La ciberseguridad de los fondos de pensiones de Australia bajo escrutinio

Australia ocupa el quinto lugar en el mundo como "cibernación" más poderosa, con un mercado de ciberseguridad valorado en 5.99 mil millones de dólares estadounidenses en 2023 y se espera que alcance los 13.95 mil millones de dólares estadounidenses para 2028.

No sorprende que esta rápida tasa de crecimiento signifique que Australia también enfrenta un alto nivel de amenazas cibernéticas, tanto de criminales como de adversarios patrocinados por estados. Se reportaron 76,000 ciberdelitos en Australia durante el año financiero 2021-22, lo que equivale a un promedio de uno cada siete minutos.

Se estima que el cibercrimen cuesta a la economía de Australia alrededor de 42 mil millones de dólares australianos al año, aunque la cifra real es probablemente mucho más alta porque muchos casos no se reportan. Ningún sector es inmune y cada uno enfrenta sus propios desafíos.

Varios eventos cibernéticos alarmantes, especialmente los devastadores ataques a Optus y Medibank a finales de 2022, han intensificado el enfoque de los reguladores de Australia en las posturas de defensa cibernética de sus industrias.

Por ejemplo, en 2022, el servicio de asesoramiento financiero RI Advice hizo historia legal australiana cuando el Tribunal Federal encontró que había incumplido sus obligaciones bajo su licencia de Servicios Financieros Australianos cuando, "no tenía sistemas de gestión de riesgos adecuados para manejar sus riesgos de seguridad cibernética."

Fondos de pensiones y defensas cibernéticas no tan sólidas

APRA, la Autoridad de Regulación Prudencial Australiana, publicó su estudio más grande sobre la resiliencia cibernética en los servicios financieros en julio de 2023. El estudio evaluó a más de 300 bancos, aseguradoras y fiduciarios de superannuation para evaluar su cumplimiento con la norma prudencial sobre seguridad de la información (CPS 234).

APRA se sorprendió al descubrir que su "revisión de seguridad" expuso "una serie de brechas" en las defensas cibernéticas de los fondos de pensiones de Australia.

Los riesgos para estas entidades son altos. A partir del trimestre de junio de 2023, el valor total de los activos de superannuation en Australia fue de 3.5 billones de dólares australianos (la mayoría de los cuales se encuentran en fondos de contribución definida). Esto convierte a Australia en el cuarto mayor tenedor mundial de activos de fondos de pensiones.

"Sin paciencia"

John Lonsdale es presidente de APRA. Hablando en la conferencia de FINSIA a principios de noviembre de 2023, Lonsdale fue franco sobre el desempeño de la ciberseguridad de los fondos que APRA supervisa:

"Hace tres años, la norma de seguridad de la información de APRA CPS 234 entró en vigor, y sin embargo, muchas entidades todavía tienen problemas fundamentales: asegurar que los controles de terceros sean efectivos, asegurarse de que se realicen pruebas sistemáticas de los controles de seguridad y probar regularmente los planes de respuesta a incidentes. Con el potencial de un impacto grave en millones de australianos, nuestra paciencia se ha agotado."

Aunque los fondos de superannuation están constantemente evolucionando sus medidas de seguridad para alinearse con el cambiante panorama de amenazas, APRA sigue sin estar impresionada por sus esfuerzos.

Lonsdale describió a los fondos de super como aún luchando con "problemas fundamentales" e indicó que APRA está lista para actuar decisivamente contra los fondos que carecen de resiliencia operativa:

"Donde se encuentre una entidad significativamente deficiente en su preparación cibernética, estamos intensificando la supervisión, exigiendo planes de remediación y tomando medidas de aplicación como recargos de capital y potencialmente condiciones de licencia."

Esto a pesar de una mayor adopción de contramedidas contra el cibercrimen, como:

• controles de seguridad adicionales durante las transacciones;
• gestión de identidad mejorada; y
• salvaguardias más fuertes para las cuentas de los miembros.

Cualquier fondo de pensiones preguntándose qué significaría no cumplir con los requisitos de APRA no necesita buscar más allá de las sanciones impuestas al asegurador Medibank después de su brecha cibernética de 2022:

• Medibank Private ahora debe mantener un capital adicional de 250 millones de dólares estadounidenses, para reflejar las debilidades identificadas en el entorno de seguridad de la información de Medibank. El aumento de capital permanecerá en vigor hasta que se complete un programa de remediación acordado a satisfacción de APRA.
• APRA llevará a cabo una revisión tecnológica dirigida de Medibank, con un enfoque particular en la gobernanza y la cultura de riesgo.

La miembro de APRA, Suzanne Smith, comentó en ese momento que "Esta acción demuestra cuán seriamente APRA toma las obligaciones de las entidades en relación con el riesgo cibernético y que APRA responderá con fuerza a las debilidades identificadas en los controles de seguridad cibernética."

Un problema global de larga data, y en escalada

El cibercrimen, por supuesto, no es un problema nuevo para los fondos de pensiones de Australia, ni están solos en su vulnerabilidad. Para dar solo unos pocos ejemplos:

• 2016: Un incidente cibernético en la organización de seguridad social más grande de India, la Organización de Fondos de Empleados (EPFO), expuso los detalles de millones de sus miembros.
• 2019: Pensioenfonds Detailhandel, un fondo de pensiones holandés para el sector minorista, fue víctima de un ataque de ransomware. El fondo pagó un rescate para recuperar el acceso a sus sistemas.
• 2020: Sunsuper, un fondo de pensiones australiano, experimentó una brecha cibernética que afectó a alrededor de 130,000 miembros después de que se comprometiera la cuenta de correo electrónico de un empleado.
• Marzo de 2023: Los actores de amenazas atacaron a Capita, un importante subcontratista del Reino Unido. Los sistemas de Capita se utilizan para administrar pensiones para más de cuatro millones de ahorradores en nombre de 450 organizaciones (por ejemplo, Royal Mail y Axa). La información que contiene datos de Capita, incluidas direcciones residenciales e imágenes de pasaportes, comenzó a circular en la web oscura. A partir de noviembre de 2023, una investigación del Regulador de Pensiones sigue abierta.
• Junio de 2023: La Corporación de Garantía de Beneficios de Pensión (PBGC), una agencia federal de EE. UU. Que asegura planes de pensiones privados, sufrió una violación de datos que afectó a 800,000 personas. La violación expuso información personal, incluidos números de Seguro Social.

Protegiendo datos y activos de los miembros

Claramente, todavía hay mucho por hacer, aunque los fondos de pensiones en todo el mundo reconocen la importancia crítica de la ciberseguridad para salvaguardar los datos y activos de los miembros. Aunque no hay un enfoque único y coordinado en todos los fondos, han surgido varios principios y prácticas comunes en los últimos años:

Evaluación de riesgos y gobernanza

Los fiduciarios y los administradores del esquema son responsables de la seguridad de la información y los activos del esquema. Deben establecer y operar controles internos adecuados para gestionar riesgos, incluidos los riesgos cibernéticos.

Las evaluaciones de riesgos regulares ayudarán a identificar vulnerabilidades y definir estrategias de gestión de riesgos.

Controles técnicos y respuesta a incidentes

Hay un amplio consenso en la industria de fondos en que la inversión en medidas técnicas de seguridad, como firewalls, cifrado y sistemas de detección de intrusiones, es ahora esencial.

Los planes de respuesta a incidentes también son cruciales. Los fondos deben estar listos para actuar en caso de un incidente cibernético. La colaboración con partes relevantes (funciones internas, proveedores de servicios externos y empleadores) es una parte clave de la preparación para incidentes.

Enfoques personalizados

Cada fondo debe adaptar su enfoque a su perfil y requisitos específicos. Las estrategias de ciberseguridad deben escalarse en función de la complejidad de los riesgos y el tiempo y los recursos disponibles.

Conciencia y capacitación

Los fiduciarios y el personal deben recibir capacitación regular en conciencia de ciberseguridad de manera continua, con roles y responsabilidades claramente definidos y entendidos. Gracias a los ataques de ingeniería social, como estafas de phishing, las personas son la principal debilidad en cualquier defensa cibernética. Por lo tanto, construir una cultura de conciencia de ciberseguridad es lo más importante que cualquier organización puede hacer para minimizar el riesgo cibernético.

Un desafío continuo

El riesgo cibernético no es algo que simplemente desaparecerá, especialmente no para los fondos de pensiones. Ricos tanto en datos como en activos financieros, siempre serán un objetivo irresistible para todo, desde sofisticados ataques estatales hasta campañas de ransomware oportunísticas. Y a medida que los actores de amenazas se vuelven más hábiles y armados con herramientas cada vez más avanzadas, la presión regulatoria sobre los fondos para mejorar sus defensas solo aumentará.

La buena noticia es que los actores de amenazas no tienen todas las cartas - hay soluciones de vanguardia y flexibles, como Orbit Risk, que permiten una vigilancia constante y proporcionan información en tiempo real sobre amenazas existentes y emergentes. Hable conmigo o con el equipo para obtener más información.