Тренінг з кібербезпеки для фінансових послуг
Симуляції аудиторського рівня для команд казначейства, роздрібного банкінгу, кредитування та фінтеху. BEC, імперсонація для шахрайства з переказами, діпфейк-дзвінки CEO та credential stuffing, поєднані з вимогами GLBA, NYDFS Part 500, FFIEC та PCI DSS v4.0.
Чому щорічні відеокурси з відповідності не працюють для фінансового персоналу
Сектор фінансових послуг втратив понад $2,9 мільярда від BEC та шахрайств з переказами за останній звітний рік FBI IC3, а середня сума BEC-переказу тепер перевищує $125 000. Ціллю стають співробітники казначейства, відділу платежів і відділень, які працюють з клієнтами. Більшість успішних атак починається з одного листа чи телефонного дзвінка, що обходить загальний SAT-курс, який користувач закінчив півроку тому.
Регулятори скоротили розрив між навчанням та відповідальністю. NYDFS 23 NYCRR 500.14(a)(3) вимагає регулярного тренінгу з обізнаності з кібербезпеки, що базується на оцінці ризиків покритого субʼєкта. Поправки 2024 року до GLBA Safeguards Rule розширили зобовʼязання щодо навчання для небанківських фінансових установ. Експерти FFIEC тепер вимагають доказів зміни поведінки та фішингостійких практик, а не лише списку проходження.
RansomLeak замінює театр відповідності інтерактивними 3D-симуляціями, що відпрацьовують саме ті рішення, які приводять до втрати грошей. Персонал казначейства тренує перевірку змін у платежах постачальникам поза каналом. Касири відділень тренують відмову від вішинг-дзвінків з імʼям керівника. Офіцери з відповідності отримують готові до аудиту пакети доказів, повʼязані з кожною регуляторною рамкою, що експортуються як SCORM 1.2 або 2004 у будь-яку банківську LMS.
Шаблони загроз, специфічні для фінансових послуг
BEC проти казначейства та платежів
Перенаправлення платежів постачальникам, відведення зарплат та шахрайські запити на перекази є найбільшими категоріями втрат у фінансовому BEC. Команди казначейства та платежів потребують сценарної практики для перевірки зворотного дзвінка, подвійного контролю та підтвердження поза каналом.
Діпфейк-голосові дзвінки CEO та CFO
Кілька банків втратили шести- та семизначні суми через AI-голосові клон-дзвінки від імені керівників. Тренінг має відпрацьовувати протокол перевірки, а не ознаки попередження, бо ознаки тепер занадто переконливі, щоб помітити їх у реальному часі.
Credential stuffing на клієнтських порталах
Перевикористані паролі клієнтів і недостатнє MFA в онлайн-банкінгу та брокерських акаунтах призводять до захоплення акаунтів. Персонал клієнтського обслуговування і антишахрайства має розпізнавати шаблони атак та посилювати step-up автентифікацію в підозрілих сесіях.
Фішинг для облікових даних SWIFT, Fedwire та ACH
Оператори переказів та команди кореспондентського банкінгу мають облікові дані, що рухають мільйони з одного кліку. Один успішний фішинговий лист проти оператора переказу може спричинити втрати рівня Bangladesh Bank. Цільовий тренінг для цих ролей є обовʼязковим.
Імперсонація постачальників і третіх сторін
Зловмисники видають себе за основні процесинги, картярські мережі, KYC-вендорів та аудиторські фірми, щоб викрадати VPN- та адмін-облікові дані. Очікування OCC Bulletin 2013-29 щодо ризиків третіх сторін тепер поширюються на те, як персонал перевіряє комунікацію з постачальниками.
Фреймворки відповідності, які охоплює ця сторінка
Відповідність регуляціям, що визначають більшість рішень про закупівлю в галузі фінансових послуг.
GLBA Safeguards Rule (поправки 2024 року)
FTC Safeguards Rule за 16 CFR Part 314 вимагає, щоб небанківські фінансові установи проводили тренінг з обізнаності з безпеки і оновлювали його зі зміною ризиків. Поправки 2024 року розширили сферу застосування і додали зобовʼязання щодо повідомлення про інциденти.
Читати статтюNYDFS 23 NYCRR Part 500
Розділ 500.14(a)(3) вимагає регулярного тренінгу з обізнаності з кібербезпеки на основі оцінки ризиків. Друга поправка 2023 року додала вимоги щодо фішингостійкої автентифікації та сертифікації вищого керівництва.
FFIEC Information Security Booklet
Експерти FFIEC використовують посібник з інформаційної безпеки та інструмент оцінки кібербезпеки для оцінки зрілості тренінгу персоналу. Докази зміни поведінки, результати фішинг-симуляцій і рольовий контент тепер є стандартними очікуваннями.
PCI DSS v4.0
Вимога 12.6.3 встановлює обовʼязкове щорічне навчання з обізнаності з безпеки, що охоплює загрози, актуальні для середовища даних карток, включно з фішингом і соціальною інженерією. Майбутні вимоги v4.0 повністю набувають чинності у 2025 році.
OCC Bulletin 2013-29 і SOX
Очікування щодо керування ризиками третіх сторін поширюються на те, як персонал працює з комунікацією від постачальників. Докази внутрішнього контролю SOX 404 дедалі частіше посилаються на записи про навчання персоналу як на засіб запобігання шахрайству.
Підібрані вправи для галузі фінансових послуг
Вибрано з каталогу 100+ вправ і пріоритезовано саме для цієї галузі.
Компрометація бізнес-електронної пошти
BEC і шахрайство з переказами є найбільшою категорією разових втрат у фінансових послугах. Персоналу казначейства, платежів і фінансів ця вправа потрібна найбільше.
Читати посібникКлонування голосу за допомогою діпфейків
AI-голосові клони CEO та CFO викликали семизначні втрати від переказів у кількох банках. Відпрацьовує протокол перевірки зворотного дзвінка, що зупиняє ці атаки.
Читати посібникВішинг (голосовий фішинг)
Персонал відділень, антишахрайства і хелп-деску є типовими цілями вішингу. Тренування відмови від розголошення облікових даних і змін акаунтів по телефону.
Читати посібникФішинг на базі AI
Генеративний AI усунув ознаки граматики і тону, які раніше шукав персонал відділень і операцій. Ця вправа оновлює сценарій реагування.
Читати посібникНалаштування MFA та фішингостійка автентифікація
Друга поправка NYDFS 500 і FFIEC підштовхують до фішингостійкого MFA. Ця вправа охоплює FIDO2-ключі, push-fatigue і гігієну відновлення.
Читати посібникОбізнаність про credential stuffing
Захоплення клієнтських акаунтів є одним з найбільших джерел шахрайських повернень. Команди клієнтського обслуговування і антишахрайства вивчають шаблон атаки і реагування.
Читати посібникЗагрози, які охоплює ця програма
Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.
Поширені запитання
Чи відповідає тренінг RansomLeak вимогам NYDFS 23 NYCRR Part 500?
Як навчання відповідає FTC Safeguards Rule?
Як часто персонал фінансових послуг має проходити повторне навчання?
Чи охоплюєте ви діпфейки та атаки на основі AI?
Чи може платформа експортувати докази до нашої LMS для аудиту?
Чи охоплює контент вимогу 12.6 PCI DSS v4.0?
Чим це відрізняється від інструменту фішинг-симуляцій?
Першоджерела
Цитовані вище.
- FFIEC IT Examination Handbook: Information Security Booklet — Federal Financial Institutions Examination Council (FFIEC)
- Internet Crime Report 2023 (BEC and wire fraud loss statistics) — FBI Internet Crime Complaint Center (IC3)
- FTC Safeguards Rule (Gramm-Leach-Bliley Act) Compliance Guidance — U.S. Federal Trade Commission (FTC)
- Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure (Item 106) — U.S. Securities and Exchange Commission (SEC)
- PCI DSS v4.0 (Requirement 12.6: Security Awareness Training) — PCI Security Standards Council
- NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems — National Institute of Standards and Technology (NIST)
- FS-ISAC: Financial Services Information Sharing and Analysis Center — FS-ISAC
Дотичні матеріали
Подивіться RansomLeak в дії
Спробуйте безкоштовні вправи або замовте демо, щоб побачити аналітику, експорт SCORM, SSO та індивідуальний контент у вашому середовищі.