Entitățile financiare au mers înaintea oricărui alt sector pe cybersecurity din două motive: banii sunt ținta, iar DORA a făcut din managementul riscului ICT o linie de reglementare, nu o promisiune de board. Sandline rulează teste de penetrare informate de threat intelligence aliniate TIBER-EU, programe de management al vulnerabilităților care produc probă DORA Articolul 9 la cerere și retainer-uri IR conectate la template-urile EBA.
Acolo unde DORA se oprește, PCI-DSS 4.0 și Regulamentul BNR 4/2018 continuă. Mapăm fiecare finding pe cadrul pe care îl cere auditorul tău și păstrăm proba reutilizabilă între audituri — output-ul de pentest care satisface PCI-DSS Cerința 11.4 alimentează și DORA Articolul 13 și ISO 27001 Anexa A.8.8 fără rescriere.
Angajamente tipice
- Operațiuni red team TLPT / TIBER-EU
- Pentest extern și intern al sistemelor de plăți
- Teste de segmentare a mediului de date de card
- Program continuu de management al vulnerabilităților pe Centraleyezer
- Retainer IR cu template-uri DORA
- Program de evaluare a furnizorilor critici ICT
Amenințări specifice sectorului
Account-takeover prin configurări greșite OAuth și JWT
Printre cele mai frecvente pattern-uri de atac în retail banking UE. Pentest-urile noastre țintesc validarea token-urilor, audience checks, alg confusion și granița ID-token / access-token.
Fraudă wire prin business email compromise
BEC ocolește orice control tehnic atacând omul din buclă. Programul nostru de vulnerabilitate umană trimite phishing-uri către roluri financiare cu pretexte payroll și furnizori, iar rezultatele intră în politica de autorizare.
Compromitere lanț de aprovizionare prin furnizori critici ICT
DORA Articolul 28 a făcut din asta o problemă la nivel de regulator. Evaluăm furnizorii critici față de aceleași controale pe care le evaluezi pe tine.