Cyberattacker är ett ständigt hot mot myndigheter eftersom de hanterar mycket känslig information. Samma hot existerar även för banker då de hanterar många viktiga tillgångar samt känslig information.
Nätverkssegmentering förbättrar säkerheten för banker och i situationer där enkelriktad kommunikation är absolut nödvändig kan nätverkssegmenteringen lösas effektivt med datadioder.
Digital kommunikation – snabbt, enkelt och riskabelt
Med digitalisering ansluts fler enheter till Internet – bekvämt, men det ökar också antalet möjliga attackvägar in i IT-strukturen. Samtidigt blir de metoder som används av dagens angripare mer och mer förfinade och attacker är oftast riktade och välplanerade.
Attacker mot banker
Det kan bli väldigt dyrt att inte skydda information ordentligt. Development Bank of Seychelles fick erfara en ransomware-attack på sitt nätverk i september 2020. Under en ransomware-attack krypterar angriparen offrets filer och kräver en lösensumma för att göra dem tillgängliga igen. Det innebär att det kan bli mycket dyrare att få tillgång till filerna igen efter en attack än att betala för ett säkert skydd och därmed undvika sådana risker.
Ungerska banktjänster drabbades också av en kritisk cyberattack under 2020 – en så kallad DDoS-attack (distributed-denial-of service). Detta anses vara en av de största DDoS-attackerna i Ungern. Under en DDoS-attack översvämmas systemet av datatrafik av angriparna i syfte att paralysera systemet. Under den nämnda incidenten avbröts vissa bankers tjänster. Den här typen av attacker kan innebära stora kostnader i form av att organisationen inte kan köra i sin normala hastighet, vilket innebär att anställda och potentiella kunder inte kan komma åt systemet.
Nya EU-riktlinjer för banker
Eftersom så mycket står på spel kan banker inte ta risken att inte ha ett säkert skydd mot hot. Den 30 juni 2020 trädde EU:s nya riktlinjer för cybersäkerhet för banker i kraft. Riktlinjerna riktar sig till finansiella institut, så kallade betaltjänstleverantörer, kreditinstitut och värdepappersföretag.
De nya riktlinjerna från European Banking Authority, EBA, är den europeiska standarden för hantering av säkerhets- och IT-risker. Den beskriver hur banker, fondförvaltare och leverantörer av betaltjänster verksamma inom EU ska hantera interna och externa risker kopplade till IT och säkerhet. Dessa riktlinjer syftar till att minska sannolikheten för attacker som kan leda till dataläckor och störningar.
Riktlinjerna pekar bland annat ut vilka säkerhetsåtgärder som måste utvecklas och implementeras för att mildra IT- och säkerhetsrisker som finansiella institutioner utsätts för. Det är väsentligt att förstå att riktlinjerna har juridisk status och att de aktörer som omfattas därför är skyldiga att motivera eventuella avvikelser från dess tillämpning.
Vilka informationssäkerhetskrav ställer de nya riktlinjerna?
Riktlinjerna innehåller mycket information, men ett centralt krav när det gäller klassificering. Detta krav anger att finansiella institut ska göra en klassificering av affärsfunktioner, stödprocesser och informationstillgångar, bedömd efter hur kritiska dessa är.
Ett annat viktigt krav är informationssäkerhetsåtgärder; riktlinjerna anger att säkerhetsåtgärder måste utvecklas och implementeras för att mildra IT- och säkerhetsrisker som finansiella institutioner står inför.
Hur vet vi vilken information vi ska skydda?
Det är viktigt att klassificera all slags information för att organisationen ska kunna hantera den på rätt sätt. För att göra klassificeringen måste du utvärdera aspekter som informationens värde och känslighet, lagkraven och informationens betydelse för verksamheten. Ett bra sätt att avgöra hur klassificeringen ska göras är att använda en risk- och säkerhetsanalys. Det hjälper dig att kartlägga din nuvarande informationssäkerhet samt dina framtida behov.
Banker kan inte ta risken att inte ha ett säkert skydd mot hot
Du behöver mer än en brandvägg
För att skydda det som är mest känsligt och kritiskt för verksamheten bör en annan teknik än brandväggar övervägas. Med en brandvägg är det svårt att veta exakt vilken information som exporteras eller importeras till systemet. En brandväggskonfiguration blir ofta komplex, vilket ökar risken för felkonfiguration. Brandväggar separerar inte heller administration och dataflöde på ett sätt som skyddar informationen från insiders. När brandväggar hanteras genom molntjänster innebär själva outsourcingen ytterligare riskexponering. Brandväggar fungerar utmärkt i miljöer med stora dataflöden där trafiken är mångsidig och föränderlig, t.ex. som externt skydd för Internet och för uppdelning i DMZ och kontorsmiljö. Det är viktigt att etablera ett djupt försvar med flera säkerhetsbarriärer mellan det som anses vara mest känsligt och de hotfulla aktörerna. Säkerhetsprodukter från olika leverantörer bör användas för att minska risken för att samma sårbarhet finns i alla produkter. Konfigurationsändringar av säkerhetsprodukter bör kontrolleras så att ändringar granskas av mer än en person som förstår och kan godkänna ändringen.
Nätverkssegmentering förbättrar säkerheten för banker
En utmärkt metod för att minska säkerhetsrisker och skydda kritisk information och kritiska system är nätverkssegmentering genom en kombination av fysisk och logisk separation. Fysisk separation innebär att säkerhetszoner definieras och fördelas på olika fysisk hårdvara. Logisk separation innebär att olika zoner eller nätverkstrafik tillåts samexistera på samma hårdvara eller i samma nätverkskabel, vilket gör det mindre uppenbart – och därmed leder till lägre tilltro till separationsmekanismens styrka än fysisk separation.
Nätverkssegmentering i situationer där enkelriktad kommunikation är absolut nödvändig, d.v.s. där information bara får gå i en riktning, kan lösas effektivt med datadioder. Det viktigaste med en datadiod är att information bara kan passera i en riktning. I Advenicas SecuriCDS Data Diode är separations- och diodfunktionen baserad på en optisk sändare och mottagare. Designen garanterar att ingen som helst data passerar i motsatt riktning. Med certifierade lösningar som Advenicas SecuriCDS Data Diode, som uppfyller militär standard, uppnås både funktion och säkerhet. Vi har även lösningar för nätverkssegmentering för situationer där ett tvåvägs informationsflöde är nödvändigt. Här filtreras data effektivt och vid varje överföring säkerställs att organisationens informationspolicy följs. Advenicas ZoneGuard erbjuder en skräddarsydd men enkel lösning baserad på godkännandelista av information i en informationspolicy. Lösningen säkerställer att organisationer kan utbyta information mellan säkerhetsdomäner på olika nivåer på ett säkert och korrekt sätt.
Advenicas Datadiod uppnår både funktion och säkerhet
