I bank- og finansnæringen er finansiell teknologi, kunstig intelligens og skytjenester sentrale drivere for den digitale utviklingen. Men med det følger også et helt annet trusselbilde enn før internettets tid.
Datasikkerhet, også kjent som cyber security, er essensielt for å beskytte maskiner, enheter og infrastruktur fra trusler og dataangrep som kommer av at de er koblet mot internett. Vi i Cicero Consulting har tatt en prat med Salman Khan, leder for Group Security Operations Center i Itera, Cicero sitt morselskap, om nettopp viktigheten med datasikkerhet, og status og trender innen bank- og finansnæringen.
Hva gjør datasikkerhet så viktig for moderne bedrifter?
Salman Khan: Ved nærmere betraktning er data egentlig et åndsverk i sin kontekst. Datadrevet innovasjon innebærer store muligheter for økonomisk vekst og produksjon, og leveranse av tjenester har blitt mye enklere og raskere. Det har ført til at dagens samfunn og økonomi er blitt svært avhengig av systemer og informasjonen disse systemene behandler og produserer. Med realistiske forventninger om at systemene og informasjonen oppbevares trygt, er det derfor svært viktig å beskytte samfunnskritiske organer som energiforsyning, helse, betalingsformidling, og ikke minst nasjonens forsvar.
Med dagens teknologiavhengighet og truslene vi står ovenfor, er det svært viktig for det moderne samfunnet å sørge for konfidensialitet, integritet og tilgjengelighet av informasjon til enhver tid. Sannheten er at dataangrep kan sette samfunnskritiske aktører ut av spill og datasikkerhet handler om å innføre risikostyringen som skal redusere sannsynligheten for at kritiske hendelser med store konsekvenser lykkes.
Hvilke trender ser vi når det kommer til datasikkerhet?
Salman Khan: Det er viktig å forstå dagens trender i trusselbildet, da det påvirker oss hvor enn vi måtte befinne oss. Vi så at pandemien satte god fart på digitaliseringen, både i privat og offentlig sektor, hvor et stort antall organisasjoner har begynt å migrere fra «on-premises» til multi-cloud infrastruktur. Dette øker trusselsoverflaten. Det er kraftig vekst i antall IoT-enheter som er koblet til internett. 5G vil øke farten i denne trenden.
4G revolusjonerte kommunikasjon, mens 5G vil revolusjonere samfunnet.
IoT-enhetene mangler ofte sikkerhetskonfigurasjoner, da disse er ment til å bli brukt som «plug-and-play». Dette gjør disse enhetene spesielt interessante for hackere som enten kan legge disse som en del av sitt botnet, eller å bruke dem som en relativt enklere vei inn.
Vi ser et økende antall svindelforsøk og phishing-angrep, som ifølge en undersøkelse har femdoblet seg. Løsepengevirus er fortsatt en lukrativ del av cyberkriminelle sitt økosystem. Om digitalisering ikke er grundig gjennomtenkt eller det mangler sikkerhet i designet, vil det både øke den tekniske gjelden, samt enkelt kunne utnyttes av en angriper. Manglende sikkerhetskonfigurasjon i skyen er fortsatt en av de største risikoene som fører til blant annet datainnbrudd, uautorisert tilgang og usikre grensesnitt.
Cyberangrep, som en del av hybride kriger, vil i fremtiden bli mer komplekse og uforutsigbare. Dette peker på viktigheten av å etablere mer resiliens eller robusthet i det digitale samfunnet.
Hva er status for datasikkerhet i norsk bank- og finansnæring?
Salman Khan: Økonomisk kriminalitet øker stadig, og nettangrep blir mer og mer sofistikert. Bank- og finansnæringen er underlagt strenge krav, hvor sikkerhet og produktivitet må balanseres. Det er da snakk om å ha en grundig forståelse for risikoene bransjen er eksponert mot, samt trusselsaktørene som muligens vil prøve å utnytte svakhetene.
Det trengs en risikobasert og systematisk tilnærming for å oppdage svakhetene, iverksette kontroller for å eliminere eller reduserer risiko på et akseptabelt nivå, og overvåke og reagere på eventuelle avvik. Bruk av etablerte standarder anbefales for å forstå og prioritere riktige tiltak for riktige problemer, overvåking og kommunikasjon både for å kvalitetssikre interne kontroller, samt trusler i de globale verdikjedene.
Hvilke mulige konsekvenser vil banker som ikke setter søkelys på datasikkerhet kunne stå overfor?
Salman Khan: Ettersom svindlere stadig blir mer sofistikerte, er det tydelig at både organisasjoner og sluttbrukere deler ansvaret for å beskytte personopplysningene. Siden informasjonssystemene eies av organisasjoner, har de et større ansvar for å beskytte informasjonen. Denne rollen vil danne et dypere forhold mellom organisasjoner og kundene deres, som da vil være basert på tillit og lojalitet. Mengden av kritisk informasjon som finansindustrien sitter på gjør dem ofte til lukrative mål for cyberkriminaliteten.
Om datasikkerhet ikke tas på alvor og en kritisk hendelse (for eksempel ransomware) inntreffer, vil organisasjonen i beste fall tåle nedetiden hendelsen medfører. Men hvis MTD (Maximum Tolerable Downtime) er utgått, kan tapene bli ekstremt store mens vi allokerer ressurser, finner feilen, engasjerer tredjepartsleverandører, starter prosessen for å gjenopprette systemer fra backup (om selve backupen ikke er komprimert), installerer og kobler systemene på nytt.
Hvilke trender ser vi innen cyberforsikring?
Salman Khan: Det er en økende interesse og behov for å tegne cyberforsikring. Pris vil sannsynligvis variere i forhold til bransjen forsikringstager hører til, hvor stort cybermiljøet deres er og om de har hatt et datainnbrudd før. Samtidig er det viktig å forstå at selskapene med god cyberhygiene ofte vil få bedre priser. En trend vi ser i USA er at forsikringsselskapene prøver å ikke dekke tap som følge av cyberkrig – altså såkalte «nation state» angrep.
Hvordan bistår Itera kunder med datasikkerhet?
Salman Khan: I Itera har vi et sterkt fokus på sikkerhet «by design».
Vi har iverksatt systematiske og gode tiltak for å sørge for at sikkerheten er bakt inn fra designfasen.
Vi bruker blant annet OSINT (frikildeetterretning), som ifølge min mening er en av de mest undervurderte sikkerhetsdisiplinene. Vi har tung kompetanse innen cyber- og skysikkerhet og er lidenskapelig opptatt av å hjelpe kunder med å forstå risikoene de står ovenfor når de skal migrerer til skyen. Vårt fokus er proaktiv sikkerhet, som kan understøtte kundenes bærekraft gjennom verdikjeden.
Vil du lære mer om hvordan Itera jobber med datasikkerhet? Kontakt Salman Khan for en prat.