Digitaliseringen av bankvärlden är ett huvudbry för IT- och säkerhetschefer världen över.
Samtidigt som samhället i stort har kastat sig in i den digitala transformationen med hull och håg, har banker och finansiella institut halkat efter.
Att digitalisera verksamheter med gammal IT-infrastruktur utan att kompromissa med säkerheten är en utmaning – detta måste vi ändra på.
Molnlösningar ger de flesta företag den flexibilitet som behövs för att hantera den moderna hybrida arbetsmiljön, och så även banker och FinTech-företag. Och de flesta banker har nu börjat följa efter resten av samhället i den stora molnmigrationen. Men anledningen till att det tagit tid för banker att ta sig in i molnet har att göra med såväl en ofta föråldrad IT-infrastruktur som försvårar en molnflytt, som de säkerhetsutmaningar molndata innebär.
Molndata ger banker problem med visibiliteten
Problemet med att flytta en banks data till molnet är att man tappar synligheten över sin data. Molntjänster innebär att bankers IT-avdelningar har svårare att se var molndata delas inom hela organisationen. Och jämfört med att ha all data på egna servrar, så kräver det ett extra arbete för att se vad som händer med bankens data, och därmed också för att kunna säkra all data. Detta är en utmaning då ansvaret för bankens data ligger på banken, och inte molntjänsteleverantören.
Peter Lämber
Trots att en användning av molntjänster ger större möjligheter till flexibilitet och andra fördelar, så innebär tjänsterna också att det blir mer utmanande för cybersäkerhetsansvariga att säkra all data på samtliga enheter som är uppkopplade mot molntjänsten.
Och då säkerhet är den främsta prioriteringen för banker, så innebär detta en stor mängd arbete för att kunna nyttja en hybrid IT-infrastruktur fullt ut.
FinTech-företag födda i molnet måste säkra visibiliteten från dag ett
De utmaningar som finns för banker gällande visibilitet i samband med en hybridisering av IT-infrastrukturen finns också där för nya FinTech-företag som föds direkt i molnet. De har inte en gammal IT-arkitektur att dras med utan kan bygga det de vill från första början. Därför är den viktigaste prioriteten för dessa företag att de säkrar visibiliteten från dag ett.
De hinder som finns för visibilitet i molnet går att hantera och överbygga på ett smidigt sätt om man är medveten om dem och hanterar situationen redan innan man börjar ladda upp all sin data till molnet. Sämre visibilitet är nämligen ett pris banker och FinTech-företag får betala då de landar i molnet, men så länge man är medveten om detta och investerar i att säkra visibiliteten redan från början, så slipper man lösa problemen med visibilitet i efterhand. Och då det är företaget, och inte molnleverantören, som är ansvarig för att skydda all data i molnet, är det också viktigt att vara medveten om att man inte outsourcar sitt ansvar då man lägger över arbetslaster i molnet.
Banker måste innehållsförteckna sin mjukvara
Det vi kan lära oss från de cyberattacker som skett på senare år där hackare utnyttjat organisationers leveranskedjor är att banker måste börja lista samtlig mjukvara som används – och framför allt mjukvarans olika komponenter. Att hackare kommer åt bankers och kreditinstituts data genom att ta sig in via någon av mjukvaruleverantörerna får inte längre utgöra en risk.
Detta kommer att vara en utmaning, då banker i regel inte har tillgång till information om mjukvara som skapats av tredjepartsleverantörer, och att det kan bli svårt att komma åt denna information utan att leverantörerna ställer sig i vägen och hänvisar till sin äganderätt. Det första steget man kan ta är dock att i alla fall se till att lista komponenterna i all egenutvecklad mjukvara. Gör man det så kan man snabbt hantera svagheter såsom den i Log4j.
Men kontroll över endast egenutvecklad mjukvara räcker inte – om tredjepartsleverantörerna ställer sig i vägen för denna kontroll så står man ändå handfallen och kan inte göra allt man annars hade kunnat då en attack via en mjukvarukomponent sker. Därför borde bank- och finansbranschen samla sig och ta fram ett regelverk där man tvingar tredjepartsleverantörer att rapportera in komponenterna i sin mjukvara, på samma sätt som att banker tvingar sina kunder att delge information för att skyddas från att utnyttjas för pengatvätt eller finansiera terrororganisationer (KYC). Kan man inte göra detta så ska man heller inte tillåtas vara en underleverantör.
Behöver vi ett KYC-regelverk för bankers mjukvara och cybersäkerhet?
Ett sätt att adressera problemet gällande kunskap kring mjukvarukomponenter är att ta fram ett regelverk där det blir obligatoriskt för banker, kreditinstitut och FinTech-företag att lista samtliga komponenter i sin mjukvara, på samma sätt som livsmedelsföretag är tvingade av såväl EU som lokal lagstiftning att lista ingredienserna i de produkter de säljer.
Så som livsmedelsföretag är tvingade att innehållsförteckna sina matprodukter borde banker och kreditinstitut agera på samma vis med sin mjukvara, för att förhindra att bankkundernas säkerhet komprometteras. I USA har många företag redan börjat tagga öppen källkod med komponentinformation, även kallat ”Software Bill of Material”, och denna metod borde bli obligatorisk för alla banker världen över.
En ytterligare regulatorisk åtgärd som behövs är att banker måste börja kräva att samtliga tredjepartsleverantörer redovisar vilket cybersäkerhetsskydd som finns för det de levererar till banken. För det är viktigt att alla leverantörer som har elektronisk tillgång till en banks system upprätthåller ett adekvat cybersäkerhetsskydd. Detta eftersom en attack mot en banks eller kreditinstituts IT-miljö kan komma via en av dessa tredjepartskopplingar. Banker måste hållas ansvariga för att säkerställa att deras leverantörer lever upp till en uppsättning av minimistandarder för säkerhet, vilket kan göras möjligt med hjälp av en KYC-reglering, som dessutom kan bidra till att stärka leverantörernas cybersäkerhetsskydd. Och endast de tredjepartsleverantörer som kan uppfylla dessa standarder bör få tillgång till bankens system.
Banker och finansiella institut inte vilken bransch som helst
Allt detta behövs för att vi ska kunna garantera att de organisationer som utgör grunden till att samhällen världen över går runt kan lova sina kunder att deras pengar och identiteter är trygga.
Dessa åtgärder är viktiga för att bankers och finansiella instituts vidare digitalisering ska kunna säkras. Och det handlar inte om misstro – det handlar om kontroll och ansvarstagande. För om det är något som vi inom cybersäkerhetsbranschen vet krävs för att man ska kunna säkra samhällskritiska funktioner, så är det visibilitet och kontroll. Saknar du något av dessa parametrar, då ska du heller inte förse dina kunder med samhällskritiska tjänster.
Peter Lämber, Regional Vice President för Norden och Baltikum på Tanium.
