Zdaniem Boston Consulting Group firmy świadczące usługi finansowe są trzysta razy bardziej narażone na cyberataki niż inne podmioty. Nic więc dziwnego, że na radzenie sobie z zagrożeniami i ich następstwami wydają więcej niż jakikolwiek inny sektor gospodarki. Aby zminimalizować ryzyko strat finansowych, konsekwencji prawnych i utraty reputacji, gotowe są do wdrażania odpowiednich rozwiązań z zakresu ochrony i zarządzania ryzykiem, jak też wynagradzania specjalistów z obszaru cyberbezpieczeństwa. Tym bardziej, że usługi finansowe i ubezpieczeniowe to sektory regulowane. Jeśli jakiś podmiot z tej branży nie zadba o zgodność z regulacjami, może zostać pociągnięty do odpowiedzialności. Regulator może nałożyć karę finansową, a nawet nakazać zamknięcie firmy. Przy czym samo zachowanie zgodności z regulacjami nie stanowi gwarancji bezpieczeństwa. Poszczególne firmy z tego sektora, działając w najróżniejszych niszach, mogą być narażone na zupełnie inne ryzyka. 

Złe priorytety i ataki „as a service”

Pomimo rosnącej potrzeby zwiększania ochrony informacji i odporności na cyberzagrożenia, BCG twierdzi, że wiele instytucji finansowych jest źle przygotowanych do skutecznego reagowania na incydenty bezpieczeństwa. Zdaniem analityków zbyt często zabezpieczenia nie stanowią dla ich zarządów kwestii priorytetowej. Ponadto za duży nacisk kładzie się na zapobieganie zagrożeniom, a za mały na ich wykrywanie i reagowanie. W firmach świadczących usługi finansowe i ubezpieczeniowe brakuje też specjalistów i wiedzy z zakresu cyberbezpieczeństwa, a także niedostateczna jest świadomość najlepszych praktyk z tej dziedziny. Działy IT w tych firmach zmagają się też ze stresem związanym z obsługą coraz większej liczby niepokojących 
czy wręcz szkodliwych incydentów. 

Cyberprzestępcy coraz częściej próbują skompromitować systemy płatnicze, zakłócać działanie instytucji atakami wykorzystującymi złośliwe oprogramowania ransomware, kraść lub niszczyć zasoby cyfrowe. O ile dawniej potrzeba było znacznej wiedzy do zaprojektowania cyberataku, przeprowadzenia go i uzyskania dostępu do systemu, o tyle teraz można taki gotowy atak kupić w formie „as a service”. W rezultacie grono napastników bardzo się poszerzyło. Przeprowadzane ataki mogą infiltrować system bankowy i jeśli pozostają długo niewykryte (a tak bywa często), prowadzą do kradzież informacji i strat finansowych o dużej skali.
Outsourcing i wewnętrzne zagrożenia 

Z uwagi na zewnętrzne zagrożenia banki zainwestowały w ostatniej dekadzie duże pieniądze w ochronę swoich sieci i systemów przed cyberatakami. W odpowiedzi na to cyberprzestępcy zaczęli szukać nowych furtek i sposobów włamywania się. Z radością odkryli, że duże możliwości daje im łańcuch dostaw. Powszechna w biznesie decentralizacja IT nie ominęła bowiem i banków. Jeśli chodzi o obsługę informatyczną, organizacje świadczące usługi finansowe i ubezpieczeniowe w coraz większym stopniu polegają na zewnętrznych dostawcach. Wynajmowane firmy i ich specjaliści powinni być stale monitorowani pod kątem cyberbezpieczeństwa. Brak takiej kontroli może drogo kosztować – jak dotąd najpoważniejsze cyberataki, których ofiarą padały banki, były wynikiem luk w zabezpieczeniach we współużytkowanych systemach i sieciach zewnętrznych firm.

Wśród organizacji świadczących usługi finansowe są takie, które samodzielnie rozwijają swój software, ale wiele z nich korzysta także z oprogramowania dostarczanego przez firmy zewnętrzne. W badaniu przeprowadzonym przez Ponemon Institute zdecydowana większość respondentów dostrzega problem luk w zabezpieczeniach wprowadzonych przez strony trzecie. Mniej zaś niż połowa (43. proc.) stwierdza, że ich firma wymaga od zewnętrznego podmiotu przestrzegania standardów cyberbezpieczeństwa lub weryfikacji jego praktyk z obszaru security. Kolejnym poważnym problemem są zagrożenia wewnętrzne i ataki dokonywane przez działających w złej wierze pracowników lub będące skutkiem ich zaniedbań. 

Do większości naruszeń bezpieczeństwa, także w firmach z sektora bankowego i ubezpieczeniowego, dochodzi wciąż w wyniku stosowanej przez cyberprzestępców socjotechniki – i to pomimo rosnącej świadomości pracowników oraz częstszych kampanii informujących o cyberzagrożeniach. Ataki phishingowe stają się coraz bardziej wyrafinowane, a ludzie – niestety – pozostają najsłabszym ogniwem w systemie obrony. Najczęstszym skutkiem ataków socjotechnicznych jest zwykle kradzież danych uwierzytelniających.