Mint Securityssä olemme kaikki tavalla tai toisella olleet finanssialan kanssa tekemisissä – ostajina, myyjinä ja asiantuntijoina. Seuraamme edelleen finanssialaa silmä tarkkana. Erityisen mielenkiinnon kohteena on finanssiala ja tietoturva – ilmeisistä syistä. Tämä blogi on tarkoitettu läpivalaisuksi juuri nyt ajankohtaisista finanssialan ja tietoturvan asioista. Olemme lukeneet sivutolkulla materiaalia, ja tässä kiireiselle lyhyt yhteenveto sekä viittaukset lähdemateriaaleihin. Jos kiireiden keskellä sattuisi löytymään aikaa tutustua vähän pitkällisemminkin asiaan.
Varautuminen ja "kyberresilienssi"
Miten hyvin yritykset ovat varautuneet tietoturvauhkiin ja miten ne toipuvat vakavista tietoturvahyökkäyksistä, kuten esim. palvelunestohyökkäys, tietomurto tai laaja ja vakava trollaus. Kyse on useimmiten IT-infraan liittyvä ja sellaisena se myös käsitellään yleisesti keskustelussa. Kyse on kuitenkin myös organisaation itsensä kyvystä sietää ja toipua vakavasta tietoturvahyökkäyksestä. Viimeisin julkisuuteen kerrottu palvelunestohyökkäys kohdistui eduskuntavaalien tulosten raportointiin tarkoitettuun verkkopalveluun. Muistissa on varmaan OP:n ja Nordean verkkopalveluihin kohdistuneet palvelunestohyökkäykset.
Kyberresislienssi (cyber resilience) onkin erityisen tärkeää, kun kyse on yhteiskunnan kannalta kriittisistä palveluista kuten pankeista, vakuutuslaitoksista ja muista finanssialan toimijoista.
Cyber resilience on termi, jolla tarkoitetaan yrityksen kykyä sietää ja toipua kyberhyökkäyksestä. Suomennos kyberresilienssi ei kuulosta kovin hyvältä suomenkieleltä, mutta parempaa ei ole tarjolla.
Finanssivalvojat eivät ehdota laajamittaista ja yhtenäistä - reguloitua - testaamista
Euroopan komissio julkisti FinTech -toimintasuunnitelman maaliskuussa 2018. Suunnitelmaan liittyen komissio pyysi Euroopan finanssialan (pankkitoiminta, sijoittaminen ja vakuutus) valvontaviranomaisia arvioimaan yhtenäisen kyberresilienssin testauksen kustannuksia ja hyötyjä.
Lausunnossaan Euroopan finanssivalvonnan ylimmät viranomaiset (EBA, EIOPA ja Esma) eivät ole innostuneita finanssialan toimijoiden kyberresilienssin testauksen käyttöönottoon ainakaan lyhyellä aikavälillä. Euroopan valvontaviranomaiset toteavat, että testauksella olisi selkeitä etuja, mutta ensinnäkin finanssitoimialojen välillä on eroja ja toiseksi toimialojen sisällä olevien yritysten välillä on merkittäviä eroja kyberturvallisuuden kypsyydessä, mikä tarkoittaa käytännössä, että kaikille sopivan lähestymistavan toteuttaminen olisi lyhyellä aikavälillä vaikeaa. Lyhyesti one size DOES NOT fit all.
Sen sijaan Euroopan valvontaviranomaiset ehdottavat keskittymistä kyberresilienssin vähimmäistasoon eri aloilla, jotka olisivat oikeassa suhteessa toimijoiden tarpeisiin ja ominaisuuksiin. Lausunnossa todetaan, että erityisesti uhkalähtöisten penetraatiotestien EU-tasoisesta koordinoinnista voisi olla hyötyä.
Viranomainen haluaa mittareita ja uhkalähtöisyyttä
Valvontaviranomaiset viittaavat lausuntokierroksella olleeseen EBAn tietoturvaohjeiston uuteen versioon, jossa finanssialan toimijoiden edellytetään tekevän tietoturvan tasoa mittaavia toimenpiteitä, kuten läpikäyntejä ja testausta, jotta haavoittuvuudet ICT-järjestelmissä ja -palveluissa voitaisiin havaita riittävän nopeasti ja tehokkaasti. Toimenpiteinä mainitaan mm. lähdekoodin tarkastukset, tunkeutumistesti (”pentest”) ja ns. Red Team -hyökkäykset.
Viranomainen haluaa vapaaehtoisuutta ja vähän lainsäädäntöä
Lausunnossa ehdotetaan vapaaehtoista EU:n laajuista testauskehystä yhdessä muiden ao. viranomaisten kanssa. Lisäksi lausunnossa huomautetaan, että useat EU:n jäsenmaat ovat jo ottaneet käyttöön tai ovat ottamassa käyttöön kyberresilienssitestejä, jotka perustuvat toimialasta riippumattomaan TIBER-EU -kehikkoon.
Lausunnossa kehotetaan tehostamaan tapausraportointia koko rahoitusalalla ja ehdotetaan myös lainsäädännöllistä lähestymistapaa kriittisten kolmansien osapuolten palveluntarjoajien toiminnan valvomiseksi. Valvontaviranomaisten näkökulmasta ne tarvitsevat lisää juridista pohjaa ja valvonnan työkaluja.
Käytännössä asioita testataan jo nyt - Suomi erinomaisena esimerkkinä
Finanssialan toimijat voivat myös itsenäisesti testata omien toimintojensa kyberresilienssiä. Tästä on esimerkkinä LähiTapiola, joka järjesti alkuvuonna palvelunestohyökkäyksen testatakseen omien verkkopalveluidensa toimivuutta. LähiTapiolan tietoturvasta vastaavan johtaja Leo Niemelän mukaan tällaisen harjoituksen isoin oppimiskäyrä liittyy siihen, miten pystytään tekemään muutoksia palveluihin täysin oikeaa palvelunestohyökkäystä vastaavassa tilanteessa. Niemelä suosittelee vastaavia harjoituksia myös muille, sillä tällä tavoin saadaan arvokasta oppia palvelujen toiminnasta oikean hyökkäyksen alla.
Palvelunestohyökkäys on tietenkin vain osa kokonaisuhasta johon pitää varautua. Perinteiset tietoturvan kontrollit on käytännössä kaikilla finanssialan toimijoilla, erityisesti suurilla toimijoilla eli pankeilla Suomessa käytössä. Lisäksi käytetään myös ei-perinteisiksi katsottavia menetelmiä kuten Bug Bounty -ohjelmia.
Viitteet ja lähteet
- Valvontaviranomaisten lausunto
- Nykyiset EBAn tietoturvaohjeet
- Lausuntokierroksella olleet EBAn päivitetyt tietoturvaohjeet
- TIBER-EU
- EU: FinTech action plan