APRA представила новую стратегию кибербезопасности и отметила, что она активизирует свой обзор текущего кибер-соответствия, привлекая советы директоров к ответственности за недостатки.
Стратегия кибербезопасности пруденциального регулятора на период с 2020 по 2024 год направлена на повышение стандартов кибербезопасности и введение повышенной подотчетности в тех случаях, когда компании не выполняют свои юридически обязательные требования.
В своем вчерашнем выступлении на Форуме по обеспечению финансовых услуг Джефф Саммерхейс, член исполнительного совета APRA, заявил, что новая стратегия направлена на защиту все более взаимосвязанной сети финансовых организаций, усиление надзора со стороны совета директоров и улучшение основных методов кибергигиены.
Саммерхейс сказал, что APRA хочет “искоренить ненужное или небрежное кибер-воздействие”, установив базовую базу кибер-контроля. Это начиная с заточки его соблюдения Роспотребнадзор 234 соответствия.
CPS 234 был введен в прошлом году для укрепления киберустойчивости сектора и требует от банков, страховщиков и пенсионных фондов поддерживать возможности безопасности, проводить регулярные тесты и уведомлять регулятор в случае возникновения инцидентов.
Советы директоров должны будут привлечь внешнюю аудиторскую фирму для проверки соблюдения требований CPS 234 в следующем году после того, как регулятор выявит, что многие организации не соблюдают эти правила должным образом.
В то время как APRA ранее пошла на уступки, чтобы снизить регуляторное бремя, чтобы отрасль могла сосредоточиться на своих ответных мерах на пандемию, Саммерхейс сказал, что “это одна из областей, где APRA больше не может сдерживаться от закручивания регуляторных винтов».
“Прошло почти 18 месяцев с тех пор, как CPS 234 вступил в силу, и мы все еще видим слишком много основных проблем кибергигиены в отрасли”, — сказал Саммерхейс.
“Мы также собираемся использовать гораздо более целенаправленный подход к обеспечению полного соблюдения CPS 234 и привлечению советов директоров и руководства к ответственности там, где это не так.”
Саммерхейс также призвал к повышению квалификации в области кибербезопасности во всех советах директоров и функциях внутреннего аудита.
“Слишком многим советам директоров по-прежнему не хватает видимости или понимания проблем, в то время как функции внутреннего аудита могут не иметь специальных навыков, чтобы бросить вызов советам директоров и руководству, чтобы заполнить срочные пробелы”, — сказал он.
“Кибер-риск вряд ли является новой угрозой, но многие советы по всему нашему регулируемому населению все еще не оснащены должным образом, чтобы контролировать кибер-вопросы и направлять корректирующие действия там, где это необходимо.”
В стратегии будет сформулировано расширенное руководство по кибербезопасности для членов совета директоров, внутренних аудиторов и специалистов по управлению рисками.
Сложная сеть
Новая стратегия также направлена на расширение охвата APRA за пределы 680 субъектов, которые она регулирует, на более широкую экосистему из 17 000 взаимосвязанных финансовых субъектов, рынков и инфраструктуры, предоставляющих продукты и услуги потребителям.
“Мы знаем, что кибер – нарушение в любой части системы – например, страховой брокер, кредитное рейтинговое агентство, поставщик ИТ-услуг или служба ремонта банкоматов-может иметь каскадное влияние на всю систему.”
APRA разработает более эффективные методы оценки и обеспечения качества услуг сторонних поставщиков для использования субъектами, регулируемыми APRA, повысив уровень зрелости практики закупок и надзора за поставщиками.
Несмотря на повышенные киберриски, Саммерхейс сказал, что “нет никаких очевидных признаков” увеличения числа кибер-противников, нацеленных на банки, страховщики или суперфонды во время удаленной работы COVID-19.
“Это не повод для самоуспокоения, учитывая, что для обнаружения некоторых кибератак могут потребоваться месяцы или годы, в то время как мы остро осознаем, что наши крупные финансовые учреждения ежедневно предотвращают попытки кибератак”,-сказал он.
Саммерхейс отметил, что киберриски продолжают ускоряться, и миссия APRA состоит в том, чтобы “сделать шаг вперед в киберустойчивости финансовой системы Австралии”.
