question

Jak Zbudować Silne Polityki Bezpieczeństwa W Branży Finansowej

arrow

Jakie są największe wyzwania związane z bezpieczeństwem danych w firmach z branży finansowej?

Usługi finansowe to bez wątpienia branża, która na przestrzeni lat najbardziej ucierpiała z powodu cyberataków, oszustw typu phishing i wszelkiego rodzaju wyłudzeń danych w internecie. Dlatego sektor finansowy urósł do jednej z najlepiej chronionych branż na rynku.

Podczas gdy technologia cyberbezpieczeństwa rozwija się, złodzieje informacji kierują swoje ataki w obszary, które są łatwiejsze do pokonania. W użytkowników. W pracowników. W zwykłych ludzi obsługujących aplikacje i systemy komputerowe.

Inżynieria społeczna, lub socjotechnika (a po angielsku social engineering) oznacza nakłanianie ludzi do wykonywania pewnych czynności lub dzielenia się informacjami pod fałszywym pretekstem i złym zamiarem. Inżynieria społeczna stała się jedną z najpopularniejszych metod ataku i jednym z głównych problemów działów cyberbezpieczeństwa.

Dlaczego inżynieria społeczna jest tak niebezpieczna?

Dobrze zorganizowany atak socjotechniczny zwykle obejmuje jakiś rodzaj przynęty lub groźbę, zwykle nawołującą do szybkiego działania. Odebranie telefonu czy e-maila nawołującego do szybkiej reakcji powinno zawsze rozpalać światełko bezpieczeństwa, ostrzegające że coś może być nie tak. Tego rodzaju ataki zwykle skutkują wykonanie przez ofiarę czynności na które czeka przestępca czyli na przykład otwarcie tajnych zasobów lub przekazaniem pewnych poufnych informacji napastnikowi.

Ataki na kadrę zarządzającą wysokiego szczebla, tak zwane polowanie na wieloryby (whaling), jest trudne do przygotowania, a zaplanowanie i wykonanie często zajmuje miesiące.

Ataki na pracowników niższego szczebla, które z pozoru powinny być mniej niebezpieczne, mogą również przynieść duże szkody firmie, dlatego nadal są o wiele bardziej popularne i skuteczne.

Dlaczego ataki pracowników niskiego poziomu są równie niebezpieczne?

W bankach, towarzystwach ubezpieczeniowych i instytucjach finansowych osoby zajmujące się sprzedażą mają na co dzień dostęp i pracują z wrażliwymi danymi. Agent ubezpieczeniowy, makler w biurze maklerskim czy doradca finansowy. Wszyscy pracują z poufnymi danymi, takimi jak poziomy sprzedaży i prowizje. Często wykonują również wrażliwe operacje na profilach klientów.

Zasada Pareto działa tutaj świetnie. 20% informacji, do których użytkownik ma dostęp, może potencjalnie spowodować 80% problemów spowodowanych wyciekami i kradzieżami.

W zdecydowanej większości firm polityki dostępu działają na zasadzie wszystko albo nic. Pracownik albo nie ma dostępu do systemu, albo z jego konta można dostać się do wszystkich danych. Nie ma łatwych do zastosowania mechanizmów, które mogłyby pomóc firmie w monitorowaniu bezpieczeństwa i nadzorowaniu dostępu do szczególnie wrażliwych informacji.

Dlatego istnieje wiele sposobów, w jakich może dojść do wycieku lub kradzieży danych.

Załóżmy teraz, że Anna pracuje w banku jako przedstawiciel handlowy. Nie jest w stanie osiągnąć swoich celów sprzedażowych, aby otrzymać prowizję, więc szuka sposobu, aby to obejść. Decyduje się udostępnić swoje konto innemu agentowi sprzedaży, który ma ten sam problem, otrzymać prowizję od jednego agenta, a następnie, pod stołem, podzielić ją między nich.

Niektóre z wykonywanych czynności mogą być potencjalnie niebezpieczne, inne mogą być nielegalne, a jeszcze inne po prostu warto śledzić, aby móc podejmować świadome decyzje i ulepszenia procesów zarządzania. Niezależnie od scenariusza zazwyczaj instytucje finansowe nie mają pod ręką rozwiązań, które można by szybko wprowadzić w celu wyeliminowania tego ryzyka.

Jak Instytucje Finansowe Mogą W Łatwy Sposób
Podnieść Poziom Bezpieczeństwa
Tam Gdzie Jest To Konieczne

Jedną z uciążliwych rzeczy związanych z bezpieczeństwem danych jest konieczność balansowania między odpowiednią proporcją ochrony danych, a komfortem użytkowania.

Naszym zdaniem dwa największe wyzwania stojące przed zespołami bezpieczeństwa w instytucjach finansowych to:

1. Jak zwiększyć poziom bezpieczeństwa bez utrudniania życia użytkownikowi?

Mimo, że bezpieczeństwo danych zawsze powinno być priorytetem każdej organizacji, która funkcjonuje w internecie w praktyce ludzie zawsze szukają sposobów na ułatwienie sobie życia, więc jeśli są w stanie ominąć procedurę bezpieczeństwa, która sprawia, że ​​tracą zbyt dużo cennego czasu - pewnie to zrobią.

2. Jak zwiększyć poziom bezpieczeństwa bez rozbijania banku?

Bolesna prawda jest taka, że ​​cyberbezpieczeństwo zwykle jest na samym końcu w budżecie planowanym na technologie informatyczne. W bankach i instytucjach finansowych budżety na bezpieczeństwo danych są wprawdzie wyższe niż w sektorach rynku mniej atrakcyjnych dla hakerów, ale nadal jest to pozycja nisko na liście priorytetów. Budżet bezpieczeństwa informacyjnego zwykle rośnie dopiero wtedy gdy coś się wydarzy. Poważne naruszenie bezpieczeństwa danych, kradzież w wyniku phishingu, utrata danych. Zwykle jest to moment, w którym prezesi decydują się zainwestować w obszar związany z bezpieczeństwem i ochroną danych.

Więc jakie jest lekarstwo?

W Secfense nazywaliśmy je - „mikroautoryzacje”.

W Secfense zaprojektowaliśmy mikroautoryzacje, tak aby podróż użytkownika przez aplikację była prawie nienaruszona, a jednocześnie poziom bezpieczeństwa danych został znacznie podniesiony.

Mikroautoryzacje mają na celu łatwe dodawanie dodatkowych kroków autoryzacji wewnątrz aplikacji - wszędzie tam, gdzie jest to konieczne, bez dotykania kodu chronionej aplikacji.

Dzięki mikroautoryzacjom możliwe jest:

  • Śledzenie i rejestrowanie każdej próby uzyskania dostępu do określonych zasobów firmy
  • Wyeliminowanie ryzyka naruszenia bezpieczeństwa poufnych danych w firmie
  • Wprowadzenie nieuciążliwego, a bezpiecznego procesu dodatkowej autoryzacji
  • Zwiększenie bezpieczeństwa bez ingerowania w kod chronionej aplikacji

To naprawdę może być takie proste.

Aby dowiedzieć się więcej o mikroautoryzacjach, obejrzyj to krótkie demo, które pokazaliśmy podczas wydarzenia technologicznego w Berlinie.

Możesz również obejrzeć pełne wdrożenie silnego dwuskładnikowego uwierzytelnienia 2FA wykonane na Amazon.com i przeprowadzone w ciągu zaledwie kilku minut.

Dlaczego banki i instytucje finansowe powinny wprowadzić
mikroautoryzacje oparte o standard FIDO?

Chociaż uwierzytelnianie dwuskładnikowe jest dobrym sposobem ochrony użytkownika przed phishingiem i kradzieżą poświadczeń, to nie wszystkie metody są sobie równe. Metody oparte o SMS-y i tymczasowe hasła jednorazowe OTP są metodą mniej skuteczną niż metody oparte o standard uwierzytelnienia FIDO.

Klucze bezpieczeństwa U2F (Universal Second Factor) lub jego następca FIDO2 wykorzystują fizyczne urządzenie, które użytkownik musi mieć fizycznie ze sobą, chcąc uzyskać dostęp do danych. Ta konfiguracja jest uważana za jedną z najsilniejszych metod uwierzytelniania i nie została jeszcze pokonana przez cyberprzestępców.

Najlepszym przykładem siły tego uwierzytelnienia jest fakt,że żaden z 89 000 pracowników Google nie padł ofiarą phishingu od czasu wdrożenia technologii opartej o FIDO czyli od 2017 roku.

Jednym z największych powodów, dla których FIDO nie wszedł jeszcze do szerokiego użycia w biznesie jest czynnik kosztowy. Wprowadzenie tej technologii oznaczało długi i żmudny proces kodowania dla programistów oraz dodatkowe koszty w budżecie. Często potrzeba dalszej konserwacji (maintenance) i perspektywa uzależnienia się od dostawcy (vendor lock-in) były wystarczającym powodem, aby zrezygnować z pomysłu wprowadzenia FIDO do organizacji.

Obecnie możliwe jest wdrożenie uwierzytelnienia w sieci opartego o standard FIDO w ciągu kilku minut przy ułamku poprzedniego kosztu. Ponadto duże instytucje finansowe nie muszą już udostępniać żadnych swoich informacji dostawcom zewnętrznym. Zamiast tego metodę uwierzytelniania FIDO można teraz bez problemu nakładać na bieżącą infrastrukturę.

W Secfense opracowaliśmy technologię, która umożliwia wprowadzenie dowolnej metody uwierzytelniania dwuskładnikowego w ciągu kilku minut.

Bez programistów, bez podwykonawców, bez kodu stron trzecich, a zatem bez blokady dostawcy (bez vendor lock-in). Ochrona polega na wprowadzeniu dodatkowej warstwy bezpieczeństwa, która umożliwia uwierzytelnianie 2FA w dowolnej aplikacji bez dotykania kodu.

Już dziś umów się z nami na bezpłatną konsultację

Umów demo