概要
- Evolve Bank は、不正アクセスとデータ窃取を含むサイバーセキュリティインシデントを開示し、公表資料は LockBit の関与、封じ込め措置、顧客通知を説明している。
- この侵害は、影響を受けた人々に直接の支店銀行顧客だけでなく、フィンテックパートナー関係を通じて接続された顧客やエンドユーザーが含まれていたため、BaaS の説明責任ケースとなった。
- Wise、Mercury、Affirm などからのパートナー通知は、Evolve に銀行業務または発行サービスを依存していたプラットフォームを通じて対応範囲が拡大したことを示している。
- 連邦準備制度(Federal Reserve)は、リスク管理と BaaS ガバナンスに関する広範な問題で Evolve に対する執行措置を発表し、単なるサイバー侵害通知ではないにしても、説明責任の文脈を強化した。
- 信頼できる修復記録は、マッピングされたデータフロー、保持されたパートナーデータの最小化、明確な通知の所有権、パートナーサポートの調整、第三者リスク管理、ランサムウェアへの耐性、顧客資金と顧客データが同じ問題として扱われていない証拠を示すべきである。
Banking-as-a-Service が侵害の境界を見えにくくする
Evolve Bank の公式サイバーセキュリティインシデントページは、銀行が不正活動を特定し、システムをオフラインにし、外部のサイバーセキュリティ専門家を雇い、後に LockBit グループがデータにアクセスしてダウンロードしたと判断したと述べている。Evolve のインシデント FAQとデータ侵害の代替通知は、顧客および影響を受ける人々に、何が起こったか、どのような情報が関与する可能性があるかを詳しく説明している。これらのページは、銀行自身の侵害対応に関する中核的な公開記録である。
このインシデントは、Evolve が直接顧客を持つコミュニティバンクだけでなく、フィンテックプラットフォームの銀行パートナーでもあったため、より複雑になった。Banking-as-a-Service は、顧客インターフェースを規制された銀行インフラから分離する。人は自分自身をフィンテックアプリの顧客だと思っているかもしれないが、特定の口座、支払い、カード、データフローの背後にある銀行は Evolve である。銀行で侵害が発生した場合、影響を受ける人はなぜ自分の情報がそこにあったのか、どの会社が通知するのか、どこに助けを求めるべきかをすぐに理解できないかもしれない。
それが説明責任の問題である。BaaS は金融サービスをソフトウェアに組み込みやすくするが、責任を説明することを難しくすることもある。同じデータがフィンテックによって収集され、銀行によって処理され、ベンダーによって保存され、コンプライアンスに使用され、カードまたは支払いパートナーと共有され、規制上の理由で保持される可能性がある。銀行のみを名前とする侵害通知は、その銀行との従来の関係を意図的に持ったことのない人々を混乱させる可能性がある。フィンテックのみを名前とするパートナー通知は、銀行の保管役割を過小評価する可能性がある。
Evolve の公開資料は、顧客資金は安全であると述べており、それは重要であった。しかし、資金の保証とデータの露出は異なる。預金が不足していないという意味で経済的に全額を取り戻しても、個人情報がアクセスされたために身元、詐欺、フィッシング、プライバシーのリスクに直面する可能性がある。侵害対応は、一方が他方を飲み込ませることなく、両方の質問に対処しなければならなかった。
したがって、中核的な説明責任の問いは、「Evolve が侵害されたか」だけではない。それは、「すべての影響を受ける人が、Evolve が自分のデータを持っていた理由、関与したデータ、誰が支援するか、銀行とパートナーが下流の害をどのように軽減するかを理解できたか」である。
パートナー通知が対応範囲の拡大を示す
パートナーとのコミュニケーションは、インシデントの BaaS の性質を可視化した。Wise は米国における Evolve Bank & Trust のデータ侵害に関するガイダンスを公開した。Mercury はEvolve Bank & Trust のデータ侵害に関する最新情報を投稿した。Affirm はEvolve Bank Trust インシデントに関する顧客ガイダンスを維持した。これらのパートナー通知は、各パートナー関係と影響を受ける人口が異なるため、同一ではなかった。一緒に、それらは侵害が単一銀行の顧客イベントとして理解され得ないことを示した。
TechCrunch は、スタートアップが Evolve Bank のデータ侵害からの影響を評価するために奔走したと報じた。Reuters は、Evolve がサイバー攻撃とデータ侵害を確認したと報じた。これらの報道は、運用上の圧力を説明するのに役立つ:フィンテックパートナーは、自社のユーザーが影響を受けたかどうか、どのような情報が露出したか、そして銀行チェーンを理解していない可能性のある顧客とどのように通信するかを判断する必要があった。
パートナー通知の問題は実用的である。フィンテックアプリが通知を送信した場合、顧客はアプリがハッキングされたのかと尋ねるかもしれない。Evolve が通知を送信した場合、顧客は Evolve が誰なのかを尋ねるかもしれない。両方が通知を送信した場合、顧客は2つのインシデントが発生したと心配するかもしれない。どちらも迅速に明確な通知を送信しない場合、顧客は隠蔽を疑うかもしれない。対応には、役割を特定しながらそれらに隠れない、調整されたスクリプトが必要である。
通知の調整には、フィールドレベルの明確さを含めるべきである。影響を受ける人は、露出した情報に名前、連絡先詳細、生年月日、社会保障番号、口座番号、取引データ、アプリケーションデータ、本人確認書類が含まれているかどうかを知る必要がある。また、データが直接の銀行顧客、パートナー顧客、元応募者、従業員、ビジネスコンタクトのいずれに属していたかを知る必要がある。BaaS では、これらのカテゴリは重複する可能性がある。
説明責任のある対応は、サポートの所有権もカバーすべきである。顧客の質問に誰が答えるのか?フィンテックがユーザー関係を所有するかもしれない。銀行が侵害通知を所有するかもしれない。信用監視プロバイダーが登録を所有するかもしれない。規制当局が苦情を受け付けるかもしれない。対応が正面玄関を定義しない場合、影響を受ける人は企業間を行き来する。それは混乱を通じたコスト移転である。
連邦準備制度の措置がガバナンスの文脈を強化
連邦準備制度は、2024年6月にEvolve Bancorp および Evolve Bank & Trust に対する執行措置を発表し、書面合意/命令は、フィンテックパートナーシップに関連するリスク管理、マネーロンダリング防止、消費者コンプライアンスの欠陥に対処した。この措置は単なるデータ侵害通知ではなかった。しかし、それは公的な監督の文脈を確立した:Evolve のフィンテックおよび BaaS の監視は、すでに規制当局の懸念事項であった。
この文脈は重要である。なぜなら、サイバーインシデントはガバナンスの真空の中で発生しないからである。フィンテックパートナーを支援する銀行は、誰がデータを収集するか、どこにデータが保存されるか、サードパーティがどのように監視されるか、コンプライアンス義務がどのように満たされるか、インシデントがどのようにエスカレーションされるか、パートナー顧客がどのように保護されるかを理解する必要がある。サイバーセキュリティはそのシステムの一部である。パートナーの監視、データガバナンス、リスク管理が弱い場合、侵害対応はより困難になる。
連邦準備制度のSR 23-16レターおよび OCC の省庁間ガイダンス発表に反映されたサードパーティリスク管理に関する省庁間ガイダンスは、外部委託およびサードパーティ関係におけるガバナンスを強調している。BaaS 侵害では、これらの原則は実用的な質問に変換される:銀行はどのパートナーデータを保持しているか、どのベンダーがアクセスできるか、どのくらいの期間保持されるか、転送を誰が承認するか、管理を誰が監視するか、インシデントがどのように伝達されるか。
執行の文脈は不注意に使用すべきではない。それは、すべての監督上の欠陥がサイバー攻撃を引き起こしたことを証明するものではない。しかし、それは説明責任のレンズを鋭くする。影響を受けるデータが複雑なパートナーモデルが存在するために存在する場合、BaaS 銀行はサイバーインシデントを狭い IT の問題として扱うことはできない。インシデント対応は、データを作成、保持、送信した運用構造全体に対して評価されなければならない。
Evolve にとって、説明責任のある修復記録には、したがってサイバー修復と BaaS ガバナンス修復の両方を含めるべきである。銀行はアクセス制御と監視を改善したか?パートナーデータフローをマッピングしたか?パートナー監視を改訂したか?フィンテックとのインシデント通知義務を定義したか?保持慣行をレビューしたか?サポート役割を明確にしたか?これらの質問は一緒に属する。
LockBit がデータガバナンスを恐喝リスクに変えた
Evolve の公開インシデントページは、データ窃取を LockBit グループに帰した。CISA およびパートナー機関はLockBit ランサムウェアに関する共同勧告を維持しており、CISA のStopRansomware ガイドは、一般的なランサムウェアの準備と対応ガイダンスを提供している。この文脈では、ランサムウェアは暗号化されたサーバーだけではない。盗まれたデータ、恐喝、公開リークの脅威、および下流の詐欺リスクでもある。
この区別は重要である。なぜなら、Evolve の顧客資金保証はデータリスクの質問を排除しなかったからである。データがダウンロードされた場合、影響を受ける人はどのフィールドが関与し、どのような誤用が続く可能性があるかを知る必要があった。ランサムウェアグループは、盗んだ情報を企業に圧力をかけ、パートナーを恥ずかしめ、二次的な詐欺を可能にするために使用することが多い。BaaS データは、身元情報、銀行情報、アプリケーション情報、パートナー関係情報を含む可能性があるため、魅力的である。
ランサムウェア対応はまた、証拠の保存をテストする。銀行は、何がアクセスされたか、いつ、誰によって、どのシステムから、どの影響を受ける集団に対してかを決定しなければならなかった。この分析は、データが銀行システム、パートナーインターフェース、ベンダー、アーカイブ、コンプライアンスリポジトリ、履歴記録に分散している場合、困難である。対応は、範囲を時期尚早に狭めることなく、確認された露出と疑われる露出を分離しなければならない。
NIST のコンピュータセキュリティインシデント対応ガイドは、封じ込めと分析を接続して扱うため有用である。システムをオフラインにすることは害を止めるかもしれないが、運用を混乱させる可能性もある。システムを復元することはサービスを戻すかもしれないが、データ窃取の範囲には答えない。フィンテックパートナーを持つ銀行は、継続性と証拠の両方を同時に管理しなければならない。
公開記録は、Evolve が封じ込め措置を講じ、サイバーセキュリティ専門家を雇ったことを示唆している。残る説明責任の問いは証明である。どのシステムが影響を受けたか?どのパートナーデータセットが含まれたか?どのログが範囲を確立したか?どの資格情報がローテーションされたか?どの顧客通知がどのデータセットに対応したか?どの管理が変更されたか?これらの回答は、ランサムウェア対応が検証された修復になるか、単なる危機管理になるかを決定する。
顧客資金の安全性と個人データの安全性は異なる約束である
Evolve は顧客資金は安全であると一般に伝えた。その声明は重要であり、おそらく多くの人々にとって安心させるものであった。また、誤解されるリスクもあった。資金の安全性は、一種の害が発生しなかったか、検出されなかったことを意味する。個人データの露出は別の害である。銀行は預金を保護しつつ、社会保障番号、口座識別子、連絡先詳細、アプリケーションデータを露出させ、長期的な詐欺リスクを生み出す可能性がある。
FDIC のフィンテックとの銀行業務に関する消費者ガイダンスは、消費者がこの点で混乱する理由を説明するのに役立つ。人々はアプリを使用し、銀行のような機能を見て、どのエンティティが資金やデータを保持しているかを知らないかもしれない。侵害では、保険付き預金の質問と身元リスクの質問を区別しないかもしれない。関与する企業は、彼らのためにその区別をしなければならない。
強力な通知は、次のように言う:あなたの資金はこれらの理由で影響を受けていないと考えられます;あなたの個人情報はこれらのカテゴリで影響を受けた可能性があります;ここに私たちが行っていること;ここにあなたがすべきこと;ここに連絡先;ここに正当なコミュニケーションを特定する方法。この構造は、資金の安全性の声明が包括的な安心感になることを防ぐ。
同じ区別は、パートナープラットフォームにとっても重要である。フィンテックは、アプリが引き続き動作することをユーザーに安心させることができる。それでも、Evolve が何を保持し、ユーザーのデータが関与したかを説明する必要がある。パートナーは直接侵害されていないかもしれない。それでも、顧客を支援し、質問に答え、自社のデータ共有ガバナンスを更新する必要がある。説明責任は、侵入点だけでなく、データに従う。
影響を受ける人々にとって、実際のリスクは運用上のインシデントよりも長く続く可能性がある。身元データは、システムが復元された後に無害になるわけではない。名前、社会保障番号、生年月日、住所、口座関係は、何年も詐欺を支援する可能性がある。データ侵害対応には、したがって長期監視、明確な詐欺報告、攻撃者が後でデータを使用する可能性があるという注意を含めるべきである。
データ保持は静かな BaaS 管理である
Evolve インシデントは、多くの BaaS モデルに現れる保持の質問を提起する:なぜ各データがまだ存在し、誰が決定したのか?銀行はコンプライアンス、詐欺、監査、規制上の理由から特定の記録を保持する必要がある。フィンテックパートナーは、顧客サポートや製品運用のためにデータを必要とするかもしれない。ベンダーは処理のためにデータを保持するかもしれない。しかし、保持されるすべてのフィールドは侵害面を増加させる。保持はコンプライアンススケジュールだけではない。それはセキュリティ上の決定である。
FTC のデータ侵害対応ガイドおよび NIST のプライバシーフレームワークは、組織がデータリスクを理解し最小化すべきであるという考えを支持している。BaaS では、データインベントリは、誰が情報を提供したか、どの法的根拠が保持を要求するか、どのパートナーがアクセスできるか、どのシステムが保存するか、いつ削除できるか、削除がコピー全体で検証される方法を回答すべきである。
侵害が元ユーザー、不合格応募者、閉鎖口座、レガシーパートナー関係のデータを露出させた場合、保持の質問は公になる。影響を受ける人は、なぜデータが残っていたのかと合理的に尋ねるかもしれない。答えは法的に有効かもしれない。しかし、それは説明可能であるべきである。「システムがそうしていたから保持した」は説明責任の答えではない。
データ保持はまた、通知範囲に影響を与える。パートナーデータが複数のシステムで複製されている場合、侵害調査員は二重カウントと過小カウントを避けなければならない。古いパートナーデータセットにクリーンなメタデータがない場合、銀行は誰に通知を送るべきかを特定するのに苦労するかもしれない。顧客識別子がパートナーシステム間で異なる場合、サポートチームは基本的な質問に答えられないかもしれない。これらは単なるデータベースの問題ではない。それらは、人々が時間内にリスクを知るかどうかを決定する。
修復には保持監査を含めるべきである。どの BaaS データセットが必要か?どれを最小化できるか?どれをトークン化またはセグメント化できるか?どのパートナーアクセス経路がまだ有効か?どのアーカイブが機密フィールドを運ぶか?どの削除約束が検証可能か?保持データを減らすことは、新しいセキュリティツールを展開するほど目立たないかもしれないが、直接次の侵害を減らす。
パートナー顧客には一貫したサポートパスが必要
フィンテックパートナーを通じて接続された影響を受ける人々には、一貫したサポートが必要であった。銀行は法的通知義務を持ち、パートナーは顧客関係を持ち、第三者監視ベンダーは修復サービスを提供する。これらのパスが調整されていない場合、顧客は最悪のタイミングで摩擦に直面する。彼らは、Evolve、Wise、Mercury、Affirm、信用調査機関、規制当局、または使用しているアプリのどれに電話すべきか分からないかもしれない。
Wise のEvolve データ侵害通知、Mercury のデータ侵害最新情報、Affirm のEvolve インシデントガイダンスなどのパートナーページは、正面玄関を作るのに役立つ。しかし、正面玄関はその答えと同じくらいしか良くない。顧客には、何が起こったか、どのパートナー関係がデータリンクを作成したか、どの情報が影響を受けたか、資格情報や資金が関与しているか、どのような修復が利用可能かについて一貫した説明が必要である。
サポートには詐欺認識も必要である。犯罪者は銀行、フィンテック、または監視プロバイダーを装うかもしれない。彼らは、資金がリスクにさらされている、確認が必要である、または新しい口座を開設する必要があると伝えるかもしれない。通知は、正当なコミュニケーションがどのように到着するか、どのような正当なサポートエージェントが要求しないかを顧客に伝えるべきである。BaaS 侵害は、攻撃者が模倣するための複数のブランドを作成し、混乱を増加させる。
サポートパスはまた、企業間の説明責任を保持すべきである。パートナーは、自社の製品関係がデータフローを作成した場合、単に顧客に銀行に電話するように指示すべきではない。銀行は、データを保持していた場合、単に顧客にアプリに電話するように指示すべきではない。監視ベンダーは、修復の唯一の公的な顔になるべきではない。各当事者は自らの役割を知り、引き継ぎを明確にすべきである。
ここでも指標が重要である。パートナーを通じてどのくらいのサポートケースが来たか?最も一般的な質問は何か?影響を受けたかどうかを確認できなかった顧客は何人か?どのくらいの通知が戻ってきたか?どのくらいの疑わしいスパム連絡が報告されたか?これらのデータポイントは、対応設計が直接銀行チャネル外の人々にとって機能したかどうかを明らかにする。
修復基準はマッピングされテストされたデータチェーンである
BaaS 侵害に対する最も強力な修復基準は、マッピングされテストされたデータチェーンである。Evolve とそのパートナーは、顧客データがどのようにシステムに入るか、どのエンティティが収集するか、どの銀行またはベンダーが受信するか、どのシステムが保存するか、どの従業員がアクセスできるか、どのパートナーがクエリできるか、どのルールが保持を要求するか、露出した場合にどのインシデント通知プロセスが適用されるかをトレースできるべきである。このマップは、侵害中に初めて作成されるべきではない。
NIST のサイバーセキュリティイベント復旧ガイドは、復旧計画と検証を強調している。Evolve に適用すると、復旧検証にはシステム復旧だけでなく、データチェーンの検証も含めるべきである。銀行はどのデータセットがアクセスされたかを証明できるか?パートナーはどのユーザーが影響を受けたかを証明できるか?サポートチームは役割を説明できるか?規制当局はサードパーティリスク管理がどのように変更されたかを見ることができるか?顧客は通知を理解できるか?
マップはまた、テストが必要である。机上演習には、銀行、フィンテックパートナー、重要なベンダー、法務チーム、サポートチーム、詐欺チーム、コミュニケーション担当者が関与すべきである。演習は、誰が通知を送るか、誰が文言を承認するか、どのデータフィールドが利用可能か、パートナー固有の範囲がどのように計算されるか、ランサムウェアグループがデータをリークした場合に何が起こるか、どのサポートスクリプトが使用されるかを尋ねるべきである。
テクノロジーは役立つが、ガバナンスを置き換えることはできない。データカタログ、アクセス制御、エンドポイント監視、SIEM ルールは有用である。それらには所有者、エスカレーションパス、決定権が必要である。BaaS では、技術的な警告は直ちに法的、パートナー、顧客サービスの影響を持つ可能性がある。運用モデルは、一方から他方に移動する方法を知っていなければならない。
したがって、Evolve インシデントは、単一の侵害通知としてではなく、組み込み銀行の説明責任のストレステストとして記憶されるべきである。このモデルは、規制された銀行サービスがソフトウェアパートナーを通じて配布されることを約束する。説明責任の約束も同様に配布されなければならない:データが露出したとき、人々は誰が答えを借りているかを理解するために銀行スタックをデコードする必要があってはならない。
残存する未知数と説明責任の問い
公開記録は、影響を受けた Evolve のすべてのシステム、すべてのパートナー人口に対して露出したすべてのフィールド、完全なフォレンジックタイムライン、すべての修復管理、すべてのパートナー契約条件、すべてのデータ保持決定を明らかにしていない。顧客資金が盗まれたことを証明していない。データ窃取、ランサムウェアの帰属、パートナー通知の複雑さ、フィンテックパートナーシップガバナンスに関するより広い監督的文脈を示している。
知られていることは、説明責任の問いを定義するのに十分である。Evolve は銀行システム、データ管理、サイバーセキュリティ対応、多くのパートナーデータ義務を管理していた。フィンテックパートナーは、顧客インターフェース、ユーザーコミュニケーション、製品固有のサポートを管理していた。影響を受ける人々は、データチェーンのほとんどを管理していなかったが、混乱と詐欺リスクを負った。規制当局は監督圧力を管理していたが、日々の対応は管理していなかった。
説明責任の問いは、Evolve とそのパートナーが侵害をより明確で、より小さく、よりよく管理されたデータチェーンに変えたかどうかである。それは、データ最小化、パートナー固有の範囲証拠、調整された通知、ランサムウェアへの耐性、サードパーティリスク修復、サポート準備、資金の安全性とデータの安全性を区別する顧客向け説明を意味する。
BaaS が銀行業務をより分散させるなら、侵害説明責任はより明示的にならなければならない。顧客は、プログラム銀行、フィンテックフロントエンド、プロセッサー、監視ベンダーの違いを知らなくても自分を守れるべきである。修復は、そのチェーンを信頼できるほど可視化するべきである。
永続的な教訓は、組み込み金融は責任を組み込まないことである。それは責任をより多くの当事者に組み込む。Evolve のインシデントは、すべての銀行パートナー関係が、リークサイト、パートナー通知、規制当局の質問が到着する前ではなく、インシデント前にインシデントマップを持つ必要がある理由を示している。
顧客識別マップは規制当局が読めるべき
BaaS 機関は、規制当局、パートナー、カスタマーサポートチームがすべて理解できる顧客識別マップを必要とする。そのマップは、直接の銀行顧客、フィンテックエンドユーザー、応募者、元顧客、ビジネス顧客、受益所有者、カード保有者、承認ユーザー、従業員、ベンダーを示すべきである。どのエンティティがどのデータをどの目的で収集したかを特定すべきである。そのマップがなければ、対応チームはデータがアクセスされたことを知っていても、誰のデータか、なぜ保持されたかを説明できないかもしれない。
マップは規制当局が読めるべきである。なぜなら、監督上の質問は1つのデータベースフィールドに限定されることはほとんどないからである。規制当局は、影響を受ける人々がタイムリーな通知を受けたか、銀行がサードパーティリスクを管理していたか、コンプライアンスデータが適切に保護されたか、パートナー顧客が公正に扱われたか、銀行のシステムが影響を受ける人口を特定できたかを尋ねるかもしれない。エンジニアだけが解釈できるマップは、これらの質問に迅速に答えない。
また、簡略化された形で顧客が読めるべきである。フィンテックユーザーはアーキテクチャ図を必要としないが、平易な説明が必要である:「あなたはこのパートナー製品を使用したため、この通知を受け取りました。Evolve はその製品の銀行サービスを提供したか、データを保持していました。」その説明は混乱を減らし、顧客が正当なコミュニケーションを認識するのに役立つ。また、パートナーが自社の銀行インフラに驚いているように見えるのを防ぐ。
識別マップには時間を含めるべきである。現在の口座のために収集されたデータは、閉鎖口座、拒否された申請、履歴コンプライアンス義務、または元パートナー関係のために保持されたデータとは異なる扱いを受けるかもしれない。古いデータが露出した場合、人々はなぜまだ保持されていたのかと尋ねる。有効な法的保持理由は、通知が送信される前に準備されるべきである。有効な理由が存在しない場合、インシデントは保持管理の失敗を明らかにしたことになる。
Evolve にとって、公のパートナー通知は、多くの影響を受ける人々がパートナーレンズを通じて侵害に遭遇したことを示唆している。それがまさに、顧客識別マップが重要である理由である。対応は、フォレンジックデータセットからパートナー固有の通知リスト、サポートスクリプト、修復オファーに手動の即興なしで移動できるべきである。スピードは技術的なスピードだけではない。それは組織的な明確さである。
初期アクセスは人・プロセスの問題としてレビューされるべき
Evolve の公開資料は、フィッシングまたはソーシャルエンジニアリングに似た従業員との相互作用を通じて開始された不正アクセスを説明している。その種の初期アクセスは、技術的な問題と同じくらい人・プロセスの問題である。メールフィルタリング、エンドポイントセキュリティ、MFA が重要である。従業員のワークフロー、承認経路、内部報告文化、恥ずかしさや遅延なしに疑わしい連絡先をエスカレーションする容易さも重要である。
銀行では、従業員の侵害は、スタッフおよびサービスアカウントが機密記録、コンプライアンスシステム、パーターポータル、支払い運用、カスタマーサポートツールに到達する可能性があるため、影響が大きくなる可能性がある。したがって、修復は、誰かを騙した最初のメッセージだけでなく、侵害されたパスが何に到達できるかを尋ねるべきである。特権は制限されていたか?アクセスはセグメント化されていたか?資格情報は可能な限りフィッシング耐性のある認証で保護されていたか?リスクのある行動は監視されていたか?従業員は実際に使用された戦術に対して訓練されていたか?
LockBit の文脈はこれをより緊急にする。ランサムウェアと恐喝グループは、フィッシング、資格情報窃取、リモートアクセス、水平移動、データ発見、流出を組み合わせることが多い。侵害された ID が広く移動できる場合、狭いアンチフィッシングキャンペーンだけでは不十分である。銀行は、最小特権、エンドポイント封じ込め、特権アクセス管理、ネットワークセグメンテーション、データ損失監視をレビューしなければならない。人・プロセスの教訓は技術的な封じ込めにならなければならない。
従業員はまた、疑わしいイベントを早期に報告できるシステムを必要とする。リンクをクリックしたり疑わしいメッセージに返信した罰を恐れる場合、遅延する可能性がある。遅延は攻撃者に時間を与える。成熟したインシデント文化は、迅速な報告を報奨し、人的エラーを管理を改善するシグナルとして扱う。非難は怒りを満たすかもしれないが、信頼を回復しない。
パートナーエコシステムにとって、従業員の侵害はパートナーリスクコミュニケーションのしきい値をトリガーするべきである。銀行は即座にパートナーデータがアクセスされたことを知らないかもしれないが、調査が進行中であることをパートナーにいつ、どのように警告するかの計画を持つべきである。沈黙は、ニュースが報じられたとき、パートナーが顧客に答える準備ができていないままにすることができる。時期尚早の詳細は誤警報を作り出すことができる。計画は中間の地面を定義すべきである。
侵害通知はデータ出所を説明すべき
ほとんどの侵害通知は、何が起こったか、どのような情報が関与したか、会社が何をしているか、個人が何ができるかに焦点を当てている。BaaS インシデントでは、データ出所も必要である:通知された人がどのように銀行のデータ環境に入ったか。それがなければ、通知は詐欺のように見えるかもしれない。フィンテックアプリを使用する人は Evolve の名前を認識しないかもしれない。最初の反応が「私はこの銀行の顧客になったことは一度もない」である場合、通知は基本的な理解テストにすでに失敗している。
データ出所は、機密のパートナー条件を暴露する必要はない。簡潔な文で十分である:「Evolve は、あなたが使用したパートナー製品の銀行サービスを提供しました。」必要に応じて、通知はパートナーを指名するか、人をパートナー固有のページに誘導することができる。ポイントは、通知機関の身元を実際の顧客関係に接続することである。その接続は、正当な通知を信頼しやすくし、詐欺通知を拒否しやすくする。
出所はまた、顧客が何を保護するかを決定するのに役立つ。データが口座開設プロセスからのものである場合、身分証明書と社会保障番号が関連するかもしれない。取引処理からのものである場合、口座識別子または取引履歴が関連するかもしれない。カード発行からのものである場合、カード保持者データが関連するかもしれない。サポート記録からのものである場合、連絡先詳細が支配的かもしれない。一般的な通知はこれらの違いをぼかす。
説明責任のある通知はまた、異なるパートナーが異なるメッセージを受け取る理由を説明すべきである。Wise、Mercury、Affirm、その他のパートナーは、異なる影響を受けるフィールドとユーザー人口を持つ可能性がある。顧客はオンラインで通知を比較し、一方が他方より多く言っている場合に混乱するかもしれない。対応はその比較を予測し、範囲がパートナーデータフローによって異なることを説明すべきである。
明確な出所は銀行も保護する。顧客が関係を理解すれば、通知を無視したり、間違った会社を非難したり、説明のギャップを埋める詐欺師に引っかかる可能性が低くなる。良い侵害コミュニケーションは、犯罪者が偽の話を提供する前に、人々に信頼できる話を与えるため、詐欺対策の手段である。
パートナー契約にはライブインシデント義務を含めるべき
BaaS 契約は、サイバーセキュリティ通知を一般的な法的条項として扱うべきではない。連絡先名簿、エスカレーションのタイミング、証拠共有の期待、顧客通知の調整、サポートの所有権、公開声明のレビュー、規制当局とのコミュニケーションの役割、フォレンジック協力、インシデント後の教訓など、ライブインシデント義務を指定すべきである。
これらの義務は、共同演習を通じてテストされるべきである。机上演習は、銀行が3つのパートナーに影響を与えるデータ流出を発見したが、フィールドをまだ確認できない場合に何が起こるかを尋ねるべきである。最初の1時間以内に誰が通知されるか?誰が顧客と話すか?誰がパートナー固有の FAQ を起草するか?誰がパートナーが銀行を指名できるかを承認するか?誰がソーシャルメディアの噂を処理するか?誰が詐欺の試みを監視するか?誰が規制当局を更新するか?誰がクレジット監視を提供するかを決定するか?
演習には不快なシナリオを含めるべきである。パートナーが銀行の準備ができる前に顧客を安心させたい場合?銀行の通知がパートナーを指名したが、パートナーが範囲を争う場合?通知が郵送される前にデータがリークサイトに現れる場合?あるパートナーの顧客が別のパートナーよりも深刻に影響を受ける場合?規制当局が数日以内にデータマップを要求する場合?テストされたことのない契約は、これらの圧力の下で失敗するかもしれない。
パートナー契約はまた、インシデント後の証拠に対処すべきである。フィンテックパートナーは、銀行がシステムにパッチを当て、資格情報をローテーションし、アクセス制御を変更し、データ保持をレビューしたという保証を必要とするかもしれない。銀行は、パートナーがユーザーに正しく通知し、自社の管理を更新したという保証を必要とするかもしれない。証拠は双方向に流れるべきである。説明責任は侵入を受けたエンティティで止まらない。
小規模なフィンテックにとって、これは特に重要である。彼らは大規模な法務、セキュリティ、コミュニケーションチームを持たないかもしれない。彼らは銀行の成熟度に依存する。しかし、それでも顧客の質問とブランドの害に直面する。小規模パートナーを支援する BaaS 銀行は、すべてのパートナーがショックを単独で吸収できると想定せず、その現実に対応したインシデントサポートを設計すべきである。
カスタマーサポートは詐欺支援とクレジット監視を区別すべき
多くの侵害対応は、クレジット監視または身元盗難サービスを提供する。社会保障番号やその他の身元データが関与する場合、それは有用である。それは実際の詐欺支援と同じではない。顧客は、詐欺警告を出す方法、クレジットを凍結する方法、銀行口座を監視する方法、フィッシングを特定する方法、疑わしいメッセージを報告する方法、パートナーコミュニケーションを検証する方法を知る必要があるかもしれない。サポートスクリプトはこれらのニーズを区別すべきである。
BaaS の文脈では、サポート負荷は分散される。銀行は侵害の事実を知っている。フィンテックはユーザーの製品を知っている。監視ベンダーは登録を知っている。顧客は、どの質問に誰が答えられるかを知らないかもしれない。一貫したサポートモデルは、問題によってルーティングすべきである:「影響を受けたか?」「どのデータか?」「資金は安全か?」「今何をすべきか?」「この通知をどう検証するか?」「詐欺を見たら誰に電話するか?」各質問には所有者が必要である。
モデルはまた、非顧客の混乱を処理すべきである。一部の人々は、元の関係、ビジネス口座、拒否された申請、もう使用していないパートナーサービスに関する通知を受け取るかもしれない。彼らは関係を覚えていないため、身元盗難を疑うかもしれない。サポートは、追加データを露出させずに、通知が送信された理由と、人が正当性を検証する方法を説明する準備をすべきである。
詐欺支援は、可能性のある誤用にローカライズされるべきである。名前、社会保障番号、住所、銀行関係データが露出した場合、顧客はクレジット凍結と税詐欺認識を必要とするかもしれない。メールとパートナー関係が露出した場合、フィッシング警告が中心になる。口座識別子が関与した場合、口座活動の監視が重要になる。一律のオファーは法的テンプレートを満たすかもしれないが、人々が直面するリスクを不明瞭にしたままにする。
最も人道的な対応は実用的で反復的である。通知、パートナーFAQ、銀行 FAQ、サポートコール、アプリメッセージで同じ安全なステップを顧客に伝える。一貫性はパニックを減らす。また、詐欺メッセージがパターンを破るため、目立つようにする。
経営陣はパートナー顧客に到達したかを測定すべき
BaaS 侵害対応の最終的な証明は、通知が起草されたことではなく、影響を受ける人々に到達し、行動できたことである。それには指標が必要である:配信された通知、バウンスしたメール、返送された郵便物、パートナーページビュー、サポートコンタクト、監視登録、詐欺報告、スパム報告、未解決の身元質問、パートナー固有の苦情量。これらの指標は経営陣によってレビューされ、適切な場合にはパートナーと共有されるべきである。
到達性は重要である。なぜなら、BaaS 顧客は銀行の通常のチャネルを通じて到達可能でない可能性があるからである。銀行はすべてのパートナーユーザーの現在のメールを持っていないかもしれない。パートナーはより活発な関係を持っているかもしれない。一部のユーザーは口座を閉鎖しているかもしれない。一部は銀行の名前を認識しないかもしれない。通知配信が弱いチャネルに依存する場合、対応は技術的に準拠しながら実質的に人々を逃すかもしれない。
経営陣はまた、修復完了を測定すべきである。影響を受ける人のうち何人が監視を受け入れたか?何人が説明のために電話したか?何人が Evolve がなぜ自分のデータを持っていたか尋ねたか?何人のパートナーサポートケースが目標期間を超えて未解決のままか?答えは、データ出所とサポート所有権が明確であったかどうかを明らかにする。高い混乱率は説明責任のギャップの証拠である。
これらの指標は、将来の契約とデータ保持決定にフィードすべきである。あるパートナー人口の特定が困難であった場合、メタデータを改善する。あるデータフィールドがほとんどの詐欺懸念を引き起こした場合、保持またはマスキングを再検討する。パートナーユーザーが銀行ブランドの通知を無視した場合、通知ブランディングを異なる方法で調整する。サポートスクリプトが関係を説明できなかった場合、書き直す。インシデントは、対応システムを発見時よりも良くするべきである。
これがコンプライアンス閉鎖と説明責任閉鎖の違いである。コンプライアンス閉鎖は、通知が送信され、必要な提出が行われたときに発生する可能性がある。説明責任閉鎖には、人々がリスクを理解し、パートナーが役割を果たし、将来の害を減らすためにデータチェーンが再設計されたという証拠が必要である。

