English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
필수 예방: 사이버 보안이 그 어느 때보다 중요해졌습니다
Sep 21, 2023OYOW의 예술
직장 연금을 보호하는 규제 기관인 영국의 연금 규제 기관(Pension Regulator)은 올해 초 300개가 넘는 연금 계획에 대해 제3자 관리자인 런던에 본사를 둔 Capita의 데이터 유출로 인해 해당 계획이 손상되었을 수 있다고 통보했습니다. . 참가자 데이터는 영향을 받지 않은 것으로 보이지만 조사가 진행 중입니다. Capita는 수십만 명의 영국 연금 제도 가입자에 대한 데이터를 보유하고 있으며 위반으로 인한 잠재적 영향은 상당합니다.
미국에서 3월에 발생한 퇴직 계좌 이동 플랫폼인 은퇴 정보센터(The Retirement Clearinghouse)에 대한 공격은 기관 투자자가 내부뿐만 아니라 공급업체 및 투자에서도 사이버 보안에 특별한 주의를 기울여야 할 필요성을 강조합니다.
사이버 공격이 증가하고 있으며 할당자, 투자자 및 퇴직 계획 모두가 높은 가치의 목표를 이루고 있습니다. 공격자가 조직을 표적으로 삼는 방식도 더욱 정교해지고 있습니다. 어떤 경우에는 공격자가 누군가를 속여 자발적으로 정보를 제공하도록 한 경우 조직이 시스템이 손상되었다는 사실조차 인식하지 못할 수도 있습니다.
금융 규제 당국은 점점 커지는 위협에 대처하기 위해 노력하고 있습니다. 미국에서는 증권거래위원회(SEC)와 노동부가 최근 배분자, 자산 관리자, 브로커/딜러를 위한 새로운 사이버 보안 지침과 제안을 발표했습니다.
사이버 보안과 관련하여 기관 투자자는 여러 수준에서 생각해야 합니다. 내부적으로는 조직 자체를 보호해야 하며, 직원들은 취약점을 최소화하도록 교육을 받아야 합니다. 공급업체 수준에서 할당자는 동일한 공급업체로 몰려드는 경향이 있으며 Capita와 마찬가지로 모두 동시에 동일한 공격에 직면할 경우 이러한 경향은 그들에게 불리하게 작용할 수 있습니다. 마지막으로, 할당자는 투자에 대한 실사 측면에서 위험을 고려해야 합니다.
워싱턴에 본부를 둔 인터넷 보안 연합(Internet Security Alliance)의 회장 겸 CEO인 래리 클린턴(Larry Clinton)은 지난 5월 The Forum by CIO에서 연설하면서 "현재까지 이 문제는 기술적/운영적 문제로 잘못 분석되어 왔습니다."라고 말했습니다. 사이버 보안은 "전사적인 위험 관리 문제입니다."
일상적인 운영에서 사이버 보안 관행은 종종 악의적입니다. 기억하기 불가능한 "강력한" 14자 비밀번호를 설정한 다음, 코드가 포함된 문자 메시지를 받고, 최종적으로 로그인이 허용되기 전에 로봇에게 로봇이 아니라고 알리는 과정을 누구나 알고 있고 싫어합니다. 생체 인식이 더 쉬울 수도 있지만 실제로 생체 인식 데이터를 고용주에게 제공하고 싶은 사람이 있습니까?
따라서 모든 사람은 비밀번호, 코드, 퍼즐, 로그인으로 돌아갑니다. 이 모든 것에도 불구하고 PwC의 데이터에 따르면 지난 3년 동안 데이터 유출 없이 버틴 기업은 14%에 불과합니다. 사이버 보안 교육 회사인 KnowBe4의 전략 책임자인 페리 카펜터는 대부분의 문제는 사이버 보안에 대한 접근 방식에 있다고 말합니다.
"우리가 해야 할 일은 주변을 둘러보고 이것이 어떤 방법으로든 해결된 문제가 아니라는 것을 확인하는 것입니다."라고 그는 말합니다. "우리의 많은 절차는 인간의 본성에 반하여 작동하며 사람들이 이를 거부하고 싶게 만듭니다. 많은 경우 조직은 시스템을 정기적으로 업데이트하고 패치하는 데 투자하지 않아 시스템을 취약하게 만듭니다. 패치에 집중하고 인간에 대한 작업을 한다면 수준이면 공격의 90%를 저지할 수 있습니다."
Carpenter에 따르면 "인간 수준에서" 작업하려면 사람들에게 피싱 이메일을 조심하도록 상기시키는 기본적인 사이버 보안 교육 이상의 것이 필요합니다. 또한 사람들이 시스템에 액세스하는 다양한 방법을 고려하고 해당 환경을 최대한 쉽게 보호하는 것도 포함됩니다.
"사람들에게 계단을 쌓으면 계단을 피할 수 있는 방법을 찾게 될 것입니다."라고 그는 설명합니다. "일단 그렇게 하고 나면 그들은 기뻐할 것입니다. 그러나 그들은 시스템에서 취약점을 발견한 것입니다. 적들도 그것을 발견했거나 발견할 가능성이 높습니다."
Carpenter는 기술자들이 새로운 기술이 모든 것을 해결할 것이라고 생각하는 경향이 있다고 덧붙였습니다. 사이버 보안 직원은 최신 보안 기술을 마련하는 데 집중할 수 있지만, 그렇게 하면 기존 시스템이 조용히 구식이 되어 디지털 공격을 위한 새로운 진입점이 생성됩니다. Carpenter는 "패칭은 하나의 진입점만 있으면 시스템이 손상될 수 있기 때문에 중요한 관행입니다."라고 말합니다. "새 시스템이 이를 따라잡기를 바라겠지만, 너무 늦을 때까지 그러지 못하는 경우가 많습니다."