[The Daily Star]大規模なサイバー攻撃を阻止するというバングラデシュ銀行の指令に沿って、国内の60の銀行のうち4つだけがサイバーセキュリティオペレーションセンターを設置しています。
ほとんどの銀行に効果的なサイバーセキュリティシステムがないため、ニューヨークの連邦準備銀行のBBの口座から1億100万ドルのサイバー強盗が発生してから約5年経っても、この国の銀行セクターはサイバー犯罪者に対して脆弱なままです。
2016年の指令で中央銀行は、それぞれ2〜5億ルピーの投資で、すべての銀行にITセキュリティソリューションを指定しましたが、ほとんどの銀行は部分的な修正またはまったく修正しないことを選択しました。
多くの人がCOVIDのパンデミックの中で銀行に行く代わりに自宅からオンラインバンキングを行うようになったため、デジタルバンキングツールへの依存度はここ数か月で急速に高まっています。
「これにより、銀行システムにこれまで以上にサイバーリスクが生じました」と、バングラデシュビジネステクノロジー大学のIT専門家で助教授であるタンビルハッサンゾハ氏は述べています。
2016年2月のサイバー強盗に続き、同年3月3日のBBは、すべての銀行にITセキュリティソリューションシステム、つまりサイバー「セキュリティオペレーションセンター」(SOC)を直ちに設置するよう要請しました。
しかし、銀行は追加資金の投資に関心がないように思われるため、SOCを設定する指示を常に無視しており、銀行システム全体がリスクにさらされているとゾハ氏は述べた。
中央銀行の事務局長であるデブドゥラルローは、国内の60の銀行のうちSOCを設定できたのは4つだけであると連絡を取りました。
彼は、熟練した人材の不足が、ほとんどの銀行がシステムを導入できなかった主な理由の1つであると述べました。
多くの銀行はSOCを設立するための財政的能力を持っているかもしれませんが、そのようなセンターを運営するための訓練された人材を持っていません、と彼は言いました。
約5年前のBBイニシアチブにもかかわらず、ほとんどの銀行が熟練した人材を創出できなかった理由を尋ねられた彼は、多くの銀行がそうする意欲を欠いていると述べた。
「私たちは時々銀行に手紙を送り、サイバーセキュリティシステムを導入するように依頼しました。また、さまざまな会議で銀行関係者にそれを伝えました。」
中央銀行は現在、コロナウイルスのパンデミックが抑制された後、SOCを設定する銀行の期限を修正することを考えていると彼は述べた。
デブドゥラルはさらに、政府機関のITセキュリティ部門が銀行部門で熟練した人材の育成を支援する必要があると述べました。
「警察とラピッドアクション大隊はサイバー攻撃に取り組む強力な翼を持っています。そのような政府機関は銀行のIT職員のスキルを向上させる上で積極的な役割を果たすことができます」とBB職員は付け加えました。
SOCは、人、プロセス、テクノロジーを採用する組織内の一元化された機能であり、サイバーセキュリティインシデントを防止、検出、分析、および対応しながら、セキュリティ体制を継続的に監視および改善します。
これはハブまたは中央コマンドポストのように機能し、ネットワーク、デバイス、アプライアンス、インフォメーションストアなどの組織のITインフラストラクチャ全体からテレメトリを取り込みます。
たとえば、SOCを備えた銀行の現金自動預け払い機(ATM)ブースから誰かがお金を盗もうとすると、銀行の中央セキュリティシステムに警告が発せられ、送金は自動的に停止されます。
ゾハ氏によると、銀行のIT部門は、インフラストラクチャのセットアップや既存のIT関連の問題の修正に専念しているという。
「デジタルバンキングの急速な拡大により、リスクは今後さらに深まるだろう。銀行はこの目的のために早急な対策を講じるべきだ」と彼は付け加えた。
BBのデータによると、昨年、3つの専門銀行の支店を除いて、他のほぼすべての銀行の支店(99.21パーセント)にオンラインバンキング施設がありました。
外国の商業銀行は100%オンラインバンキング施設を持っており、民間商業銀行(99.98%)と国営商業銀行(98.12%)がそれに続いています。
今年の9月と11月に、中央銀行と財務省は、さまざまな地方および世界の機関から情報を受け取った直後に、銀行にサイバーセキュリティアラートを発行しました。
9月のBBの警告を受けて、ほぼすべての銀行がATMとPOS(POS)のサービスを午前12時から午前7時まで一時停止しました。
ミューチュアルトラストバンクのマネージングディレクターであるサイエドマウブブル・ラーマン氏は、この新聞と話し、銀行セクターのすべての利害関係者がITセキュリティを強化するために協力して努力する必要があると述べました。
「銀行はすぐに融資の支払いから利益を得る。しかし、短期的にはITセキュリティへの投資から利益を得ることができない」と彼は述べた。
3つの銀行のIT部門の幹部数名は、現在、かなりの数の銀行がSOCの設立に向けて順調に進んでいると述べました。
銀行はデジタルシステムをアップグレードし、巨額の投資をしなければならないため、これは大変な仕事だと彼らは指摘しました。
銀行当局者は、SOCがない状態でさまざまな手動およびデジタルツールを使用することにより、サイバー攻撃のリスクを軽減しようとしていると述べました。
多くの銀行は、すべての金融取引に2要素認証とSMSアラートシステムを使用しています。各カード取引に上限を課すことは、リスクを軽減するための別のオプションであると彼らは述べた。
しかし彼らは、SOCが銀行をサイバー攻撃から保護するための最も効果的な方法であることを認めました。
バングラデシュソフトウェア情報サービス協会(BASIS)の会長であるサイエド アルマス カビル氏は、ほとんどの銀行がSOCを持っていないことを憂慮していると述べた。
「政府はサイバーセキュリティを奨励および確保するためのポリシーを策定する必要があります。現在、セキュリティハードウェアには高い輸入税が課せられており、これは業界に悪影響を及ぼします。」
同氏は、「国が長期的に利益を得ることができるように、政府が(関税を引き下げるという)我々の要求に耳を傾けることを期待している」と述べた。
Bangladesh News/The Daily Star 20201208
http://www.thedailystar.net/frontpage/news/preventing-cyber-attacks-most-banks-ill-prepared-2007473
関連
