Wat de bankensector aan moet pakken rond cybersecurity in 2016
Disruptieve innovatie in de digitale wereld vraagt om een zeer snelle marktintroductietijd. Deze innovatie strekt zich ook uit tot ondernemingen in de financiële wereld - payment gateways, processors, banken, regelgevende instanties of aanbieders van alternatieve betalingsmethoden worden allemaal verwacht om tegemoet te komen aan het snelle tempo van veranderingen vereist door bedrijven. Vanuit het perspectief van de financiële instellingen is het probleem complex en multidimensionaal.
De afgelopen jaren is er veel veranderd in de manier waarop het groeiende 'phygital' klantenbestand betaalt, zowel in winkels als online. Betaalmethodes zijn geëvolueerd van chip en pin apparaten en NFC tot wearables zoals smartwatches, biometrisch en meer recentelijk: de 'selfie'. Terwijl retailers proberen het aantal acties bij een bestelling voor de klant te verminderen, is het ondersteunen van deze nieuwe betaalmethoden en het beheren van de security niet makkelijk voor de financiële dienstverleners.
Wat bedrijven tegenwoordig gemeen hebben, ongeacht welk bedrijf of domein, is de noodzaak zich te onderscheiden bij de klant. Evoluerende IT-systemen hebben als gevolg dat bedrijven een 'gefragmenteerde kijk' van hun eigen klanten hebben. Bedrijven krijgen steeds meer details over hun klanten door social media, deze details kunnen worden gebruikt voor een betere klantenervaring. Dit betekent dat meer privégegevens moeten worden opgeslagen en beheerd. Bijvoorbeeld: bij het betalen via een selfie moet een foto worden opgeslagen en opgevraagd, gezichtsherkenning moet worden ingeschakeld en protocollen ondersteunen door informatie te structureren, over te dragen en valideren. En dit allemaal op een veilige manier miljoenen keren per seconde.
De noodzaak van betere schaalbaarheid, betrouwbaarheid en interoperabiliteit tussen applicatiesystemen heeft aan de B2B kant geleid tot de ontwikkeling van nieuwe standaarden en protocollen zoals AMQP, MQTT en STOMP. De behoefte aan een snelle marktintroductietijd voor ondernemingen hebben een enorme 'shift' gezien in het ontwerp en de goedkeuring van sommige van deze technologieën. Dit varieert van producten die eigendom en in beheer zijn van één grote leverancier tot op standaard gebaseerde producten en implementaties. Architecturale stijlen zijn geëvolueerd – van grote monolithische applicatiesystemen tot op componenten gebaseerde microservice stijlmodellen- en geschikt voor zeer snelle veranderingen, minimal downtime, en uiterst aanpasbare schaalbaarheid mogelijk gemaakt door van cloud gehoste platforms en oplossingen.
Terwijl de mogelijkheden om de schaalbaarheid te verbeteren zijn gestegen, zo ook de vraag - het is voorspeld dat Internet of Things (IoT) het aantal aangesloten apparaten tot meer dan 6 miljard zal brengen in 2016 en het aantal zal naar verwachting stijgen tot 38 miljard in 2020. De uitdaging ligt vooral bij de autonome besluitvorming en niet zo zeer bij de verwachte stijging. Stel je voor dat je vaatwasser automatisch het support team kan waarschuwen als het een fout ontdekt, of dat het automatisch een bestelling kan plaatsen bij een retailer als het lage niveaus van vaatwasser zout detecteert en alle gevolgen voor de veiligheid van het inschakelen van deze mogelijkheid. Amazon Dash heeft dit uitgebracht en er zullen nog velen snel volgen.
Ten slotte zijn er veranderingen in de kern van alle financiële transacties: het geld zelf. Het gebruik van alternatieve digitale valuta's, zelfs bij bedrijven, zoals Bitcoin zijn enorm gestegen. Ook dit leidt weer tot nieuwe integratie uitdagingen, zowel voor financiële instellingen als retailers. Belangrijker is dat de onderliggende technologie, BlockChain gedistribueerde no-trust open ledger biedt. Deze zal naar verwachting de manier waarop financiële, hypotheek, en kapitaalmarkten beveiligde transacties uitvoeren veranderen.
De bankensector leidt de weg in deze veranderingen. Zo begeleiden en ondersteunen ze ondernemingen over hoe te integreren en mogelijkheden aan te pakken; terwijl deze op hetzelfde moment de afweging moet maken over het belang van privacy en klantveiligheid.
Hiermee rekening houden, zou het bankwezen hun bestaande beveiligingsmaatregelen moeten verbeteren en fraudemonitoring, detectie- en preventiesystemen moeten uitrollen. Vandaag de dag zijn technologieën beschikbaar om grootschalige analyse en real-time fraudedetectie controle- en preventiesystemen te bouwen en implementeren. Enkele leiders in het bankwezen hebben dergelijke mechanismen en systemen aangenomen en ingezet, andere zouden dit in toenemende mate zich moeten richten op het bouwen van systemen die beschermen en monitoren tegen o.a. netwerkkwetsbaarheden, transactiefraude, inter-systeem communicatie, multi-system dataverkeer (on-prem, cloud en SaaS) en API gebaseerde integratie. Tegelijkertijd moet de dreiging uit de buurt blijven van de core business systemen van de bank.
De bankensector moet experimenteren en opkomende technologieën, kaders en platforms adopteren om hun IT-middelen veilig te stellen. Banken kunnen 3 perspectieven en thema's evalueren en aanpakken:
(a) Ontwerpen en implementeren van veilige systemen voor alles van infrastructuur tot applicatie stacks – dit wordt gedreven door veilige ontwerp beginselen en systemen en wordt ingeschakeld via beveiligde technische methodieken zoals het bouwen en verfrissen van veilige codeer richtlijnen, continu definiëren en verfijnen van beveiliging voor data-in-motion en data-at-rest en het beveiligen van gegevensafdrukken over IT-ecosysteem dat ook geldt voor big data stack. White-box- en penetratietesten blijven de belangrijkste componenten van het beveiligingsvalidatie systeem.
(b) Het landschap monitoren voor beveiligingsproblemen door een secutrity NOC – de bankenindustrie heeft geïnvesteerd in het bouwen van NOC (network monitoring centres) die nauwlettend toezien op de beschikbaarheid en prestaties van haar systemen. Het stelt hen in staat om proactief diverse knelpunten te identificeren en aan te pakken. Wij zijn van mening dat de banksector moet beginnen met de bouw van, indien dit niet al gebeurd is, SOC – security operations centres, die zal toezien op kwetsbaarheden en bedreigingen in verschillende dimensies, zoals infrastructuur, applicaties, data-in-motion, data-at-rest, potentiële financiële transactiefraude via real-time datastream analytische verwerking, API veiligheid en apparaat beveiliging.
(c) Automation – handmatige security audits gaan meer in de richting van codificatie en de automatisering van normen en veiligheidsrichtlijnen. We noemen ze Security Intelligence Systems, die alerts en dashboardnotificaties geven over verschillende veiligheid aspecten en bedreigingen van vectors.
(d) Proactieve bedreiging identificatie via niet-systemische maatregelen
Traditioneel gezien wordt de veiligheid aangepakt via geplande penetratietesten, security risk en compliance auditing, beveiligingstrainingen, richtlijnen, normen en standaarden. Door de toenemende cybersecurity dreigingen en opkomende kwetsbaarheden die het gevolg zijn van nieuwe opkomende bedrijven en computermodellen, zien we een toenemende behoefte aan proactief in-house identificatie en het blootleggen van beveiligingsproblemen. We zien dat ondernemingen praktijken toe passen om ethical hackers aan boord te nemen die proactief proberen om de beveiliging te breken. Bedrijven zijn ook op zoek naar steun voor 'RED TEAM' die niet alleen proberen te hacken via digitale systemen en endpoints, maar ook via fysieke en niet zo voor de hand liggende achterdeur ingangen.
Een parallel wordt geschetst tussen het Netflix ChaosMonkey tool, die defecten identificeert en onderdelen laat falen om te controleren hoe systemen reageren op dergelijke fouten en hoe ze van invloed zijn op de beschikbaarheid van het systeem. Het zal niet lang meer duren voordat dergelijke instrumenten bestaan in het cybersecurity domein om beveiligingsgaten te identificeren in systemen en het ontwikkelen van incidenten. Deze stellen bedrijven in staat om voortdurend te controleren en proactief eventuele beveiligingsproblemen in hun systeem aan te pakken.
Door: Dinesh Sharma, Chief Architect C- Digital Business en Rajamani Saravanan, Chief Architect en Head of Central Architecture Group (EU) bij Mindtree
