de Andrea Renna,
sales and marketing development responsible at Comforte
Într-o eră definită de transformarea digitală, datele sunt noul petrol – dar sunt și noul plutoniu. Instituțiile financiare, dornice să inoveze și să-și eficientizeze operațiunile, formează tot mai des alianțe cu furnizori de software terți. De la combaterea spălării banilor (AML) și detectarea fraudelor, la experiențe personalizate pentru clienți, aceste parteneriate promit eficiență și creștere. Cu toate acestea, sub suprafața inovației se ascunde o amenințare omniprezentă, adesea trecută cu vederea: expunerea necontrolată a datelor sensibile. Ne îndreptăm cu repeziciune către un viitor bazat pe inteligența artificială (AI), dar deschidem orbește o nouă eră a breșelor de date fără precedent?
Proliferarea parteneriatelor digitale a creat o rețea complexă de sisteme interconectate. Fiecare nou furnizor reprezintă un potențial punct de intrare pentru atacatori, extinzând suprafața de atac mult dincolo de perimetrul propriei rețele. Rapoarte recente privind securitatea cibernetică indică faptul că aproape 60% dintre breșele de date din sectorul financiar își au originea într-un compromis al unui furnizor terț. Acesta este un risc evidențiat de evenimente recente, în care un partener aparent sigur, cum ar fi o platformă populară de gestionare a relațiilor cu clienții (CRM), a fost exploatat prin inginerie socială, ducând la expunerea pe scară largă a datelor la mai multe companii-client. Chiar și cu o evaluare riguroasă a furnizorilor, datele în sine rămân vulnerabile odată ce ies de sub controlul tău direct.
Atunci când datele sunt copiate, mutate și stocate de terți, se creează „insule de date” fragmentate, dificil de urmărit și de securizat. Aceste medii nu sunt adesea supuse acelorași standarde de securitate ca instituția de origine, creând un „decalaj de încredere” pe care atacatorii sunt nerăbdători să-l exploateze.
Această vulnerabilitate este pe cale să fie agravată de AI. Promisiunea inteligenței artificiale este de a debloca noi niveluri de înțelegere și automatizare, dar acest lucru vine cu o poftă vorace de date. Modelele de AI și învățare automată (Machine Learning) se bazează pe cantități imense de informații, necesitând adesea să introduci date sensibile despre clienți și tranzacții în platforme AI terțe, în modele bazate pe cloud sau în sisteme interne care s-ar putea să nu fie securizate în mod adecvat.
Acest lucru introduce o nouă categorie de vectori de atac. Actorii rău intenționați pot folosi tehnici precum otrăvirea modelelor (model poisoning), manipulând subtil datele de antrenament pentru a crea vulnerabilități de securitate. De asemenea, pot efectua atacuri de inferență, analizând rezultatele modelelor pentru a reconstitui datele sensibile pe care modelul a fost antrenat. Acest lucru creează noi pete oarbe de securitate, transformând canalele tale de AI într-o potențială nouă sursă de scurgere de date.
Natura de „cutie neagră” a multor modele de AI face dificilă pentru echipele de securitate cibernetică înțelegerea completă a modului în care sunt procesate datele și dacă acestea rămân în siguranță în cadrul operațiunilor modelului. Acest lucru complică și mai mult poziția ta de securitate într-o lume multi-cloud.
Într-adevăr, suveranitatea datelor este una dintre cele mai mari provocări cu care se confruntă companiile moderne. Instituțiile financiare operează în medii hibride și multi-cloud, cu date aflate constant în mișcare între diferiți furnizori de cloud, centre de date private și diverse aplicații SaaS. Acest peisaj de date fragmentat duce la o pierdere a vizibilității și a controlului. „Unde sunt datele noastre, cine are acces la ele și sunt cu adevărat protejate peste tot?” sunt întrebări care îi țin pe șefii de securitate (CISOs) treji noaptea.
Autoritățile de reglementare cer tot mai insistent dovezi ale securității și controlului datelor pe întregul ciclu de viață al acestora, chiar și atunci când datele se află în mâinile terților sau în configurații complexe de cloud. Incapacitatea de a demonstra acest lucru poate duce la penalități financiare severe și la o pierdere catastrofală a încrederii clienților.
Abordarea tradițională a securității – construirea de ziduri mai puternice în jurul rețelelor – devine depășită într-o lume a partajării datelor și a AI-ului omniprezent. Accentul trebuie să se mute de la securizarea containerului la securizarea conținutului. Viitorul serviciilor financiare depinde de găsirea unor modalități de a utiliza datele pentru inovație fără a sacrifica încrederea sau a atrage breșe catastrofale.
The Looming Data Abyss: Why Your Data Partnerships
and AI Ambitions are a Breach Waiting to Happen
In an era defined by digital transformation, data is the new oil—but it’s also the new plutonium. Financial institutions, eager to innovate and streamline operations, are increasingly forming alliances with third-party software vendors. From anti-money laundering (AML) and fraud detection to personalized customer experiences, these partnerships promise efficiency and growth. Yet, beneath the surface of innovation lies a pervasive, often overlooked, threat: the uncontrolled exposure of sensitive data. We are hurtling towards an AI-driven future, but are we blindly ushering in an era of unprecedented data breaches?
The proliferation of digital partnerships has created a complex web of interconnected systems. Every new vendor represents a potential entry point for attackers, expanding your attack surface far beyond your own network perimeter. Recent cybersecurity reports indicate that nearly 60% of data breaches in the financial sector originate from a third-party vendor compromise. It’s a risk highlighted by recent events where a seemingly secure partner, like a popular customer relationship management (CRM) platform, was exploited through social engineering, leading to widespread data exposure across multiple client companies. Even with robust vendor assessment, the data itself remains vulnerable once it leaves your direct control.
When data is copied, moved, and stored by third parties, it creates fragmented „data islands” that are difficult to track and secure. These environments are often not subject to the same security standards as the originating institution, creating a „trust gap” that attackers are eager to exploit.
This vulnerability is about to be compounded by AI. The promise of artificial intelligence is to unlock new levels of insight and automation, but this comes with a voracious appetite for data. AI and Machine Learning models thrive on vast amounts of information, often requiring you to feed sensitive customer and transactional data into third-party AI platforms, cloud-based models, or internal systems that may not be adequately secured.
This introduces a new class of attack vectors. Malicious actors can use techniques like model poisoning, subtly manipulating training data to create security vulnerabilities. They can also perform inference attacks, analyzing model outputs to reverse-engineer sensitive data that the model was trained on. This creates new security blind spots, turning your AI pipelines into a potential new source of data leakage.
The „black box” nature of many AI models makes it difficult for cybersecurity teams to fully understand how data is being processed and whether it remains secure within the model’s operations. This further complicates your security posture in a multi-cloud world.
Indeed, data sovereignty is one of the biggest challenges facing modern enterprises. Financial institutions operate across hybrid and multi-cloud environments, with data constantly in motion between different cloud providers, private data centers, and various SaaS applications. This fragmented data landscape leads to a loss of visibility and control. „Where is our data, who has access to it, and is it truly protected everywhere?” are questions that keep CISOs awake at night.
Regulators are increasingly demanding proof of data security and control across the entire data lifecycle, even when data is in the hands of third parties or in complex cloud setups. Failure to demonstrate this can lead to severe financial penalties and a catastrophic loss of customer trust.
The traditional approach to security – building stronger walls around networks – is becoming obsolete in a world of pervasive data sharing and AI. The focus must shift from securing the container to securing the contents. The future of financial services depends on finding ways to use data for innovation without sacrificing trust or inviting catastrophic breaches.
