Credit Immobilier

Crédit Immobilier: Meilleures pratiques pour la cybersécurité dans les banques hypothécaires – Simulation


par Jim Deitch

Le Conseil d'examen des institutions financières fédérales (FFIEC) a publié son outil d'évaluation électronique le 30 juin 2015. La FFIEC est composée de membres du Bureau du contrôleur de la monnaie (OCC), de la Federal Deposit Insurance Corporation (FDIC), de la Federal Reserve Board (FRB), de la National Credit Union Association (NCUA), du Consumer Financial Protection Bureau ( CFPB) et le Comité de liaison avec les régulateurs d’État.

À l'été 2014, le FFIEC a mené une évaluation de la cybersécurité (évaluation) auprès de plus de 500 institutions financières de la communauté. Ces évaluations ont servi de base à divers organismes de réglementation pour évaluer la volonté des banques d'identifier et d'atténuer les risques liés à la sécurité de l'information.

L’évaluation a été réalisée en raison de l’augmentation du volume et de l’affinement des menaces cybernétiques et des risques qu’elles représentent pour l’infrastructure bancaire nationale, les banques, les prêteurs, les entreprises et les consommateurs. Les récentes cyberattaques très médiatisées ont clairement démontré les dommages financiers, opérationnels, juridiques et portant atteinte à la réputation que de telles attaques contre des institutions financières peuvent avoir. Les coûts comprennent les enquêtes judiciaires, les frais juridiques, la surveillance du crédit à la consommation, les changements technologiques, les campagnes de relations publiques et les atteintes à la réputation.

L'outil d'évaluation de la cybersécurité est un cadre permettant aux institutions financières et aux créanciers hypothécaires d'identifier les risques liés aux SI et de déterminer leur état de préparation à la cybersécurité. L'outil d'évaluation de la cybersécurité fournit aux institutions financières et aux prêteurs hypothécaires un processus reproductible et mesurable leur permettant de mesurer les risques inhérents à leur modèle d'entreprise. Il fournit également une méthodologie permettant de mesurer la maturité en matière de cybersécurité de l'institution ou du prêteur et de déterminer si le niveau de maturité en matière de cybersécurité est adapté aux risques inhérents à un modèle d'entreprise donné.

Une décision récente d'un tribunal a également été invoquée pour utiliser l'outil d'évaluation de la cybersécurité. La récente décision de la Cour d’appel des États-Unis pour le troisième circuit habilitant la Federal Trade Commission (FTC) à sanctionner la chaîne Wyndham Hotel pour insuffisance en matière de cybersécurité signifie un accroissement des actions en exécution de la part de la FTC et d’autres régulateurs, y compris des poursuites judiciaires. . Malgré l'absence de règles claires, le troisième circuit a laissé à la FTC la liberté de déterminer quand un manque de sécurité informatique adéquate peut être considéré comme un acte ou une pratique injuste, trompeur ou offensant (UDAAP).

La CFPB prendra certainement connaissance de cette action en justice, car une cour d'appel fédérale a suggéré qu'il était approprié d'inculper tout fournisseur de services financiers d'un problème UDAAP en cas d'infraction, voire même sans infraction. Il est donc crucial de prendre pour acquis que la sécurité des données existante est conforme aux meilleures pratiques et aux normes reconnues en matière de sécurité des données. Les outils de la FFIEC ne constituent pas un "refuge" sûr, mais le manque d'attention qui leur est accordée sera presque certainement utilisé contre une banque ou un prêteur si une infraction est commise ou si une enquête cite de mauvaises pratiques en matière de SI.

Comment une banque ou un prêteur peut-il aborder les outils FFIEC? Les régulateurs ne s'attendent pas à ce qu'une banque ou un prêteur utilise l'outil d'évaluation de la cybersécurité comme un exercice "à cocher". Considérez l'outil d'évaluation de la cybersécurité comme point de départ, adapté aux circonstances de la banque ou du prêteur. Par exemple, l'outil d'évaluation de la cybersécurité ne montre pas que de nombreux prêteurs hypothécaires travaillent en dehors des agents de crédit. Ces agents de crédit utilisent souvent des connexions WiFi dans les sociétés de courtage, les entreprises, les cafés et autres lieux dangereux. L'outil d'évaluation de la cybersécurité doit s'adapter au contexte du modèle économique de la banque ou du prêteur. De nombreux prêteurs hypothécaires autorisent les responsables de prêts et les agences de prêt à apporter leurs propres appareils ou BYOD. Le BYOD présente divers risques informatiques, notamment l’utilisation d’un certain nombre de périphériques non standard.

Il est très important de réaliser que les systèmes d'information ne relèvent pas du DSI. L'ancien gouverneur Tom Ridge, PDG de Ridge Global, société internationale de SI, et ancien secrétaire du ministère de la Sécurité intérieure, a décrit cette situation: «Nous avons travaillé avec une société qui entretenait des relations importantes entre ses responsables informatiques et opérationnels. Quand nous avons dit qu'ils s'étaient assis et avaient tenu des réunions plus approfondies pour vraiment s'assurer de l'intégration de leurs secteurs respectifs de la société en termes de cybersécurité, ils ont demandé: "Pourquoi voudrions-nous faire cela?" Donc, vous voulez vraiment briser ces silos. & # 39;

Il est important d’envisager une approche à l’échelle de l’entreprise. Le gouverneur Ridge a poursuivi: «(Votre entreprise) risque d’être violée. Avez-vous un plan de réponse aux incidents? Avec qui travaillerez-vous techniquement? Comment traitez-vous avec les superviseurs? Comment interagissez-vous avec le public? Avez-vous un plan de communication? Vous devez supposer qu'il y aura une pause. & # 39;

L'outil d'évaluation de la cybersécurité est un point de départ, mais réfléchissez à la manière dont vous pouvez inclure les questions suivantes dans l'évaluation de votre banque ou de votre prêteur:

Envisager un inventaire de données et de risques: quelles informations personnellement identifiables (PII) sont collectées par l'entreprise? Où et comment les données sont-elles stockées et séparées? Les données personnelles sont-elles stockées sur des copieurs numériques, des ordinateurs portables, des tablettes, des téléphones et des applications mobiles? Comment les données hautement sensibles sont-elles protégées (c.-à-d. Sont-elles cryptées)? Comment les données sont-elles utilisées? Comment les données sont-elles supprimées et quand? Quels sont les contrôles en place pour protéger l’accès aux données (double authentification)? N'oubliez pas que les PII peuvent être dans la mémoire des copieurs, des téléphones des employés et d'autres domaines qui ne sont pas évidents.

Assurez-vous que la politique de réponse à un incident de sécurité de la banque ou du prêteur définit les "violations". est. Les infractions controversées impliquant de grandes quantités de PII sont claires (pensez à l’Office of Personnel Management, Target, Anthem). Mais qu’en est-il de l’incident où un agent de crédit télécharge sa liste de clients avec 1 200 noms et adresses et un rapport de pipeline contenant des informations sur le revenu et le crédit et l’apporte à un concurrent? Qu'en est-il de la base de données de rapports du système d'origination du prêt avec les informations personnelles qui semble avoir été saisie par un pirate informatique, mais il est difficile de savoir par qui et si des informations ont été extraites? Qu'en est-il de la situation dans laquelle un agent de crédit clique sur un courrier électronique d'hameçonnage et qu'un programme malveillant "CryptoLocker" verrouille les fichiers de l'entreprise et demande une rançon? Que se passe-t-il si un employé insatisfait utilise les informations d'identification personnelle de l'ancien client sur le & # 39; web sombre & # 39; des lieux?

La collaboration entre les responsables de différentes unités commerciales peut mieux définir ce qu'est une infraction et ce que vous pouvez faire pour y remédier. Une collaboration préalable peut déterminer qui est responsable de la confidentialité des données: le CIO, le service juridique, la conformité, le COO ou le PDG? Il peut déterminer la différence entre un "incident de sécurité" et une "violation de données" pour l'ensemble de l'entreprise. Assurez-vous que toute votre équipe de direction connaît le plan de réponse aux incidents. Allez-vous demander un avis juridique dès le départ et, dans l'affirmative, quel responsable le demandera et qui sera utilisé? Quand votre entreprise contacte-t-elle les agents de la force publique et qui les contactera?

Les régulateurs fédéraux et nationaux exigent des réponses différentes à une infraction. Quelles lois sur la confidentialité des données s'appliquent à votre collecte et à votre utilisation des données? Les lois des États sont généralement appliquées par le procureur général et traitent généralement de questions telles que les exigences en matière de rapport en cas de violation des données. Les lois fédérales (Graham-Leach-Bliley) s'appliquent à la protection des informations personnelles. Assurez-vous de faire l'inventaire des besoins en inventaire et assurez-vous qu'ils s'appliquent. Le fait de ne pas signaler les autorités de contrôle et de ne pas signaler les consommateurs conformément à la législation nationale peut accroître les mesures d'exécution, le risque de réputation et les dommages financiers. Déterminez à l'avance la politique de renvoi et de notification pour l'application de la loi. Préparez-vous au processus de notification du consommateur et de la réglementation: sachez à quel vol et à quels autres dommages vos clients pourraient être victimes. Prévoyez des solutions pour les clients – Mesures minimales de protection anti-fraude.

Notez que l’évaluation de base de la FFIEC sur la cyber-maturité répertorie le manuel de recherche fédéral et des citations légales concernant chaque élément de la cyber-maturité. Les niveaux de maturité supérieurs ne mentionnent pas l'examen ni les citations de la réglementation. Cela signifie que la FFIEC (et ses autorités de contrôle constituantes) considèrent le terme "de base" comme le minimum requis pour le SI. Le non-respect des normes de base FFIEC signifie-t-il un UDAAP? Si une banque ou un prêteur ne remplit pas les critères de base de la cyber-maturité, un plan de mesures correctives complet est-il un moyen efficace d'améliorer la durée?

Les banques et les prêteurs ont recours à un grand nombre de fournisseurs. Comment les fournisseurs protègent-ils votre entreprise et les données de vos clients? Les exigences en matière de SI et de confidentialité de vos fournisseurs correspondent-elles à celles de votre système? Chaque vendeur avec lequel vous faites affaire doit avoir un document de réponse complet pour la gestion des fournisseurs et une assurance contre la faille de données.

Avez-vous une police d'assurance cyber? Les coûts liés aux violations de données peuvent s’additionner rapidement. Le coût de chaque enregistrement perdu peut aller de 10 à 200 USD. Il convient de garder à l'esprit combien de renseignements personnels l'entreprise traite-t-elle? Quel est le préjudice causé par une violation de données à la réputation de l'entreprise? Quels sont les coûts raisonnables par enregistrement perdu? Que se passe-t-il si l'entreprise est substantiellement interrompue en cas d'infraction? Qu'attendent les consommateurs de l'entreprise en cas d'infraction (surveillance du crédit, par exemple)? Parmi d'autres considérations.

Une évaluation minutieuse et collaborative des risques et une évaluation réfléchie de la cyber-maturité à l'aide des outils FFIEC constituent un exercice précieux qui doit être répété régulièrement.

Cyber ​​sécurité "Meilleures pratiques"

Les pirates informatiques connaissent les implémentations de sécurité types de CIO. Un élément important d’une sécurité informatique efficace consiste donc à l’aborder du point de vue d’un pirate informatique. La plupart des prêteurs ont une très bonne protection du périmètre, tels que des pare-feu et des dispositifs associés; Cependant, ce n'est pas ainsi que les pirates informatiques y ont généralement accès. Presque toutes les violations révélées publiquement ne se sont pas produites en raison d'une attaque directe contre le périmètre de sécurité traditionnel. Allen Harper, Chief Hacker de Tangible Security, suggère que jusqu’à 80% de l’entrée initiale dans les systèmes est réalisée par «l’ingénierie sociale».

L'ingénierie sociale est une technique conçue pour inciter un employé (ou un fournisseur de confiance) à accorder l'accès à un système informatique. Les violations de l'ingénierie sociale incluent cliquer sur les pièces jointes d'e-mails de phishing, les visites et la navigation sur des sites Web conçus pour introduire des logiciels malveillants via un navigateur, l'hameçonnage de téléphones pour des informations sensibles, les compromis d'email professionnel et de nombreuses autres méthodes.

Les exemples d'ingénierie sociale incluent de multiples invasions de CryptoLocker d'un prêteur hypothécaire, un compromis d'email professionnel pour obtenir et rediriger des transferts d'entreprise vers un pirate informatique, et un compromis d'email Spear Phishing pour rediriger des paiements d'un agent de fermeture vers un escroc . "Spear Phishing" se concentre sur une société ou un individu spécifique, par opposition à Phishing, ce qui permet simplement à un vaste réseau d'atteindre des objectifs potentiels. Le spear phishing devient plus dangereux, car un e-mail dirigé vers un objectif est généralement rendu légitime et demande une action pour une fonction courante, telle qu'un virement bancaire.

Il existe deux protections peu coûteuses à la pointe de la SI. Le premier est la formation des employés. L'essentiel est d'informer les employés sur les schémas d'ingénierie sociale typiques, de tester régulièrement leur conformité et d'encourager les employés à soumettre immédiatement un rapport d'incident s'ils soupçonnent qu'ils ont ouvert un e-mail ou une pièce jointe suspecte. ou avez visité un site Web infecté.

La deuxième mesure de sécurité importante qu'un banquier peut prendre est de s'assurer que les correctifs publiés par le fabricant de logiciels sont installés dès leur publication. La plupart des ordinateurs peuvent être configurés pour installer automatiquement des mises à jour logicielles et des correctifs. Les correctifs pour serveurs, routeurs et autres périphériques doivent généralement être installés par l'équipe informatique de la banque. Dans certains cas, les utilisateurs désactivent les mises à jour automatiques et placent leurs ordinateurs de manière sécurisée. Les banques et les prêteurs doivent développer et mettre en œuvre une norme commerciale pour mettre en œuvre les correctifs dans tous les systèmes à temps. Les systèmes non appariés sont des invitations ouvertes pour les pirates, les exploits et les incidents informatiques.

Parmi les outils supplémentaires permettant d'accroître la probabilité qu'un programme de RI d'une banque ou d'un prêteur satisfasse aux exigences de la FFIEC et des autorités de contrôle des États, on peut citer:

  1. Tests de sécurité robustes, y compris piratage éthique, attaques multi-vecteurs sur diverses surfaces d'attaque, à la fois à l'extérieur et à l'intérieur du périmètre de l'entreprise.
  2. Cryptage des données et critères concernant les types de données à chiffrer.
  3. Politique et protocoles de gestion formelle des incidents et des événements de sécurité (SIEM).
  4. Documentation de la surveillance des données existantes.
  5. Documentation et évaluation des fournisseurs et partenaires externes et de leurs mesures, procédures et contrôles de sécurité.
  6. Identification de tous les périphériques connectés aux réseaux d'entreprise et des logiciels sur les périphériques. La cartographie et la surveillance de chaque nœud sont indispensables.
  7. Plans de reprise des opérations si une attaque devait avoir lieu.
  8. Sauvegarde efficace des données: fréquence, types, plusieurs types de sites de sauvegarde et de sauvegarde à chaud.
  9. Plans de continuité d'activité.

L'environnement réglementaire des SI a changé avec la publication de l'outil d'évaluation de la cybersécurité FFIEC et de l'affaire FTC v. Wyndham. La nécessité d'un programme de SI robuste et collaboratif est plus importante que jamais. Les meilleurs programmes de SI incluent une vaste formation des employés, une approche collaborative entre les gestionnaires et des tests, des évaluations et une résolution constants des problèmes potentiels.

James M. Deitch est PDG et cofondateur de Teraverde. Deitch est un chef de file en matière de services bancaires aux collectivités et de prêts hypothécaires. Il a été chef de la direction de quatre banques communautaires, dont deux banques de novo. James peut être contacté à jdeitch@teraverde.com.