Det säger sig självt att finanssektorn är en kritisk komponent i den europeiska ekonomin och som sådan står den inför flera cybersäkerhetsutmaningar som riktar sig mot både operativsystemen och de personer som hanterar systemen.
Phishing, webbaserade attacker och ransomware-attacker riktade mot både anställda och kunder är mycket vanliga och är olika varianter av det som brukar kallas 'social engineering'. Dessa är fortfarande vanliga inom finanssektorn, där mänskliga svagheter utnyttjas för att äventyra känslig information.
Tillsammans med dessa hot finns det också hot på en systematisk nivå såsom DDoS-attacker som hotar att störa behandlingen av transaktioner av högt värde och finansiell information. I syfte att äventyra finansiella system, data och finansiell information genomförs även attacker riktade mot svagheter i försörjningskedjan .
Finansbolag måste titta närmare på sina befintliga åtgärder för cybersäkerhet och implementera nödvändiga förändringar för att uppfylla NIS2-kraven, inklusive säkerställande av kontinuitet i verksamheten, hantering av tredjepartsrisker och skydd av finansiell data. När dessa förändringar genomförts, förväntas NIS2-direktivet medföra betydande fördelar för finansmarknaden.
Utbildning i cybersäkerhet – en av 10 viktiga cyberhygienåtgärder
NIS2-direktivet kräver att finanssektorn och andra 'essential and important entities' implementerar 10 grundläggande säkerhetsåtgärder för att ta itu med specifika former av troliga cyberhot.
- Riskbedömningar och säkerhetspolicyer för informationssystem.
- Policyer och förfaranden för att utvärdera effektiviteten av säkerhetsåtgärder.
- Policyer och förfaranden för användning av kryptografi.
- En plan för hantering av säkerhetsincidenter.
- Säkerhet kring upphandling av system och utveckling och drift av system.
- Säkerhetsrutiner för anställda med tillgång till känsliga eller viktiga uppgifter.
- En plan för att hantera affärsverksamheten under och efter en säkerhetsincident.
- Användningen av multifaktorautentisering.
- Säkerhet kring leverantörskedjor och relationen mellan företaget och direktleverantören.
- Cybersäkerhetsutbildning och en praktik för grundläggande datorhygien.
Cybersäkerhetsutbildning är inte bara "med på listan". Det är ett välkänt faktum att medvetenhetsträning är en viktig del i att skapa den organisatoriska säkerhetskultur som behövs för att organisationer ska kunna följa många av de andra säkerhetsåtgärderna som NIS2 har i uppdrag. Utan medvetenhetsträning året runt kommer många av de operativa procedurerna så småningom att misslyckas – på grund av mänskliga fel.
Våra nya uppdaterade versioner av Information Security Awareness-utbildningar riktar sig till alla anställda, chefer, ledningar och styrelser och är en del av att vara NIS2-kompatibel.
Vi erbjuder också en introduktion till NIS2 direktivet till alla våra kunder.