Обеспокоены ли вы организациями, которые хранят ваши деньги? Ежегодный обзор кибербезопасности Великобритании за 2025 год предполагает, что вам стоит быть такими.
Несмотря на годы регулирования, финансовые организации продолжают упускать из виду базовые меры кибербезопасности.
Последние выводы представлены в отчете CBEST, соавторами которого выступили представители Управления по пруденциальному регулированию (PRA), Управления по финансовому регулированию и надзору (FCA) и Банка Англии (BoE).
Анализируя наиболее значимые результаты 13 оценок CBEST и пентестов, поддержанных регуляторами для финансовых компаний в 2025 году, BoE обнаружил, что такие уязвимости, как слабый контроль доступа и проблемы с паролями, часто встречаются в бизнесе и инфраструктурах финансовых рынков (FMI).
С технической точки зрения, в отчете были отмечены как повторяющиеся проблемы, так и механизмы обнаружения потенциальных вторжений и уязвимостей: некорректно настроенные и непоследовательно обновляемые системы.
В отчете отмечается: «Учитывая изощренность некоторых злоумышленников, фирмам и FMI важно быть готовыми эффективно справляться с инцидентами, а не полагаться исключительно на защитные средства.
«В дополнение к техническим мерам, мы продолжаем наблюдать проблемы в культуре персонала, осведомленности и обучении, что подчеркивает недостаточность одних лишь технических мер».
Оценки CBEST показали, что преступники, использующие тактики социальной инженерии, могут обойти средства контроля при нацеливании на организации со слабой культурой безопасности. Эксперты полагают, что фишинг может оказаться успешным в ряде случаев, а раскрытие сотрудниками конфиденциальной информации через социальные сети и описания вакансий является реалистичной угрозой.
FMI, не имевшие строгих протоколов для своих служб поддержки (например, по проверке личности звонящих), также оказались уязвимы перед злоумышленниками, мошеннически получавшими доступ к легитимным учетным данным.
NCSC (Национальный центр кибербезопасности) прокомментировал эту ситуацию, заявив, что подобные атаки — это «хлеб с маслом» для таких групп, как Scattered Spider. Считается, что эта группа состоит из носителей английского языка, и эксперты по кибербезопасности предполагают, что она стоит за частью нашумевших атак на британский бизнес в прошлом году.
«Им известно, как использовать фишинг и целевой фишинг для использования уже сложившегося доверия к организациям», — заявили в NCSC. «Следовательно, важно обеспечить, чтобы все сотрудники организации знали о потенциальных уловках и методах противодействия этим попыткам».
Атаки с использованием социальной инженерии стали одной из немногих областей внимания в рамках оценок CBEST в 2025 году, которые призваны симулировать наиболее серьезные и правдоподобные угрозы для FMI.
Прочие типы атак, против которых тестировались регулируемые финансовые организации, включали атаки со стороны изощренных и спонсируемых государством групп, скомпрометированных третьих сторон и цепочек поставок, а также злонамеренных инсайдеров.
Все четыре этих вектора наблюдались часто в реальных атаках в течение года. Регуляторы заявили, что регулируемым структурам необходимо повысить свою устойчивость против них.
Сравнение результатов оценок 2025 года с предыдущими годами представляет собой любо картину, хотя и не совсем неожиданную.
Многие ключевые уязвимости, выявленные в ходе оценок за последние 12 месяцев, были основными проблемами и в прошлом.
Слабые конфигурации, избыточные права доступа, неэффективный мониторинг сети и уязвимостей, а также сотрудники, подверженные социальной инженерии и фишингу, фигурировали в отчетах BoE за 2023 и 2024 годы.
Однако не все так плохо. Эксперты CBEST обнаружили, что организации и FMI «продемонстрировали различный уровень зрелости в доменах управления киберразведкой (CTI)».
Они оценили большинство проверенных организаций как имеющие «относительно прочный фундамент» в операционных моделях CTI, хотя в отчете отмечается, что разведданные часто плохо интегрировались в деятельность всей компании.
Кроме того, несмотря на то, что многие основные недостатки прошлых лет остались неустраненными в 2025 году, наблюдаются улучшения, например, в области многофакторной аутентификации (MFA).
Согласно отчетам за 2023 и 2024 годы, организации испытывали трудности с внедрением эффективных программ MFA, однако этот контроль не упоминался среди основных провалов в самом последнем годовом обзоре.
Цель оценок CBEST — не вводить новые регуляторные требования для финансового сектора, который и так является одним из наиболее строго регулируемых в области кибербезопасности.
BoE заявляет, что эти оценки служат руководством для всех регулируемых структур, чтобы понять наиболее распространенные пробелы в безопасности, которые с наибольшей вероятностью приведут к успешной кибератаке и потенциально наносящим ущерб последствиям. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
