Los reguladores y supervisores deben actuar ahora para fortalecer el marco prudencial
Los atacantes cibernéticos continúan apuntando al sector financiero. ¿Qué pasará? ¿Cuándo un ataque derriba un banco u otra plataforma crítica, bloqueando a los usuarios fuera de sus cuentas?
Interconexiones financieras y tecnológicas estrechas dentro del sector puede facilitar la rápida propagación de ataques a través de todo el sistema, lo que puede causar una interrupción generalizada y pérdida de confianza. La ciberseguridad es una clara amenaza para la estabilidad financiera.
Entre las economías de mercados emergentes y en desarrollo, la mayoría de los supervisores financieros No han introducido regulaciones de ciberseguridad ni han creado recursos para hacer cumplir según una encuesta reciente del FMI a 51 países.
También se encontró:
- El 56 por ciento de los bancos centrales o las autoridades supervisoras no tienen un Estrategia cibernética nacional para el sector financiero.
- El 42% carece de una ciberseguridad dedicada o gestión de riesgos tecnológicos. regulación, y el 68 por ciento carece de una unidad de riesgo especializada como parte de su Departamento de supervisión.
- El 64% no exige pruebas y medidas de seguridad cibernética. o proporcionar más orientación.
- El 54 por ciento carece de un régimen dedicado a la notificación de incidentes cibernéticos.
- El 48 por ciento no tiene regulaciones sobre delitos cibernéticos.
Mientras tanto, una evaluación del Banco de Pagos Internacionales de 29 jurisdicciones identificó deficiencias en la supervisión de las finanzas. infraestructuras de mercados. Sin embargo, existen defensas contra estos riesgos, incluida la preparación y acción regulatoria concertada, como discutimos en nuestro reciente taller de ciberseguridad en Washington. Sin embargo, no será fácil, y comprensivo y colectivo. Se necesitan urgentemente respuestas.
Amenazas que proliferan
Al igual que los rápidos avances tecnológicos ofrecen a los atacantes, herramientas que son más baratas y más fácil de usar, también lo hacen los cambios que dan las instituciones financieras Mayor capacidad para frustrarlos.
Aun así, se esperan mayores vulnerabilidades en un entorno cada vez más mundo digitalizado. Los objetivos proliferan a medida que más sistemas y dispositivos son conexo. Las empresas fintech que dependen en gran medida de las nuevas tecnologías digitales pueden hacer que la industria financiera sea más eficiente e inclusiva, pero también más Vulnerable a los riesgos cibernéticos.
La escalada de las tensiones geopolíticas también ha intensificado los ciberataques. Los perpetradores y su motivación son a menudo oscuros, y los riesgos no lo son. limitado a regiones de conflicto. La historia muestra que el desbordamiento de disruptivo El malware puede causar daños globales. Por ejemplo, el ataque de malware NotPetya que inundó por primera vez los sistemas de TI de las organizaciones ucranianas en 2017 se extendió rápidamente a varios otros países y causó daños estimados en más de 10 millones de dólares.
Finalmente, la dependencia de los proveedores de servicios comunes significa que los ataques tienen una mayor probabilidad de tener implicaciones sistémicas. La concentración de riesgos para Servicios de uso común, incluida la computación en la nube, la seguridad administrada Los servicios y los operadores de red podrían afectar a sectores enteros. Las pérdidas pueden ser alto y convertirse en macro crítico.
Mientras que las empresas financieras y los reguladores son cada vez más conscientes de, y Preparados, los ataques, las lagunas en el marco prudencial siguen siendo sustanciales.
Neutralizar la amenaza
Las instituciones financieras y los reguladores deben prepararse para un mayor aumento cibernético Amenazas y posibles infracciones exitosas priorizando cinco cosas:
- Los bancos centrales, los reguladores y las empresas financieras deben desarrollar un Estrategia de ciberseguridad. El riesgo cibernético es un problema multidimensional que requiere una seguridad sólida dentro de las autoridades; Supervisión sólida a través de regulación y supervisión; la acción colectiva dentro del mercado; y esfuerzos para crear capacidad y conocimientos especializados.
- Los reguladores financieros y las empresas deben cambiar su enfoque de lo clásico Planificación de la continuidad del negocio y recuperación ante desastres, para entregar servicios críticos incluso cuando los ataques interrumpen las operaciones normales. La resiliencia requiere la aceptación de los principales líderes de las empresas y reguladores financieros y sus miembros de la junta. Las empresas deben prepararse para incidentes graves pero plausibles que pueden tener un impacto sistémico. Los supervisores deben exigir a la industria que considere tales escenarios adversos y probar sus planes de contingencia tanto individualmente como colectivamente.
- Los supervisores financieros deben garantizar que la regulación cibernética y La supervisión puede promover eficazmente la resiliencia. No hay Enfoque único para todos, pero muchos elementos son comunes. Un eficaz El enfoque de supervisión equilibra las actividades in situ y externas, realizadas por un Mezcla de expertos en seguridad y supervisores generalistas, que hacen cumplir la regulación de manera proporcional.
- Las empresas financieras deben fortalecer la «higiene» cibernética, segura por diseño sistemas, y estrategias de respuesta y recuperación. Mientras que muchos de los de hoy en día Los ataques son cada vez más sofisticados y dependen de la ingeniería social para Conseguir que una víctima proporcione información confidencial, los ataques más exitosos son el resultado de fallos de rutina, como no implementar actualizaciones de parches o Realice las configuraciones de seguridad correctas. En este contexto, habitual Prácticas para garantizar el manejo seguro de datos críticos y para asegurar Las redes marcan la diferencia.
- La comunidad internacional debe armonizar la notificación de incidentes cibernéticos y Intercambio efectivo de información para garantizar que las autoridades de todo el mundo puedan Gestione los incidentes de manera efectiva. El modelo para la notificación de incidentes y el léxico común que está desarrollando el Consejo de Estabilidad Financiera son pasos importantes adelante.
Riesgo interjurisdiccional
La fuerza de las defensas cibernéticas depende del eslabón más débil. Con el crecimiento interconexiones en todo el mundo, frenar el riesgo requiere un esfuerzo. Por su parte, el FMI continúa ayudando a los supervisores financieros a través de iniciativas de desarrollo de capacidades destinadas a diseñar y Implementar estándares internacionales y mejores prácticas como una prioridad.