Miks võtavad pangad kasutusele moodsa lähenemise küberturbele – täisusaldamatuse mudeli?
Paljud pangad kasutavad andmete kaitsmiseks rünnete eest endiselt „vallikraaviga ümbritsetud kindluse“ lähenemist ehk nn perimeetriturvet. Kui keskajal kaitsesid kindlust kivimüürid, vallikraavid ja väravad, siis perimeetriturvet kasutavad pangad on teinud suuri investeeringuid oma võrguperimeetri kaitsmisse tulemüüride, puhverserverite, meepurkide ja muude sissetunge tõkestavate tööriistadega. Perimeetriturbe korral valvatakse võrgu sisenemis- ja väljumispunkte, kontrollides asutuse võrku sisenevate ja sealt väljuvaid andmepakette ja kasutajate identiteete. Eeldatakse, et pärast seda kontrolli on turvatud perimeetri sees toimuv tegevus suhteliselt turvaline.
Asjatundlikud finantsasutused on nüüd aga sellest paradigmast loobumas: aina enam võetakse kasutusele tänapäevane lähenemine küberturbele ehk täisusaldamatuse mudel. Täisusaldamatuse mudeli keskne põhimõte on lihtne: vaikimisi ei usaldata mitte kedagi, ei ettevõtte sees ega väljaspool seda, ning iga isikut või seadet kontrollitakse enne juurdepääsu andmist rangelt.
Kindluse perimeeter on endiselt oluline, ent lisainvesteeringute kõrgematesse müüridesse ja laiematesse vallikraavidesse suunamise asemel kasutab täisusaldamatuse mudel lihvitumat lähenemist, hallates juurdepääsu identiteetidele, andmetele ja seadmetele ka kindlusemüüride sees. Olenemata sellest, kas pahatahtlikult või hooletult käitub mõni ettevõtte töötaja või pääsevad müüridest läbi end varjavad ründajad, ei saa keegi andmetele automaatselt juurdepääsu.
Kindluse ja vallikraavi lähenemise puudujäägid
Tänapäeva ettevõtte digikeskkonna kaitsmisel on kindluse ja vallikraavi mudelil olulisi puudujääke, kuna muutused küberohtude olemuses on muutnud ka kaitse tähendust. Suured organisatsioonid, sealhulgas pangad, peavad toime tulema hajutatud andme- ja rakendusevõrkudega, mida töötajad, partnerid ja kliendid kasutavad nii kohapeal kui ka veebi kaudu. See muudab kindluse perimeetri kaitsmise varasemast keerulisemaks. Ka siis, kui vallikraav teeb vaenlaste tõrjumisel oma tööd tõhusalt, ei ole see abiks juhul, kui mõne kasutaja identiteet on langenud ründe ohvriks, rääkimata muudest kindluse müüride sees elutsevast siseohust.
Allpool on antud ülevaade võimalikest probleemkohtadest, mis on levinud pankades, kus on turvalisuse tagamiseks kasutusel perimeetriturve:
- töötajate rakendustele juurdepääsu õigused vaadatakse üle ainult kord aastas;
- õiguste poliitikad on mitmetimõistetavad ja ebajärjekindlad, olenedes ülemuse suvast; töötajate liikumisega ei kaasne asjakohaseid muudatusi;
- IT-osakonnas jagatakse administraatoriõigusi välja liiga kergekäeliselt;
- kliendiandmed on talletatud mitmel failikettal ja puudub täpne ülevaade sellest, kes neile juurde pääsevad;
- kasutajate autentimiseks rõhutakse liiga palju paroolidele;
- puudujäägid andmete liigituses ja aruandluses ei luba mõista, millised andmed kus asuvad;
- ülimalt delikaatseid või konfidentsiaalseid andmeid sisaldavate failide üleviimiseks kasutatakse sageli USB-mälupulki.
Täisusaldamatuse eelised pankurite ja klientide jaoks
Täisusaldamatuse lähenemisviisi eelised on hästi dokumenteeritud. Aina kasvav hulk reaalseid näiteid kinnitab, et see lähenemine oleks võinud ära hoida paljud keerukad küberründed. Sellest hoolimata järgitakse paljudes pankades ikka veel tavasid, mis pole täisusaldamatuse põhimõtetega kooskõlas.
Täisusaldamatuse mudeli kasutuselevõtt aitab pankadel turbeseisundit paremaks muuta. Sel viisil saavad nad julgelt toetada algatusi, mis pakuvad töötajatele ja klientidele rohkem paindlikkust. Näiteks soovivad pangajuhid sageli, et otse klientidega suhtlevatel töötajatel (nt kliendihalduritel ja finantsnõustajatel) oleks vabadus oma töölaua äärest lahkuda ja klientidega kohtuda väljaspool pangakontorit. Paljud finantsasutused toetavad seda liikumisvabadust praegu analoogmaailma kuuluvate vahenditega – andmed prinditakse paberile, ülemuselt küsitakse nõu enne kliendiga kohtumist. Nii pangatöötajad kui ka kliendid ootavad aga tänapäeval midagi, mis oleks dünaamilisem ja oskaks kasutada reaalajas muutuvaid andmeid.
Pangad, kus on endiselt kasutusel kindluse ja vallikraavi lähenemine turvalisusele, ei kipu andmeid füüsilisest võrgust väljapoole lubama. Seetõttu saavad selliste pankade töötajad ja finantsnõustajad end tõestanud investeeringustrateegiate dünaamilisi mudeleid kasutada vaid siis, kui kohtumised klientidega toimuvad pangakontoris.
Panga töötajatel ja finantsnõustajatel on alati olnud keeruline liikvel olles jagada reaalajas muutuvate mudelite kohta värsket teavet või teha teiste pankurite ja maakleritega aktiivselt koostööd, vähemalt ilma VPN-i kasutamata. Selline paindlikkus on aga oluline tegur teadlike investeerimisotsuste tegemisel ja klientide rahulolu saavutamisel. Täisusaldamatuse mudel võimaldab kliendihalduril või analüütikul kasutada turuandmete pakkujatelt saadud ülevaateid, sünteesida need enda mudelitega ja dünaamiliselt analüüsida erinevaid kliendistsenaariumid igal pool ja igal ajal.
Hea uudis on see, et kätte on jõudnud tehisintellektile tugineva turvalisuse uus ajastu, mis kasutab ära pilvteenuste võimalusi ja täisusaldamatuse arhitektuuri ning aitab pankadel turvalisust ja nõuetelevastavust moderniseerida.
Microsoft 365 aitab viia pankade turvalisuse uuele tasemele
Microsoft 365 kasutamise korral saavad pangad kohe astuda esimesed sammud täisusaldamatusel põhineva turbe suunas.
- Identiteet ja autentimine – kõige olulisema sammuna peavad pangad tagama, et kasutaja on tõesti see inimene, kelle ta väidab end olevat, ning andma kasutajale juurdepääsu vastavalt tema rollile. Azure Active Directory (Azure AD) abil saavad pangad kasutada ühekordset sisselogimist, et autenditud kasutajad saaksid rakendustega ühenduse luua igalt poolt: sel viisil pääsevad mobiilsed kasutajad ressurssidele turvaliselt juurde ilma tööviljakuses järele andmata.
Pangad saavad lisaks samuti kasutusele võtta muid tugevaid autentimismeetodeid, näiteks kahekordne või paroolivaba mitmikautentimine, mis võib turbemurde ohtu vähendada kuni 99,9%. Microsoft Authenticator toetab tõuketeatisi, ühekordseid pääsukoode ja biomeetriameetmeid kõigis Azure AD-ga ühendatud rakendustes.
Windowsi seadmetesse sisselogimiseks saavad pangatöötajad kasutada turvalist ja käepärast Windows Hello näotuvastusfunktsiooni. Lisaks saab pankades kasutusele võtta ka Azure AD tingimusjuurdepääsu, mis rakendab ressursside kaitsmiseks kahtlaste taotluste eest asjakohased juurdepääsupoliitikad. Microsoft Intune ja Azure AD saavad üheskoos tagada, et Office 365 teenustele (sh meilile ja kohapealsetele rakendustele) pääseksid juurde ainult hallatavad ja nõuetele vastavad seadmed. Intune’i kaudu saate hinnata ka seadmete nõuetelevastavuse olekut. Tingimusjuurdepääsu poliitika jõustamine oleneb seadme nõuetelevastavuse olekust sellel ajahetkel, kui kasutaja proovib andmetele juurde pääseda.
Tingimusjuurdepääsu illustratsioon.
- Ohutõrje – Microsoft 365 kasutamise korral saavad pangad kaitset, tuvastamist ja rünnetele reageerimist tõhustada ka Microsofti ohutõrje integreeritud ja automatiseeritud turbemeetmetega. Ohutõrje teenus kasutab intsidentide tuvastamise ja neile reageerimise täiustamiseks Microsoft Intelligent Security Graphi ulatuslikku ohusignaalide võrgustikku ning tehisintellektile toetuvat automatiseerimist, mis võimaldab turbetöötajatel ohtudega tegelda täpselt, tõhusalt ja viivitamatult. Microsoft 365 turbekeskus on spetsialiseeritud tööruum, kus saab hallata kõiki Microsoft 365 tehisintellektipõhiseid turbelahendusi ning nende pakutavaid võimalusi identiteedi- ja juurdepääsuhalduse, ohutõrje, teabekaitse ja turbehalduse jaoks täielikult ära kasutada.
Microsoft 365 turbekeskus.
- Teabekaitse – ehkki peamised küberrünnete juurdepääsuvektorid on seotud identiteedi ja seadmetega, ihaldavad küberkurjategijad tegelikult ikkagi andmeid. Microsofti teabekaitse abil saavad pangad delikaatset teavet paremini kaitsta olenemata sellest, kas andmeid talletatakse kohapeal või liiguvad need kasutaja või seadmega kaasa. Microsoft 365 võimaldab klientidel 1) delikaatsed andmed tuvastada ja liigitada, 2) rakendada andmetele paindlikud kaitsepoliitikad ning 3) delikaatseid andmeid jälgida ja ohtu sattunud andmed kahjutustada.
Liigitus- ja kaitsestsenaariumi näide.
Täisusaldamatus aitab turbehaldust lihtsustada
Microsoft 365 aitab turbehaldust tänapäevases täisusaldamatuse arhitektuuris lihtsustada, kasutades küberkuritegevusega võitlemiseks kõiki nähtavuse, ulatuse ja tehisintellektiga seotud võimalusi.
Kui kaalute, kuidas oma tänapäevast „kindlust“ kaitsta, tasub kindlasti mõelda täisusaldamatuse keskkonnale, kuna see on uute küberturbeohtudega võitlemiseks optimaalne lahendus. Täisusaldamatuse keskkonnas on pidev kontroll selle üle, kes, kus ja millal andmeid, rakendusi või seadmeid kasutab ning kas sellel inimesel peaks see juurdepääs olema.
Microsoft 365 turbe- ja vastavusfunktsioonid aitavad asutustel ja ettevõtetel enne mõne kasutaja või seadme usaldamist teda kontrollida. Samuti pakub Microsoft 365 täielikku meeskonnatöö ja kontoritöö lahendust. Microsoft 365 annab pankade käsutusse täieliku lahenduse, mis aitab panga juhtkonnal keskenduda klientidele ja uuendustele.