Zu den Maßnahmen gehört eine Kombination aus traditionellen und neuen Lösungen, die auf dem Prinzip der geringsten Privilegien basieren
In einem Szenario, in dem die Komplexität von Anmeldeinformationsdiebstahl und Betrug exponentiell zunimmt, ist der Schutz von Daten und digitalen Identitäten zu einem kritischen Thema für den Finanzsektor geworden. Einem Bericht des IWF zufolge waren Banken, Versicherungen und Vermögensverwalter in den vergangenen Jahrzehnten das Ziel von mehr als 20 Cyberangriffen, die zu Schäden von rund 12 Milliarden US-Dollar führten.
Immer ausgefeiltere Phishing-, Social-Engineering- und Anmeldeinformationskompromittierungspraktiken setzen Institutionen unter Druck, ständig in zusätzliche Sicherheitsebenen zu investieren. Eine aktuelle Studie des brasilianischen Bankenverbands (Febraban) hat die wichtigsten neuen Sicherheits- und digitalen Identitätstechnologien für den Finanzsektor aufgelistet, darunter Biometrie, Privacy-Preserving Computation (PPC) und Post-Quanten-Cybersicherheit.
In diesem Zusammenhang rückt auch das Thema Effizienz in den Fokus der Institutionen. „Robuste Sicherheitstools erfordern einen hohen Verarbeitungsaufwand. Daher müssen Lösungen entwickelt werden, die einen sicheren Betrieb ermöglichen, ohne die Benutzerfreundlichkeit zu beeinträchtigen“, sagt Armando Ferraz, Spezialist für den Zahlungssektor bei Kryptus, einem brasilianischen multinationalen Unternehmen für Verschlüsselung und Cybersicherheit.
Ferraz hebt die Fortschritte im Biometriebereich hervor, der sich von der einfachen Fingerabdrucküberprüfung zu Lösungen für Gesichts-, Iris- und sogar Verhaltenserkennung entwickelt hat. „Da biometrische Daten einzigartige Aufzeichnungen sind, macht die Technologie Passwörter überflüssig und verbessert das Benutzererlebnis, indem sie für mehr Sicherheit und Praktikabilität sorgt“, sagt er.
Obwohl Investitionen in neue Technologien zur Verbesserung der Perimeterschutzmaßnahmen und der Zugangskontrolle unerlässlich sind, vernachlässigen viele Unternehmen noch immer die eingeschränkte Nutzung der von ihnen intern verwalteten Daten, stellt der Experte fest. Er erklärt, dass eine ausschließlich auf externe Barrieren fokussierte Sicherheit nicht ausreiche, insbesondere bei administrativen Anmeldeinformationen. Es ist notwendig, den Datenverbrauch jedes einzelnen Berechtigungsnachweises zu begrenzen und eine datenorientierte Vision zu verfolgen, die mit einem Perimeterschutz kombiniert werden muss. Auf diese Weise ist das Schadenspotenzial selbst bei einem kompromittierten Zugriff geringer, da die Reichweite der Daten eingeschränkt ist.
Der Experte weist außerdem darauf hin, dass die große Sichtfläche ein hohes Risiko für die Sicherheit der Anmeldeinformationen darstellt. Viele Drittunternehmen haben Zugriff auf Informationen, und die Sicherheitsreife der Benutzer ist noch nicht ausreichend ausgeprägt, was sie anfällig für Betrug macht. Daher müssen die Anmeldeinformationen entsprechend den tatsächlichen Bedürfnissen des Administrators eingeschränkt werden. Anmeldeinformationen mit unbegrenzten Berechtigungen sind einer der Hauptangriffsvektoren, einschließlich Ransomware.
Basierend auf dem Prinzip der geringsten Privilegien kann die Datenanonymisierung mithilfe einer Software durchgeführt werden, die in der Lage ist, die Anmeldeinformationen und Zugriffsebenen jedes Benutzers zu klassifizieren und zu schützen. Zusammengefasst in einem Hardware-Sicherheitsmodul (HSM) werden die Daten auf allen Ebenen klassifiziert, verschlüsselt und geschützt. Dieser Ansatz stellt laut Ferraz nicht nur sicher, dass vertrauliche Daten für unbefugte Benutzer unzugänglich bleiben, sondern gewährleistet auch, dass die zu ihrem Schutz verwendete Verschlüsselung sicher verwaltet wird, wodurch das Risiko einer Kompromittierung minimiert wird.
Interne Datenschutzmaßnahmen müssen sich zudem an der Einhaltung gesetzlicher Anforderungen orientieren, beispielsweise an den Standards PSD2 und PCI DSS, die den Einsatz fortschrittlicher Authentifizierungs- und Verschlüsselungsmechanismen vorschreiben. und ISO/IEC 27701, das Richtlinien für die Verwaltung vertraulicher Informationen in Übereinstimmung mit der Datenschutz-Grundverordnung (LGPD) bereitstellt.
Auch die Post-Quanten-Cybersicherheit wird für den Datenschutz unverzichtbar, da Quantencomputer an Bedeutung gewinnen und herkömmliche kryptografische Methoden angreifbar machen. „Wir haben kürzlich die NIST CAVP-Zertifizierung erhalten, die unsere Fähigkeit bestätigt, Angriffen von Post-Quanten-Computern für das kNET HSM gemäß dem National Institute of Standards and Technology (NITS) standzuhalten. Das bedeutet, dass wir einen hybriden Ansatz gewählt haben, der traditionelle und Post-Quanten-Kryptografie kombiniert, um kontinuierlichen und langfristigen Schutz zu gewährleisten“, ergänzt Ferraz.
Andere aufkommende Technologien wie PPC, das Datenverarbeitung und -analyse unter Wahrung der Vertraulichkeit von Informationen durchführt; und die homomorphe Verschlüsselung, die Operationen an verschlüsselten Daten ermöglicht, ohne diese vorher entschlüsseln zu müssen, wird angesichts der neuen Herausforderungen im Bereich der Cybersicherheit für Banken und Zahlungsunternehmen ebenso wichtig sein.
„Der Finanzsektor muss einen proaktiven Cybersicherheitsansatz verfolgen und fördern, der neue und traditionelle Instrumente kombiniert, aber vor allem seine Mitarbeiter und Prozesse im Blick hat. Effektive und dauerhafte Sicherheit erfordert ein Umdenken und muss in den Institutionen selbst beginnen“, so sein Fazit.
Folgen Sie Kryptus auf Google News Quelle: RTM Der Finanzmarkt ist stärker ausgesetzt Lesen Sie mehr
Bild: RTM | Quelle: RTM Ein Gerät, das eine unzugängliche, manipulationssichere Umgebung schafft Lesen Sie mehr