Nové služby vyžadují komplexnější ochranu

Fintech společnosti jsou velkým hybatelem změn. Podle odhadů společnosti Citigroup způsobí jejich rozšíření to, že banky v Evropě a Spojených státech budou muset propustit do roku 2026 1,7 milionů zaměstnanců. To představuje asi 30 % současného stavu personálu. I proto s nimi dnes mnoho tradičních finančních institucí aktivně spolupracuje či nabízí podobné služby. Tím se samozřejmě vytváří další prostor i pro útočníky. Společnosti nabízející finanční služby dnes řeší nejenom jak ochránit data svých zákazníků, ale zároveň i to, jak splnit přísná legislativní kritéria. Mnoho společností tak musí změnit či vytvořit novou bezpečnostní strategii. Podle průzkumu Cisco 2017 Security Capabilities Benchmark Study si 50 % zástupců organizací myslí, že rozvoj digitálních technologií ovlivňuje přístup k bezpečnosti ve velké míře. Navíc 40 % dotázaných odpovědělo, že fintech společnosti, přístup DevOps a bimodální IT výrazně ovlivňují bezpečnost. Tradiční finanční společnost spolupracující se svým fintech partnerem tak musí řešit i nové výzvy, například jak ochránit data uložená v cloudovém prostředí.

Jak jsou na tom finanční společnosti dnes? Ze závěrů studie Cisco 2017 Midyear Cybersecurity Report mimo jiné vyplývá, že pouze 63 % finančních organizací má psanou oficiální bezpečnostní strategii. A pouhých 48 % organizací aplikuje bezpečnostní pravidla vycházející ze standardizovaných norem, jako jsou ISO 27001 či NIST 800-53. Oblast finančních služeb je poměrně konzervativní odvětví a nové standardy, které odpovídají jejich aktuálním bezpečnostním strategiím, implementují spíše pomaleji. Další oblastí, kde obecně finanční sektor zaostává, je nastavení požadavků na dodavatele, aby se drželi zavedených postupů. Například pouze 37 % finančních organizací vyžaduje po svém dodavateli bezpečnostních řešení, aby ISO 27001 aplikoval. Tyto normy ale představují důležitý základ pro kvalitní bezpečnostní strategii. Pokud finanční instituce chce s fintech firmami spolupracovat, musí zajistit komplexní bezpečnost ve všech prostředích.

Víc hlav nemusí vědět více

Jak jsem již zmínil dříve, vzájemná spolupráce obou typů organizací znamená rozšíření potenciálního prostoru pro kybernetický útok. Ve finančním sektoru je ale běžné, že organizace mají implementovány bezpečnostní řešení od mnoha dodavatelů. A pokud své služby propojí, s velkou pravděpodobností naroste i počet implementovaných řešení ve společném prostředí. Vrátím se opět k průzkumu Cisco 2017 Security Capabilities Benchmark Study, který sledoval i složitost bezpečnostního prostředí finančních organizací. Ze závěrů vyplývá, že 57 % z nich využívá alespoň 6 dodavatelů, 29 % více než 10. Více než 6 bezpečnostních produktů pak používá přes 66 % organizací a 33 % pak více než 10. Některé instituce dokonce používají produkty od více než 30 dodavatelů.

Avšak aby mohly organizace zefektivnit svoji reakci na hrozby, musí svoji bezpečnostní architekturu výrazně zjednodušit – méně nástrojů, ale více integrace. Různé produkty budou totiž u fragmentovaného prostředí pracovat pouze v izolovaných silech. Jednotlivě tak fungují efektivně v rámci svého účelu, avšak bez vzájemného sdílení relevantních informací a jejich analýzy nemůže architektura nabídnout spolehlivé bezpečnostní výstrahy a reporty. Široké spektrum produktů také zpomaluje proces vyšetřování hrozeb. Celých 46 % organizací ve výzkumu uvedlo, že denně dostanou tisíce bezpečnostních výstrah, avšak vyšetří pouze 55 % z nich. A z počtu vyšetřovaných hrozeb je 28 % legitimních. Přičemž necelá polovina (43 %) z těchto legitimních hrozeb je opravena. Velký počet výstrah pravděpodobně ukazuje právě na nedostatečně integrované bezpečnostní nástroje. Bezpečnostní týmy totiž pravděpodobně neví, které výstrahy se duplikují, a které z nich by měly dostat nízkou prioritu. Bez integrace mají bezpečnostní týmy omezenou schopnost korelovat a analyzovat hrozby.

Klíčová role sítě

Představte si, jak funguje železniční systém. Můžete mít nejpohodlnější, nejmodernější a nejrychlejší vlaky a vagony na celém světě. Nicméně pokud máte starou síť kolejí, nikdo nezajišťuje její údržbu a chybí jakákoliv světelná signalizace, pak takový železniční systém nebude fungovat příliš efektivně. Navíc může být ohrožena bezpečnost cestujících. Podobně mohou být ohrožena i data, která protékají sítí finanční instituce. Pominu-li fakt, že dnes žádné nenapadnutelné zařízení neexistuje, stačí chvilka nepozornosti zaměstnance, nebo připojení nového, nezabezpečeného zařízení do sítě a útočníkům se rázem otevírá další potenciální cesta k datům organizace. Přesun bezpečnosti přímo do sítě je trend, který dnes vidíme napříč obory. Netýká se tedy pouze finančního sektoru. Nicméně oblast financí patří, spolu se zdravotnictvím, mezi nejcitlivější odvětví, co se týká požadavků na úroveň kybernetické bezpečnosti. Ochrana by tak měla být vybudovaná primárně na místě, kam útočníci cílí. Kromě toho síťové technologie dnes nabízí i další funkce, které pro finanční společnosti mohou být více než užitečné.

Ne každý web je novou službou

Boom fintech společností a nových aplikací má i jeden důležitý dopad, který se týká běžných uživatelů. Možná se to stalo i někomu z vás. Pozdě večer píše známý na Facebooku, že potřebuje poslat menší finanční částku, neboť ztratil peníze a má u sebe pouze kartu. Samozřejmě potřebuje pomoci ihned a přes standardní bankovní převod by to trvalo příliš dlouho. Naštěstí posílá odkaz na novou službu, která umožňuje rychlou transakci i mezi bankami. Dříve by taková aktivita byla pro většinu uživatelů až příliš podezřelá. Avšak s vědomím rychlého nárůstu nových finančních služeb mimo klasické banky, může oběť takového útoku peníze odeslat. Nová finanční služba tak funguje jako zástěrka a útočník získá citlivé údaje oběti i zaslanou finanční částku. Takové útoky nejsou ničím výjimečným. V červenci letošního roku před nimi varoval národní bezpečnostní tým CSIRT. V tomto případě však spíše než pokročilé bezpečnostní řešení postačí dodržovat jedno ze základních pravidel bezpečného chování na internetu a neposílat citlivé údaje, ani finanční prostředky skrze neznámé stránky. A to ani v případě, že nás o to požádá známý.

Budujte jednoduše, ale komplexně

Není pochyb o tom, že se finanční sektor díky fintech společnostem výrazně mění. Ostatně digitální revolucí prochází mnoho odvětví – od zdravotnictví přes logistiku až po hotelnictví. Předpovídat konkrétní dopady přímo na finanční služby nedokážu, avšak trendy jasně ukazují, že nové přístupy znamenají i potřebu zabezpečit stále komplexnější prostředí. Nová partnerství, rozšiřování nabídek služeb a moderní zákaznické funkce – to vše hackeři rádi vidí, neboť jim to nabízí prostor pro vytvoření nových způsobů, jak zaútočit. Proti nejsofistikovanějším hrozbám se dnes lze bránit pouze nejpokročilejšími technologiemi. Nicméně obecně organizace, a finanční instituce bohužel nejsou žádnou výjimkou, dělají chyby, které mohou vést k bezpečnostním mezerám. Ty lze přitom odstranit i bez jakéhokoliv navýšení rozpočtu. Vybudování nové bezpečnostní architektury může být nákladné, nicméně pokud finanční instituce využívá příliš mnoho dodavatelů, pak jsou téměř jistě vysoké i její provozní náklady. Navíc může mít i personální problémy. Kolik bezpečnostních specialistů umí pracovat s 30 a více produkty? Najít někoho takového může být problém. Při budování bezpečnostní architektury platí, že v jednoduchosti je síla. A pouze tato síla dokáže ochránit peníze zákazníků a pověst finanční společnosti.