Proč banky přecházejí na moderní přístup ke kybernetické bezpečnosti – na model s nulovou důvěrou (Zero Trust)
Mnoho bank při ochraně dat před útoky nadále spoléhá na metodu „hradního příkopu“ – tedy na „perimetrické zabezpečení“. Podobně jako naši předci chránili středověké hrady kamennými hradbami, příkopy a bránami, investují banky využívající perimetrickou ochranu do opevňování hraničních částí svých sítí, a to formou firewallů, proxy serverů, pastí typu „honeypot“ a dalších nástrojů, které mají zabránit proniknutí. Perimetrické zabezpečení chrání vstupní a výstupní body v síti tím, že ověřuje datové pakety a identitu uživatelů, kteří vstupují do sítě organizace nebo z ní odcházejí, a pak se už předpokládá, že aktivity uvnitř chráněného perimetru jsou relativně bezpečné.
Progresivně uvažující finanční instituce však v současnosti toto paradigma opouštějí a zavádějí moderní přístup ke kybernetické bezpečnosti – model s nulovou důvěrou (Zero Trust). Ústředním principem této nulové důvěry je, že se standardně nedůvěřuje nikomu – ať jde o interní, nebo externí osobu – a před udělením přístupu se vyžaduje striktní ověření každého uživatele nebo zařízení.
Hradní perimetr je pořád důležitý, ale místo přilévání dalších a dalších investic do silnějších hradeb a hlubších příkopů se prostřednictvím modelu s nulovou důvěrou uplatňuje nuancovanější přístup ke správě přístupu u jednotlivých identit, množin dat a zařízení uvnitř příslovečného hradu. Ať už jde o insidera, který jedná zlomyslně či nedbale, nebo maskovaného útočníka, kterému se podařilo proniknout hradbami, nepodaří se mu automaticky získat přístup k datům.
Limity metody „hradního příkopu“
V kontextu současného zabezpečení firemního digitálního prostředí vykazuje metoda „hradního příkopu“ kritické nedostatky, protože s příchodem kyberhrozeb se změnila podstata potřeb v oblasti celkové ochrany. Velké organizace včetně bank se musejí vypořádat s rozptýlenými sítěmi, ve kterých zaměstnanci, zákazníci a partneři přistupují k datům a aplikacím místně i online. To obranu vnějších hradeb, jak jsme ji popsali výše, zásadně ztěžuje. A i když hradní příkop dokáže efektivně odrážet nepřátele zvnějšku, nedokáže si dost dobře poradit s uživateli, jejichž identita byla narušena, a s jinými hrozbami, které číhají uvnitř hradeb.
Níže uvedené postupy představují zásadní riziko, ale u bank, které uplatňují metodu „hradního příkopu“, jsou naprosto běžné:
- Revize přístupových práv zaměstnanců k aplikacím jednou za rok
- Nejednoznačné a nekonzistentní zásady přístupových práv závisející na uvážení jednotlivých vedoucích a nedostatečné zásady správného řízení při přesunech zaměstnanců
- Nadužívání účtů s oprávněními správce ze strany oddělení IT
- Ukládání zákaznických dat v mnoha sdílených složkách bez dostatečného přehledu, kdo k nim má přístup
- Nadměrné spoléhání na hesla při ověřování uživatelů
- Nedostatečná klasifikace dat a vytváření přehledů jejich rozmístění
- Časté používání USB flash disků k přenosům souborů s velmi citlivými daty
Jaké možnosti dává bankéřům a zákazníkům model s nulovou důvěrou
Přínosy řešení s nulovou důvěrou jsou dobře zdokumentované a neustále přibývají příklady z reálného světa, které dokládají, že tento model mohl v minulosti znemožnit řadu sofistikovaných kyberútoků. Spousta bank se však i dnes drží postupů, které se od zásad s nulovou důvěrou odchylují.
Zavedení modelu s nulovou důvěrou znamená kvalitativní skok v úrovni zabezpečení, díky čemuž se banky mohou s větší jistotou pustit do podpory iniciativ, které zaměstnancům a zákazníkům přinesou větší flexibilitu. Vedení banky může mít například zájem odpoutat zaměstnance, kteří jednají přímo se zákazníky (například manažery obchodních vztahů nebo finanční poradce), od jejich pracovních stolů, aby se mohli s klienty setkávat mimo prostory finančního ústavu. Mnoho finančních institucí v současnosti tuto mobilitu zajišťuje pomocí analogových nástrojů, jako jsou papírové výtisky nebo statické přehledy prezentované v rámci poradenství. Ovšem jak zaměstnanci banky, tak i zákazníci dnes již očekávají dynamičtější pomůcky a materiály využívající data v reálném čase.
Banky, které využívají metodu „hradního příkopu“, velmi váhají se zpřístupněním dat mimo vlastní fyzickou síť. V takovém případě mohou jejich bankovní a finanční poradci využívat dynamické modely osvědčených a propracovaných investičních strategií jen v případě, že schůzky s klienty probíhají na půdě banky.
Historicky bylo pro bankéře nebo finanční poradce na cestách obtížné sdílet aktualizace modelů v reálném čase nebo aktivně spolupracovat s jinými bankéři nebo obchodníky – tedy přinejmenším pokud nepoužívali sítě VPN. A přitom je tato flexibilita důležitou součástí kvalitního investičního rozhodování a spokojenosti zákazníků. V modelu s nulovou důvěrou může manažer obchodních vztahů nebo analytik kdykoli a kdekoli využívat informace od poskytovatelů tržních dat, syntetizovat je s vlastními modely a dynamicky jednat v různých klientských scénářích.
Dobrou zprávou je, že nadchází nová éra inteligentního zabezpečení – využívající cloud a architekturu s nulovou důvěrou – a tento způsob ochrany dokáže zefektivnit a modernizovat procesy zabezpečení a dodržování předpisů u bank.
Microsoft 365 pomáhá transformovat bankovní zabezpečení
Microsoft 365 dává bankám možnost okamžitě uskutečňovat kroky směrem k zabezpečení s nulovou důvěrou, a to zavedením 3 klíčových strategií:
- Identita a ověření: V první řadě se banka potřebuje ujistit, že uživatel je tím, za koho se vydává, a pak mu poskytnout přístup podle jeho role. Díky službě Azure Active Directory (Azure AD) mohou banky využívat jednotné přihlašování (SSO), jehož prostřednictvím umožní ověřeným uživatelům, aby se k aplikacím připojovali odkudkoli – díky tomu budou mít mobilní zaměstnanci zabezpečený přístup k prostředkům bez negativního vlivu na jejich produktivitu.
Banky také mohou nasazovat silné metody ověřování, jako je například dvojúrovňové nebo bezheslové vícefaktorové ověřování (MFA), které dokáže snížit riziko neautorizovaného proniknutí až o 99,9 %. Microsoft Authenticator podporuje nabízená oznámení, jednorázová hesla a biometriku u jakékoli aplikace, která je připojená k Azure AD.
U zařízení s Windows mohou bankovní zaměstnanci využívat Windows Hello, což je zabezpečená a pohodlná funkce pro rozpoznávání obličeje při přihlašování k zařízení. A konečně, banky mohou k ochraně prostředků před podezřelými požadavky využívat podmíněný přístup k Azure AD, a to uplatněním odpovídajících zásad přístupu. Služby Microsoft Intune a Azure AD společně zajišťují, aby se ke službám Office 365, včetně e-mailu a místních aplikací, dostaly jenom spravovaná a podmínky splňující zařízení. Pomocí Intune můžete také vyhodnotit stav dodržování předpisů u zařízení. Zásady podmíněného přístupu se vynucují v závislosti na stavu dodržování předpisů v době, kdy se uživatel o přístup k datům pokusí.
Ilustrace podmíněného přístupu
- Ochrana před internetovými útoky: Microsoft 365 dává bankám možnost zvýšit svou schopnost chránit se, detekovat útoky a reagovat na ně díky integrovanému a automatizovanému zabezpečení v rámci Microsoft Threat Protection. Toto řešení využívá jednu z nejrozsáhlejších databází signálů hrozeb na světě, Microsoft Intelligent Security Graph, a pokročilou automatizaci na bázi umělé inteligence (AI). Tím se zdokonaluje identifikace incidentů zabezpečení a reakce na ně, takže týmy dokážou hrozby řešit přesně, efektivně a rychle. Centrum zabezpečení Microsoftu 365 nabízí centralizovaný portál a specializovaný pracovní prostor umožňující spravovat a plně využívat inteligentní řešení zabezpečení v rámci Microsoftu 365 ke správě identit a přístupu, k ochraně před hrozbami, k ochraně informací a ke správě zabezpečení.
Centrum zabezpečení Microsoftu 365
- Ochrana informací: Kyberútoky sice primárně směřují na identity a zařízení, což jsou slabá místa v zabezpečení, ale jejich konečným cílem je získání dat. Díky službě Microsoft Information Protection mohou banky zvýšit ochranu citlivých informací – v klidovém stavu i při přenosech. Microsoft 365 umožňuje zákazníkům 1) identifikovat a klasifikovat citlivá data, 2) uplatňovat flexibilní zásady ochrany a 3) monitorovat ohrožení citlivých dat a tyto rizika řešit.
Příklad scénáře s klasifikací a ochranou
Zjednodušení správy zabezpečení díky metodě s nulovou důvěrou
Microsoft 365 pomáhá zjednodušit správu zabezpečení v moderní architektuře s nulovou důvěrou, přičemž využívá celkovou viditelnost, možnost škálování a inteligenci nutnou k boji s kybernetickou kriminalitou.
Až budete zvažovat možnosti ochrany svého moderního „hradu“, nezapomeňte, že prostředí s nulovou důvěrou je optimálním řešením z hlediska dnešních kybernetických hrozeb. Uplatňuje se v něm okamžitý dohled nad tím, kdo přistupuje k čemu, kam a kdy – a jestli vůbec má mít přístup.
Funkce pro zabezpečení a dodržování předpisů v Microsoftu 365 pomáhají organizacím ověřit důvěryhodnost uživatele nebo zařízení. Microsoft 365 nabízí i kompletní řešení pro týmovou práci a produktivitu. Shrnuto a podtrženo, Microsoft 365 nabízí ucelené řešení, díky kterému se vedení banky může zaměřit na zákazníky a inovace.