به گزارش کارگروه بینالملل سایبربان؛ بانک مرکزی سنگاپور (MAS) در حال حاضر از همه مؤسسات مالی خواسته تا تأمین کنندگان فروشندگان فنآوری خود را ارزیابی کنند.
در یک ارزیابی معمول، شاید از تأمین کنندگان خواسته شود تا ثابت کنند نرمافزار آنها دقیقاً آزمایش شده و آنها از برنامههای ناامن برنامهنویسی استفاده نمیکنند.
احتمالاً از تأمین کنندگان خواسته میشود تا اقدامات امنیتی خود و تعداد دفعات کنترل خطرات سایبری را نشان دهند.
دستورالعملهای بهروز شده در مورد همه بانکها، شرکتهای خدمات پرداخت مانند «GrabPay» و «Singtel Dash» و همچنین شرکتهای کارگزاری و بیمه اعمال میشود.
وینسنت لوی (Vincent Loy)، دستیار مدیر عامل فناوری در بانک مرکزی سنگاپور، به روزنامه استریت تایمز (Straits Times) گفت كه استفاده از یك فروشنده خارجی، که احتمالاً به نوبه خود ابزارهای شخص ثالث را تهیه میكند، خطرات مهمی برای سیستمهای بانكی به همراه خواهد داشت.
لوی اعلام کرد گفت :
«تأمین کنندگان شخص ثالث ناشناخته بیشترین نگرانی بانک مرکزی سنگاپور را دارند؛ مؤسسات مالی بدون داشتن منابع مالی کافی ممکن است برای تأمین کنندگان شخص ثالث ناشناخته بازتر باشند.
هک «SolarWinds» در تگزاس، ارائه دهنده برجسته نرمافزار مدیریت فناوری اطلاعات، صدها هزار شرکت و نهاد دولتی در سراسر جهان را در معرض خطر قرار داده است.
ابزارهای مدیریت فناوری اطلاعات SolarWinds از اجزای رایج محصولات بسیاری از فروشندگان بزرگ از جمله مایکروسافت، «FireEye» و سیستمهای سیسکو (Cisco Systems) هستند.
پیش از این طبق دستورالعملهای مدیریت ریسک فناوری (TRM) بانک مرکزی سنگاپور، ارزیابی از تأمین کنندگان شخص ثالث لازم نبود، اگرچه دقت کافی در مورد فروشندگان فناوری یک امر ضروری محسوب میشود.
نظارت بر غربالگری تأمین کنندگان قطعات اکنون در دستورالعملهای اصلاح شده مدیریت ریسک فناوری دیده میشود که طیف گستردهای از موضوعات را برای کمک به شرکتها در جلوگیری و بهبودی از حملات سایبری و نقص سیستم، به وضوح شرح داده است.
این رهنمودها در مورد الزامات اجباری مندرج در اطلاعیه مدیریت ریسک فناوری بانک مرکزی سنگاپور شرح داده شده است که به دلیل عدم رعایت قانون بانکداری تا 100 هزار دلار جریمه نقدی در پی دارد.
در صورت ادامه جرم ، ممکن است جریمه دیگری حداکثر تا 10 هزار دلار در روز اخذ شود.
