Pankit valitsevat modernin suhtautumisen kyberturvallisuuteen – Zero Trust -suojausmalli

Monet pankit suojaavat edelleen tietonsa hyökkäyksiltä käyttämällä ”vallihautaratkaisua”, joka tunnetaan myös ”edustasuojana”. Keskiaikaisten linnojen tapaan edustasuojaa hyödyntävät pankit keskittyvät suojaamaan verkkonsa edustan palomuureilla, välityspalvelimilla, hunajapurkeilla ja muilla tunkeutumisen estotyökaluilla. Edustasuoja vartioi verkon sisään- ja ulostulopisteitä tarkistamalla datapaketit sekä organisaation verkkoon siirtyvien käyttäjien ja organisaation verkosta poistuvien käyttäjien identiteetin. Oletuksena on, että vahvistetun edustan sisäpuolella tapahtuva toiminta on kohtuullisen turvallista.

Fiksut rahoituslaitokset ovat nyt jättämässä tämän mallin taakseen ja siirtymässä moderniin kyberturvallisuusnäkemykseen – Zero Trust -suojausmalliin. Zero Trust -suojausmallin pääperiaatteena on, että oletusarvoisesti ei pidä luottaa yhteenkään sisä- tai ulkopuoliseen toimijaan, ja jokainen henkilö tai laite on vahvistettava tiukasti ennen käyttöoikeuden myöntämistä.

Linnan edusta on edelleen tärkeä, mutta enää ei tehdä yhä uusia sijoituksia muurien vahvistamiseen ja vallihautojen leventämiseen; Zero Trust -suojausmalli hallitsee monivivahteisemmin sitä, millaisia käyttöoikeuksia identiteetit, data ja laitteet saavat ”linnassa”. Toimipa sisäinen käyttäjä vahingoittamistarkoituksessa tai huolimattomasti – tai pääsivätpä verhoutuneet hyökkääjät linnan muurien sisäpuolelle – dataan ei anneta automaattisia käyttöoikeuksia.

Linna ja vallihauta -käytännön rajoitukset

Mitä tulee nykyajan yritysten digitaalisen omaisuuden turvaamiseen, vallihautaratkaisuun liittyy vakavia puutteita, koska kyberuhkien kehitys on muuttanut puolustamisen ja suojaamisen merkitystä. Pankkien tapaiset suuret organisaatiot käsittelevät hajaantuneita dataverkostoja ja sovelluksia, joita käyttävät niin työntekijät, asiakkaat kuin kumppanitkin sekä paikan päällä että verkossa. Tämä vaikeuttaa linnan edustan suojaamista. Ja vaikka vallihauta pitäisikin viholliset ulkopuolella, se ei juurikaan auta käyttäjiä, joiden tiedot ovat vaarantuneet; se ei myöskään suojaa muilta sisäpiirin uhkilta, jotka lymyävät linnan muurien sisäpuolella.

Kaikki alla olevat käytännöt aiheuttavat paljastumisen riskin, ja niitä käytetään usein sellaisissa pankeissa, jotka ovat valinneet tietoturvaratkaisukseen vallihautakäytännön:

  • Henkilöstön käyttöoikeudet sovelluksiin tarkistetaan vuosittain.
  • Monitulkintaiset ja epäyhtenäiset käyttöoikeuskäytännöt määräytyvät esimiesten harkinnan mukaan – eikä niiden hallinta ole riittävää, jos työntekijät siirtyvät toisiin töihin.
  • IT-osasto käyttää liikaa järjestelmänvalvojan etuoikeutettuja tilejä.
  • Asiakastiedot tallennetaan jaettuihin tiedostoresursseihin eikä juuri kenelläkään ole tietoa siitä, ketkä voivat käsitellä niitä.
  • Käyttäjien todentamisessa luotetaan liiaksi salasanoihin.
  • Tietojen luokittelua tai raportointia ei toteuteta, joten ei ole selvillä, mitä tietoja on missäkin.
  • Erittäin luottamuksellisia tietoja sisältäviä tiedostoja siirretään usein USB-muistitikuilla.

Kuinka Zero Trust -suojausmalli voimaannuttaa pankkiireita ja asiakkaita

Zero Trust -suojausmallin edut on dokumentoitu perusteellisesti, ja yhä useammat reaalimaailman esimerkit todistavat, että tämä menetelmä olisi voinut estää monimutkaisia kyberhyökkäyksiä. Monien pankkien käytössä on kuitenkin edelleen käytäntöjä, jotka poikkeavat Zero Trust -suojausmallin käytännöistä.

Zero Trust -suojausmallia hyödyntämällä pankit voivat vahvistaa suojauksensa tilaa, minkä seurauksena pankit voivat tukea aloitteita, jotka lisäävät joustavuutta työntekijöiden ja asiakkaiden toimintaympäristössä. Sanotaan esimerkiksi, että pankinjohtajat haluaisivat vapauttaa asiakkaiden kanssa tekemisissä olevat työntekijät – kuten suhteista vastaavat päälliköt ja rahoituskonsultit – työpöytiensä äärestä tapaamaan asiakkaita muuallakin kuin pankin tiloissa. Nykyään monet rahoituslaitokset tukevat tällaista maantieteellistä joustavuutta analogisilla työkaluilla, niin että neuvot esitetään paperitulosteilla tai staattisissa näkymissä. Sekä pankkien työntekijät että asiakkaat ovat kuitenkin tottuneet dynaamisempaan kokemukseen, jossa hyödynnetään reaaliaikaisia tietoja.

Tietosuojan vallihautaratkaisuun luottavat pankit eivät mielellään päästä tietoja fyysisen verkon ulkopuolelle. Näin ollen tällaisten pankkien työntekijät ja rahoituskonsultit voivat hyödyntää hyviksi todettujen ja kurinalaisten sijoitusstrategioiden dynaamisia malleja vain, jos asiakastapaamiset toteutetaan pankin tiloissa.

Historiallisesti pankkiirien ja rahoituskonsulttien on ollut hankalaa jakaa reaaliaikaisia mallipäivityksiä tai tehdä aktiivista yhteistyötä muiden pankkiirien tai konsulttien kanssa, ainakin ilman VPN-verkkoa. Tällainen toiminta on kuitenkin tärkeä tekijä perusteltujen sijoituspäätösten ja asiakastyytyväisyyden osalta. Zero Trust -suojausmallia käytettäessä suhteista vastaava päällikkö tai analyytikko voi hyödyntää markkinatietopalveluiden näkemyksiä, yhdistää niitä omiin malleihinsa sekä työstää dynaamisesti asiakkaiden erilaisia skenaarioita missä ja milloin tahansa.

Hyvinä uutisina voidaan todeta, että meneillään on uusi älykkään tietosuojan aikakausi, joka saa voimansa pilvestä ja Zero Trust -suojausmallin arkkitehtuurista – ja joka voi virtaviivaistaa ja nykyaikaistaa pankkien tietosuojan ja vaatimustenmukaisuuden.

Microsoft 365 auttaa muuntamaan pankkien tietoturvan

Microsoft 365:n avulla pankit voivat ottaa käyttöön kolme avainstrategiaa, joiden avulla ne voivat heti alkaa siirtyä kohti Zero Trust -suojausmallia:

  • Identiteetti ja varmistaminen – Ensinnäkin pankkien on varmistettava, että käyttäjät ovat juuri sitä mitä he sanovat olevansa, ja annettava käyttöoikeuksia käyttäjien roolien mukaisesti. Kun käytössä on Azure Active Directory (Azure AD), pankit voivat käyttää kertakirjautumista (SSO), jonka avulla varmistetut käyttäjät voivat muodostaa yhteyden sovelluksiin mistä tahansa, niin että liikkuvat työntekijät voivat käsitellä resursseja suojatusti tuottavuudestaan tinkimättä.

Pankit voivat käyttää myös tehokkaita varmennusmenetelmiä, kuten kaksiosaista todennusmenetelmää tai salasanatonta monimenetelmäistä todentamista (MFA), joka voi vähentää tietomurron riskiä jopa 99,9 prosenttia. Microsoft Authenticator tukee Push-ilmoituksia, kertakäyttöisiä tunnuskoodeja ja biometriaa kaikille Azure AD:hen yhdistetyille sovelluksille.

Windows-laitteiden osalta pankkien työntekijät voivat käyttää Windows Hello -toimintoa, joka on turvallinen ja kätevä kasvojentunnistustoiminto laitteisiin kirjautumista varten. Lisäksi pankit voivat käyttää Azure AD:n ehdollisia käyttöoikeuksia, joiden avulla resurssit voidaan suojata epäilyttäviltä pyynnöiltä käyttämällä sopivia käyttöoikeuskäytäntöjä. Microsoft Intune ja Azure AD toimivat yhdessä ja varmistavat, että vain hallitut ja yhteensopivat laitteet voivat käyttää Office 365 -palveluita, kuten sähköpostia ja paikallisia sovelluksia. Intunen avulla voidaan myös arvioida laitteiden vaatimustenmukaisuutta. Ehdollista käyttöoikeuskäytäntöä sovelletaan laitteen vaatimustenmukaisuuden perusteella sillä hetkellä, kun käyttäjä yrittää käsitellä tietoja.

Infokuva, jossa esitellään ehdolliset käyttöoikeudet. Signaalit (käyttäjän sijainti, laite, reaaliaikainen riski, sovellus), Varmenna jokainen käyttöyritys (salli käyttö, vaadi monimenetelmäistä todennusta tai estä käyttö) sekä Sovellukset ja tiedot.

Ehdollisen käyttöoikeuden kuva.

  • Suoja uhkilta – Microsoft 365:n avulla pankit voivat myös parantaa kykyään suojautua hyökkäyksiltä, havaita hyökkäykset ja vastata hyökkäyksiin, kun käytössä on Microsoft Threat Protectionin integroitu ja automatisoitu suojaus. Siinä käytetään erästä maailman suurimmista uhkasignaaleista, joka on saatavilla Microsoft Intelligent Security Graphin kautta, sekä edistynyttä automaatiota, joka tekoälyn (AI) avulla tehostaa tapausten tunnistamista ja niihin vastaamista, niin että tietoturvatiimit voivat selvittää uhkatilanteet tarkasti, tehokkaasti ja joutuisasti. Microsoft 365 -tietoturvakeskuksessa on keskitetty keskitin sekä erikoistunut työtila, niin että Microsoft 365:n älykkäitä tietoturvaratkaisuja voidaan hallita ja hyödyntää täysin niin käyttäjätietojen ja käytön hallinnan, uhkilta suojautumisen, tietojen suojauksen kuin tietoturvan hallinnankin osalta.

Näyttökuva Microsoft 365 -tietoturvakeskuksen koontinäytöstä.

Kuvassa on Microsoft 365 -tietoturvakeskus.

  • Tietojen suojaus – Käyttäjätiedot ja laitteet ovat alttiita kyberhyökkäyksille, mutta kyberrikolliset ovat ennen kaikkea tietojen perässä. Microsoftin Tietojen suojauksen avulla pankit voivat parantaa arkaluontoisten tietojensa suojausta – missä ne sitten sijaitsevat tai liikkuvatkaan. Microsoft 365:n avulla asiakkaat voivat 1) tunnistaa ja luokitella arkaluonteiset tietonsa, 2) hyödyntää joustavia suojauskäytäntöjä sekä 3) valvoa ja oikaista uhattuja arkaluonteisia tietoja.

Näyttökuva Microsoft Azure Information Protection -toiminnosta, joka vaatii perustelut luokiteltua sähköpostia varten.

Esimerkki luokittelu- ja suojausskenaariosta.

Yksinkertaista suojauksen hallintaa Zero Trust -suojausmallilla

Microsoft 365 auttaa yksinkertaistamaan tietosuojan hallintaa modernissa Zero Trust -suojausmallin arkkitehtuurissa hyödyntämällä läpinäkyvyyttä, skaalaa ja tietoja, joita tarvitaan kyberrikollisuuden vastustamiseen.

Kun pohdit, miten voisit suojata nykyajan ”linnasi”, Zero Trust -suojausmallia hyödyntävä ympäristö on paras mahdollinen ratkaisu kyberuhkien torjuntaan. Zero Trust -suojausmallin ympäristössä seurataan jatkuvasti sitä, kuka käsittelee mitä, missä ja milloin – ja pitäisikö kyseisellä käyttäjällä edes olla käyttöoikeutta.

Microsoft 365:n tietoturva- ja vaatimustenmukaisuustoimintojen avulla organisaatiot voivat suorittaa varmistuksen, ennen kuin käyttäjään tai laitteeseen luotetaan. Microsoft 365 tarjoaa myös täysin kattavan tiimityö- ja tuottavuusratkaisun. Kaiken kaikkiaan Microsoft 365 on kattava ratkaisu, jonka avulla pankinjohtajat voivat keskittyä asiakkaisiin ja innovointiin.

Huomaa, että näiden blogikirjoitusten sisällöissä kuvataan ominaisuuksia ja toimistoja, joiden saatavuus voi vaihdella eri markkina-alueilla. Täydelliset tiedot tietyistä markkina-alueellasi saatavissa olevista tuotteista ovat artikkeleissa Microsoft 365, Office 365, Windows 10 ja Enterprise Mobility + Security.
Sisällöt, joihin näistä viesteistä on linkkejä, eivät välttämättä ole saatavilla paikallisella kielelläsi.