מתקפת סייבר בשבוע שעבר הראתה כי חברות פיננסיות גדולות עלולות להיפגע גם מפרצות נתונים בטכנולוגיות הפיננסיות (פינטק) וכן, מפרצות נתונים אצל צדדים שלישיים אחרים המספקים אפילו חלקים קטנים מהמנגנון הטכני העומד בבסיס השווקים הפיננסיים.
מתקפת סייבר על יחידת הנגזרות של ION Trading Technologies Ltd מדבלין המשווקת תוכנה הממכנת את ההתאמה של שני צדדי עסקאות בשוק הפיננסי ואת סליקתה, גרמה למוסדות פיננסיים לעבור לאישור עסקאות באופן ידני לאחר ה- 31 בינואר, כאשר החברה נאצלה להעביר את המערכות שלה למצב לא מקוון. התקרית הראתה כיצד אפילו בנקים וחברות פיננסיות בעלות תוכניות אסון מלוטשות ואבטחת סייבר מתקדמת, חייבים להעריך עד כמה השותפים העסקיים שלהם – צדדים בעסקה, פינטק ולמעשה כל חברה בשרשרת האספקה – מוכנים למתקפות סייבר. זוהי תזכורת בולטת לפגיעויות בשרשרת האספקה וחוסן החוליה החלשה ביותר בה.
שוקי הנגזרות מטפלים בחוזים הנסחרים בבורסה בשווי של טריליוני דולרים בשנה. ניירות ערך אלו משמשים לניהול סיכונים עבור בעלים, החל מחקלאים המנסים להגן על עצמם מפני מחירי יבול תנודתיים ועד לתאגידים רב לאומיים המנהלים את חשיפות המט"ח שלהם ושרשרת האספקה שלהם. מתקפת סייבר שהקפיאה בהצלחה חלק מרכזי בצנרת הייתה עלולה להביא לעצירה מוחלטת של פעילות השווקים. ION לא הגיבה באשר לסטטוס שחזור מערכות המחשוב שלה. לאחר ש- ION ניתקה את השרתים שלה, אמרה הוועדה למסחר בחוזים עתידיים על סחורות בארה"ב שיהיה עיכוב בדו"ח הצפוי שלה על האופן שבו סוחרים מהמרים על מחירי סחורות, עקב בעיות בהגשת נתונים. הומלץ לחברות המסחר הגדולות הנדרשות להגיש דוחות פעילות יומיים, לעשות את ההערכות הטובות ביותר שלהן ולשנות אותן מאוחר יותר.
חלק מהבעיה נבע מהאופן בו פועל המסחר. ללא מערכות שיתאימו לשני הצדדים של המסחר, נאלצו בנקים וברוקרים להתקשר לבורסות ולשותפי הסחר שלהם שהושפעו ממתקפת הסייבר כדי לאחד את העסקאות על ידי מזהי עסקאות ונתונים אחרים. בעבר העסיקו הבנקים מספר רב של אנשים שהתמחו בביצוע עבודה מסוג זה. כעת פעולות אלו מתבצעות באופן אוטומטי כשהן נשענות על פינטק.
בעוד ששירותים פיננסיים נחשבים בין מגזרי התשתית הקריטיים המתוחכמים ביותר במונחים של אבטחת סייבר, קיים מזה זמן רב חשש בתעשייה מהשפעות מתקפת סייבר מוצלחת על התשתית הקיימת. חברות פיננסיות גדולות – בורסות ובנקים בוול סטריט בין היתר, מקיימות סטנדרטים מחמירים המסדירים את הסיכון התפעולי שלהן. בדצמבר 2022 הוציא הפדרל ריזרב טיוטת כללים למסלקות כדי לשפר הגנות כאלו, כולל בנושא אבטחת סייבר. עם זאת, קיימים כללים מעטים כאלו עבור חברות הטכנולוגיה המפעילות את השירותים, כלי השירות והתוכנה המשמשים ככלי עבודה בשוק הפיננסי, אמר בועז גלבורד – קצין אבטחה ראשי בחברת האבטחה Akamai Technologies Inc. עבור ספקים אלו, מוגדרים תקני סייבר לעתים קרובות באופן לא פורמלי על ידי אנשי הניהול או אפילו הלקוחות, אולם לא לפי חוקי הממשלה.
