 ba ASIC deltakerne om å revurdere deres cyberresiliens i forhold til National Institute of Standards in Technology (NIST) Cybersecurity Framework. NIST-rammeverket lar bedrifter vurdere cyberresiliens mot fem funksjoner: Identifisere, beskytte, oppdage, svare og gjenopprette, ved å bruke en modenhetsskala for hvor de er nå og hvor de har tenkt å være om 12–18 måneder.
< p>I den nye rapporten identifiserte ASIC at cyberresiliens blant firmaer som opererer i Australias finansmarked økte med 1,4 % totalt sett, men dette falt under målforbedringen på 14,9 % for perioden. Det var også lavere enn forbedringen på 15 % som ble oppnådd mellom 2017 og 2019.
ASIC tilskrev underskuddet til en kombinasjon av årsaker, inkludert altfor ambisiøse mål, en økning i cybertrusselmiljøet og forstyrrelser forårsaket av COVID-19-pandemien, noe som resulterte i at organisasjoner rettet ressurser mot å muliggjøre sikkert fjernarbeid og sikre at produkter og tjenester kan bli levert til kunder ettersom forsyningskjeder ble belastet med voksende cyberaktivister.
Forbedring av cyberresiliensberedskap mellom sykluser (etter funksjon).
Bilde: ASIC
figur>
Totalt sett så 2021 forbedringer i administrasjonen av digitale eiendeler, forretningsmiljø, medarbeiderbevissthet og opplæring, og beskyttende sikkerhetskontroller.
“Bedrifter som opererer i Australias markeder fortsetter å være motstandsdyktige mot et raskt skiftende cybertrusselmiljø. COVID-19-pandemien har økt mulighetene for trusselaktører til å målrette mot eksterne arbeidere, og få tilgang til ekstern infrastruktur og forsyningskjeder som er kritiske for levering av produkter og tjenester. Imidlertid har responsen fra firmaer vært robust,” sa ASIC-kommissær Cathie Armor.
Rapporten sa at 90 % av bedriftene styrket bruker- og privilegert tilgangsadministrasjon, 88 % av firmaene sørget for at brukerne var opplært og klar over cyberrisikoer, og 86 % hadde modne cyberhendelsesresponsplaner på plass.
Andre viktige funn fra rapporten inkluderte gapet mellom store bedrifter og små og mellomstore bedrifter (SMB) fortsatte å lukke seg, med en samlet forbedring på 3,5 %. I motsetning til dette rapporterte større firmaer et lite fall i tilliten på 2,2 %, sa ASIC.
“Dette kommer fra en sterk base og kan tilskrives store firmaer som revurderer sine respons- og gjenopprettingsevner i lys av: Økt kompleksitet i forretningsmodellene deres [og] en betydelig økning i trusler mot kritiske produkter og tjenester som er avhengige av tredjeparter og forsyninger kjeder,” sa bedriftsregulatoren.
ASIC fremhevet også at de største gapene mellom større firmaer og SMB fortsatte å være i risikostyringen i forsyningskjeden, der 40 % av SMBer indikerte svak forsyningskjederisikostyringspraksis, men et flertall av firmaene identifiserte at dette ville være en pågående prioritet i neste periode.
Investeringer i cyberresiliens fra kredittvurderingsbyråer økte i løpet av perioden, sa ASIC, utløst av Equifax-hendelsen i 2017, mens investeringsbankene fortsatte å sette høye mål for alle NIST Framework-kategorier.
Utgivelsen av rapportene følger etter at ASIC nylig la frem en anbefaling til markedsoperatører og deltakere om å simulere avbrudd og gjenopprettingsstrategier for å forbedre motstandskraften. Det var på bakgrunn av en etterforskning av programvareproblemer fra Australian Securities Exchange (ASX) som oppsto da oppdateringen av handelsaksjeplattformen ble publisert i november i fjor, noe som førte til at børsen stoppet handelen.
MER FRA ASIC
Jane Hume sier at kryptovaluta ikke er en kjepphest til tross for RBA- og ASIC-advarslerSenatkomiteen anbefaler ny ASIC-markedslisens for digitale valutavekslereASIC rapporterer serverbrudd via Accellion-sårbarhet Australia | Sikkerhets-TV | Databehandling | CXO | Datasentre