Den 30 juni började EU:s nya riktlinjer för bankernas cybersäkerhet att gälla. Nu är det tydligare hur olika finansiella tjänster ska hantera sina interna och externa risker kopplade till IT och säkerhet. Segmentering med hjälp av datadioder är en nödvändig åtgärd för att mitigera säkerhetsriskerna.
Målet är att minska riskerna
De nya riktlinjerna från den europeiska bankmyndigheten, EBA, är europeisk standard för hantering av säkerhets- och IT-risker. Dessa beskriver hur banker, fondbolag och leverantörer av betalningstjänster inom EU ska hantera sina interna och externa risker kopplat till IT och säkerhet. Förhoppningsvis ska detta minska sannolikheten för attacker, dataläckor, avbrott och intrång.
Bland annat beskrivs det att säkerhetsåtgärder bör tas fram och implementeras för att mitigera de IT- och säkerhetsrisker som finansinstitut utsätts för.
Viktigt att veta är att riktlinjer från EBA har samma rättsliga status som Finansinspektionens allmänna råd och de aktörer som omfattas är alltså skyldiga att motivera eventuella avsteg från tillämpningen.
Vilka berörs av de nya riktlinjerna?
Riktlinjerna behandlar hantering av interna och externa risker inom IT och informationssäkerhet (det vill säga det som i riktlinjerna avses med IKT-risker) samt operativ riskhantering i finansinstitut. Med finansinstitut åsyftas i riktlinjerna betaltjänstleverantörer, kreditinstitut och värdepappersbolag.
Vilka krav på informationssäkerhet ställs i de nya riktlinjerna?
Riktlinjerna innehåller en hel del information men ett grundläggande krav rör klassificering: finansinstituten ska göra riskbedömning och klassificering av verksamhetsfunktioner, stödprocesser samt informationstillgångar, med hänsyn till hur kritiska de bedöms vara.
Ett annat centralt krav gäller informationssäkerhetsåtgärder: säkerhetsåtgärder bör tas fram och implementeras för att mitigera IT- och säkerhetsrisker som finansinstitut utsätts för.
Datadioder förbättrar cybersäkerheten för banker
En effektiv metod för att mitigera säkerhetsrisker och skydda kritisk information och kritiska system är nätverkssegmentering. Detta görs genom en kombination av fysisk och logisk separation. Fysisk separation innebär att säkerhetszoner definieras och fördelas på olika fysiska hårdvaror. Logisk separation innebär att olika zoner eller nätverkstrafik tillåts samexistera på samma hårdvara eller i samma nätverkskabel, vilket är mindre tydligt och därmed medför lägre förtroende för separationsmekanismens styrka än vid fysisk separation.
Nätverkssegmentering i situationer där det är absolut nödvändigt med envägskommunikation, det vill säga där information endast får gå i EN riktning, kan lösas på ett mycket kraftfullt sätt med hjälp av datadioder.
Det viktigaste med en datadiod är att information bara kan passera i en riktning. I Advenicas SecuriCDS Data Diode baseras separationen och diodfunktionen på en optisk sändare och mottagare. Designen garanterar att ingen data passerar i den motsatta riktningen. Med certifierade lösningar såsom Advenicas SecuriCDS Data Diode, som uppfyller militär standard, uppnås både funktion och säkerhet.
Läs mer om nätverkssegmentering här.
Läs mer om Advenicas datadioder här.