Increasing reliance on complex technology leaves banks vulnerable

When Barclays experienced a three-day outage earlier this year, due to a mainframe failure, millions of UK customers were unable to access even the most basic banking services.

The disruption not only damaged the bank’s reputation but also left it facing a compensation bill of as much as £7.5mn. Инциденти като този стават обезпокоително постоянно срещани в бранша на финансовите услуги.

Въпреки че влага милиарди за най-съвременните принадлежности за сигурност и се стремят да успокоят както клиентите, по този начин и регулаторите на своята резистентност, банките остават доста уязвими. Нарастващата трудност на техните софтуерни екосистеми и дългите, заплетени вериги за доставки, нужни за поддръжката им, са основни виновници.

Във Англия Barclays претърпя 33 повреди в системата сред януари 2023 година и февруари 2025 година, съгласно данни на Комитета за избор на камари на Министерството на финансите. През същия интервал HSBC и Santander бяха наранени от 32 спирания.

Предизвикателствата не се лимитират до спирания. Миналата година Citigroup кредитира акаунта на клиента с Щатски долар 81TN, когато означаваше да изпрати единствено 280 $, откакто чиновник в Wall Street Bank направи неточност в въвеждането, до момента в който използваше аварийна система с муден потребителски интерфейс.

„ Банките работят в комплицирани среди, които съдържат безчет приложения, вариращи от платформи за търговия до принадлежности за разкриване на измами “, споделя Alois Reitbauer, основен софтуерен пълководец в американската софтуерна група Dynatrace. „ „ Тези приложения се извършват на мощно публикувани облачни инфраструктури, притеглят данни от голям брой магазини и разрошават за поддръжката на разнообразието от трети страни VeNendors “. Мреката или аномалията по веригата на доставки на програмен продукт могат да доведат до необятно публикувани спирания, които нарушават услугите “, прибавя той.

, до момента в който финансовите институции се състезават за модернизиране-преминаване към облака и приемането на зараждащи технологии като изкуствен интелект и квантови изчисления-мнозина остават в похода от по този начин наречения„ механически дълг “. The term is used to describe the mounting cost of maintaining and building on top of outdated, poorly written code, which is one of the key causes of flare-ups.

“The recent errors from Barclays and Citigroup relate to legacy IT systems, likely developed during less mature development cycles. Having more rigorous development life cycles with proper vulnerability testing can help flag potential issues early on, ” says Justin Kuruvilla, chief cyber security strategist at Рискова книга, експерт по сигурността на веригата за доставки на Лондон.

Alicja Cade, шеф на Службата на основния чиновник по сигурността на информацията в Гугъл Cloud, е склонен. „ Често финансовите институции се борят с наследената технология и остарелите процеси, което води до оперативна чупливост и елементарни неточности, когато се разтягат от нови условия “, споделя тя и прибавя, че „ незадоволителното тестване в нови контексти и затрупани взаимосвързани системи в допълнение изострят тези опасности “.

Проучване от 2024 година с 10x банкиране на 200 лица на ИТ решения откри, че 53 на 100 цитират силози на данни и трудности за производството като бариери за мащабиране на наследените системи. Справянето с техническия дълг също ще помогне на банките да подобрят сигурността на своите ИТ системи в изискванията на възходяща кибер опасност както от националните страни, по този начин и от нарушителите, които желаят да източат средства или да откраднат данни за изнудване или шпионаж.

, само че осъществяването на огромни промени в системите за надграждане, както и тестване, може да бъде скъпо и разрушително. Банките не са склонни да вкарват престой, изключително като се има поради главното „ потребителско ръководство “ на финансовия потребителски опит, съгласно Джошуа МакКенти, основен изпълнителен шеф и съосновател на Polyguard. ; „ Натискът на упованията за„ нови функционалности, по -бързи и за всички “и възходящата трудност на финансовите интервенции оферират банките, разпространиха сигурността. Привържениците настояват, че това предлага благоприятни условия за подсилване на сигурността, което евентуално разрешава автоматизирани актуализации, световен мониторинг в действително време и по-бързо възобновяване, в случай че има случай. Но други не са съгласни, изтъквайки, че това може да остави данните по -изложени на централизирано място.

Jayant Dave, основен чиновник по сигурността на информацията за софтуерните технологии на Check Point в Азиатско-Тихоокеанския район и Япония, споделя, че „ възходящото разпространяване на хибридните архитектури-обхващащи местни системи, облачни платформи и мобилни среди-добавя пластове на трудност. “

Организациите губят избран надзор и видимост на главната си инфраструктура, защото облачните снабдители поемат по-голям отговор и прибавят пластове на трудност. “

Организациите губят избран надзор и видимост на главната си инфраструктура, защото организациите в облака поемат по-голям отговор и прибавят пластове на сложността. “

Организациите губят избран надзор и видимост на главната си инфраструктура, защото облачните снабдители поемат по-голяма отговорност. Жулиен Ричард, заместник-председател на осведомителната сигурност в Mastwall, акцентира, че това може да усложни процесите към реакцията и спазването на случаите.

„ Моделът на споделената отговорност-докато е добре документиран-все още е източник на комплициране, изключително в комплицирани среди с голям брой снабдители и услуги. Когато нещо се обърка, знаейки тъкмо кой е виновен за това, което не е ясно, и това може да сътвори действителен риск “. Продавачът на трети страни съответно инспекция, картографиране и ръководство още по-важно. „ Организациите би трябвало да открият ясни процеси за оценка на третите страни, с които работят - освен на борда, само че и непрестанно с течение на времето - с цел да се подсигурява, че тези взаимоотношения не се трансформират в слепи петна “, прибавя Ричард.

„ В тази открита среда организациите за финансови услуги би трябвало да помнят, че са толкоз мощни, колкото веригата им за доставки “, споделя Алекс Лори, старши вицепрезидент в Ping Identity.

Реалността на риска от веригата за доставки бяха подчертани от случай в софтуерния бранш предходната година, когато предходната година сервъри в обсега на Microsoft Windows, когато предходната година се носеха сервъри, когато предходната година се нуждаеше от сервери. За да се разпрострат контроли, които предотвратяват както злонамерените дейности, по този начин и непредвидените неточности, като в същото време събират нужната телеметрия, с цел да се открие по кое време контролът не се е провалил или е бил заобиколен “, споделя Джон Шиер, основен чиновник по осведомителната сигурност в Sophos. „ Припокриващите се набори от контроли и открития, в разнообразни точки във веригата на процеси, обезпечават остатък и ще понижат въздействието на един -единствен неуспех. “

Някои специалисти по сигурността се застъпват за по -нататъшни системи за автоматизиране, изключително поради появяването на AI. Dave на Check Point приканва финансовите групи да употребяват AI, с цел да „ ускорят модернизацията на своите софтуерни стекове и работни процеси, намалявайки ръчните точки на допиране и минимизиране на човешките неточности “.

Reitbauer се съгласява, призовавайки банките да преминат от реактивни към самодейни подходи към него спирания или произшествия със сигурността, употребявайки AI, с цел да оказват помощ за прогнозиране и попречване на произшествия, преди да се появят. „ Ключът се състои в видимостта в действително време в систематичното здраве, потребителския опит и всевъзможни аномалии в естествените бизнес процеси “, споделя той.

И въпреки всичко, конкуренцията от доста компании за финансови услуги, които да вкарат AI в своя бизнес, без да се грижат, носи провокации единствено по себе си. „ AI всъщност трансформира рисковия профил на банката, въвеждайки нови уязвимости като операция на модела, изисквайки стратегически отговор “, споделя Cade на Гугъл Cloud.

„ Тъй като потреблението на модела на AI е включено в сериозни инфраструктурни браншове, като финансови услуги, те са ориентирани от нападатели, затова неприятно обезпечени или предубедени AI може да докара до загуби, санкции и репутационни вреди “, прибавя тя.

Банките също би трябвало да помислят още веднъж за възприемането на наклонността да се упорстват за по-голяма дерегулация и би трябвало да одобряват като предупредителна приказка за неустойчивостта и нарушаванията в надалеч по-малко контролирания бранш на криптовалутата, съгласно Richard на Lastwall.

„ Минигирането на тези опасности се свежда до използване на основите на основите и осведомените хора, съгласно правилата на Richard. „ Доверете се, само че проверете “, споделя той. „ Това, което е от решаващо значение, е да се удвои тези практики, а не да се отдръпва от тях. “