El sistema bancario europeo necesita una gestión activa de las fronteras de ciberseguridad
Por Chris Dye, vicepresidente de marketing y comunicaciones, Pared de vidrio
Trump, Brexit y las persistentes secuelas de la crisis crediticia: la banca en Europa está bajo un fuerte escrutinio en este momento, ya que hace frente a toda la presión. Sin embargo, los sabios preocupados por la resiliencia del sistema bancario ahora también se están enfocando en la seguridad cibernética, con mucha discusión sobre cómo usar las pruebas para prevenir desastres.
No es de extrañar después de que el banco central de Bangladesh perdió 81 millones de dólares a manos de los piratas informáticos el año pasado. La UE está considerando realizar pruebas y la Autoridad Bancaria Europea (ABE) también es cada vez más consciente de los riesgos de los ciberataques, por lo que insta a los Estados miembros a tomar sus propias medidas, mientras se queja de que la infraestructura digital es rígida y obsoleta.
Desafortunadamente, el problema es que las pruebas, si alguna vez se llevan a cabo, probablemente se apegarán a evaluaciones de las mismas técnicas de seguridad que están haciendo vulnerables a los bancos.
Esta no es una situación deseable cuando los bancos, al igual que cualquier otra organización que maneja datos, enfrentarán la severidad total de la ley después de que el Reglamento General Europeo de Protección de Datos (GDPR) entre en vigor en 2018.
Según los términos del GDPR, las violaciones de datos serán legalmente notificables y costosas, tanto en términos financieros como de reputación.
Sin embargo, los reguladores europeos están equivocados si imaginan que concentrarse en la seguridad fronteriza antiviral pasiva convencional proporcionará a los bancos una defensa suficiente. Las pruebas tienen que ir más allá de la arquitectura de seguridad para abarcar los procesos comerciales y el establecimiento de enfoques de mejores prácticas. Esto último es difícil cuando el intercambio de información entre las autoridades nacionales es actualmente tan deficiente.
Lo que debe suceder es que los bancos reevalúen por completo su seguridad fronteriza. Se hacen grandes afirmaciones sobre la eficacia de la seguridad convencional de antivirus y malware, aunque se sabe que es ineficaz frente a nuevos métodos, como los ataques de día cero. Se trata de ataques que la industria antivirus aún no ha identificado ni categorizado y no tiene la tecnología para combatir hasta que es demasiado tarde. Uno de los principales proveedores de ciberseguridad de este año afirmó haber descubierto «29 de los últimos 53 ataques de día cero». Si solo se necesita una bala para matarte, el hecho de que 24 puedan llegar a ti no es mucha protección.
Existe una creciente evidencia de que las defensas antivirus convencionales ya no son efectivas ya que los piratas informáticos y los ciberdelincuentes simplemente las pasan por alto. Estos enfoques estándar no abordan cómo ha cambiado el mundo de la seguridad cibernética. La gran mayoría de los ataques de malware ahora comienzan con un correo electrónico a un empleado. Es probable que se haya disfrazado para que parezca de alguien familiar para su destinatario y que contenga un archivo adjunto. Los delincuentes ocultarán su código malicioso dentro de un tipo de archivo común, utilizando cada vez más la estructura real del archivo como escondite. Las soluciones antivirus convencionales no detectan estas amenazas, pero la tecnología de regeneración de archivos sí.
El punto sobre el uso de la regeneración de archivos es que devuelve el poder a la organización, en este caso, al banco. Los archivos se regeneran casi instantáneamente después de ser inspeccionados minuciosamente hasta el nivel de bytes, validados con las especificaciones de diseño del fabricante y luego reconstruidos como versiones limpias, completamente libres de malware que son idénticas a las originales. Los bancos pueden entonces determinar los niveles de riesgo a los que quieren que estén expuestos sus distintos departamentos. Algunos fragmentos de código en documentos que no se ajustan al estándar del fabricante pueden ser herramientas legítimas requeridas para una tarea en particular. El banco puede decidir qué quiere admitir y quién puede usarlo.
Ésta es la mejor práctica. Los bancos ya no tienen que depender de las dudosas afirmaciones de los proveedores de seguridad convencionales y pueden intercambiar documentos con confianza. No tienen que sucumbir al tipo de fatalismo que parece haberse infiltrado en la industria de la seguridad cibernética, donde la creencia es cada vez más común de que su organización será pirateada y perderá datos o tendrá que pagar un rescate. Todo lo que puede hacer es mitigar los efectos.
No olvidemos lo dañinos que pueden ser los ataques. El brazo bancario de Tesco se vio gravemente afectado por los ciberdelincuentes en noviembre pasado, con dinero extraído de aproximadamente la mitad de las 40.000 cuentas afectadas por “actividades sospechosas”. Fue lo suficientemente grave como para que todas las transacciones en línea se suspendieran por un tiempo. Además de tener que reembolsar a sus clientes y reconstruir su reputación, es probable que el banco también reciba una multa humillante.
Dado el alcance y la sofisticación de los ciberataques, cualquier prueba de estrés ordenada por la Autoridad Bancaria Europea o el Banco Central Europeo que se centre exclusivamente en la infraestructura de TI y la seguridad antiviral convencional está destinada a ser ineficaz. Ha llegado el momento de realizar pruebas para evaluar cómo un banco está adoptando la innovación para tomar la iniciativa contra el ciberdelito, gestionando una política activa que se ajusta al nivel preciso o riesgo requerido y excluye todos los códigos maliciosos que amenazan la integridad de la organización. y potencialmente, el de todo el sistema bancario.
