Veckans panel svarar upp kring hur svenska bankers säkerhet står sig internationellt och vilka de värsta skurkarna är i sammanhanget.
”Det är mycket svårare att idag slå ut ett lands finansiella system”
Mest läst i kategorin
I förra veckan gick årets Folk och Försvar-konferens av stapeln. Mycket fokus ligger på de ökande cybersäkerhetshoten mot företag i Sverige, där inte minst banker och finansbolag är särskilt utsatta. Veckans panel svarar på upp kring hur säkra svenska banker egentligen är.
Bankerna behöver jobba mera med att förstå beroenden mellan systemen och hur systemen påverkar varandra.
Hasain Alshakarti, cybersäkerhetsrådgivare, svenska cybersäkerhetsföretaget Truesec:
Hur skyddar sig bankerna från attacker från främmande makt?
– Främmande makt har normalt väldigt god tillgång till resurser och en bra uthållighet att utföra sina attacker. Bankerna behöver helt enkelt öva mera cyberattack och cyberförsvar och inte bara fokusera på den klassiska bankrånaren eller bedragaren. Genom så kallade ”red team”- och ”blue team”-tester skaffar sig bankerna kunskaper om hur ett modernt cyberangrepp går till och vilka medel och metoder som finns för att upptäcka, hantera och stoppa sådan avancerade angrepp. En del banker gör detta idag och en del tittar på det och kommer att ”tvingas” göra det i och med att Riksbanken kommer att samordna cybersäkerhetstester inom ramen för EU:s Tiber-ramverk, ett ramverk för att hantera cyberhot inom finanssektorn.
Hur pass väl skyddade är bankerna idag?
– Komplexiteten i ett IT-system skapar en del utmaningar när det gäller säkerheten. Lägger man på den mänskliga faktorn blir ekvationen ännu mera komplex. Det som tidigare krävt fysisk närvaro går idag att i mångt och mycket utföra logiskt via ett IT-system. Det öppnar för en del intressanta diskussioner om nivån på skyddet. Bankerna behöver jobba mera med att förstå beroenden mellan systemen och hur systemen påverkar varandra och inte minst hur människorna som hanterar dessa system kan användas av olika aktörer.
Vilka är de största potentiella hoten?
– De flesta banker har fokuserat på att hantera risker kopplade till händelser i det monetära systemet. När pengarna inte är skyddade i valv med halvmetertjocka väggar, larm och lås utan finns i ett IT-system blir läget väldigt annorlunda. Det blir helt enkelt möjligt att förflytta pengar utan att behöva vara på plats hos banken. Det blir även möjligt att skapa instabilitet och oreda i det monetära systemet genom att till exempel störa tillräckligt många system.
Vilka luckor/svagheter har banker och andra finansiella bolag haft tidigare?
– Ett tydligt exempel är incidenten kring Swift i Bangladesh 2016, när hackare utnyttjade svagheter i det internationella system som hanterar finansiella transaktioner mellan banker, börshus och andra finansiella institutioner i hela världen. Swift har sedan dess jobbat med en rad olika åtgärder som bland annat isolering och skydd av alla komponenter som har koppling till Swift, reglering kring vilka tider och belopp som tillåts, krav på självskattning och externa tester av inblandade aktörer.
En stor hotbild mot bankernas kunder.
Oskar Ehrnström, säkerhetsexpert på det nordiska IT-tjänste- och konsultföretaget Tietoevry:
Hur skyddar sig bankerna från attacker från främmande makt?
– Banksektorn är särskilt utsatt för flera olika typer av hot, just på grund av verksamhetens art. De har den speciella positionen att de dels hanterar stora ekonomiska tillgångar, vilket gör dem till en måltavla för olika kriminella aktörer. Samtidigt är de en central samhällsfunktion, vilket gör dem till en måltavla för någon som vill försöka störa samhällsordningen. Utöver det är de självklart också exponerade mot alla de generiska hot som alla IT-intensiva organisationer är.
– För att skydda sig mot de mer avancerade hoten som bankerna utsätts för krävs i större utsträckning än i andra branscher kontinuerlig informationsinhämtning och kartläggning av hotbilden. Det är viktigt att ha tillgång till information som kan hjälpa till att stärka skyddet, och förebygga incidenter. Man behöver även lägga stor vikt vid härdning och elasticitet i infrastrukturen. Att snabbt upptäcka, åtgärda och återställa efter en händelse är viktigt för att upprätthålla förtroendet för det finansiella systemet.
Hur pass väl skyddade är bankerna idag?
– Bankväsendet är generellt väl rustade att hantera den hotbild som de verkar under. De svenska bankerna skiljer sig faktiskt en del mot övrigt näringsliv i Sverige i det att de sedan länge har legat långt framme när det gäller säkerhetstänkande i sin digitalisering. Självklart kan det skilja sig mellan de olika bankerna, särskilt om man jämför de riktigt stora mot de allra minsta. Att bygga upp och upprätthålla de cyberförmågor som en bank behöver för att skydda sig kräver stora investeringar i både teknologier, personal och processer, något som kan vara svårt för en liten verksamhet i vilken bransch som helst att finansiera.
Vilka är de största potentiella hoten?
– Utöver de direkta hoten mot den egna organisationen finns en stor hotbild mot bankernas kunder. Kriminella letar ständigt efter nya sätt att utnyttja svagheter i till exempel e-legitimationer, betalkort och online-banker, och när kunderna känner en hotbild kopplat till sina kontakter med banken skapar det en misstro och tveksamhet inför bankernas olika digitala initiativ. Kundernas förtroende är otroligt viktigt för bankens konkurrenskraft, vilket i förlängningen kan översättas till ökade eller minskade intäkter. Men i extrema fall kan en sådan misstro till och med komma att hota det ekonomiska systemet, och därmed också samhällsordningen.
Vilka luckor/svagheter har banker och andra finansiella bolag haft tidigare?
– Jag skulle inte vilja säga svagheter, utan snarare utmaningar. Så länge som banker funnits, så har ett huvudansvar varit att säkerställa så att rätt person har tillgång till rätt resurser. I takt med att vårt sätt att konsumera bankernas tjänster har förändrats, så har utmaningarna med tillgängligheten också förändrats. Men att autentisera person är och förblir en av de viktigaste funktionerna för en bank.
Annan reflektion kring ämnet?
– Ett lands finansiella system är en grundläggande komponent i dess samhällsstruktur, och om någon vill störa samhällsstrukturen så är en attack mot bankväsendet ETT sätt att lamslå ett samhälle. Dock så har globaliseringen fört med sig att riskerna i de ekonomiska strukturerna spritts ut på den globala marknaden, vilket innebär att sårbarheten för varje enskilt samhälle minskat betydligt jämfört med tidigare. Det är ur det perspektivet alltså mycket svårare att slå ut ett lands finansiella system idag, vilket således också gör det till ett mindre attraktivt mål för den typen av hot.
Det största faktiska problemen är ”teknisk skuld” och förmågan att behålla kontroll.
Peter Hansen, informationssäkerhetskonsult på den globala konsultjätten Capgemini:
Hur skyddar sig bankerna från attacker från främmande makt?
– Det finns definitivt grupper som har stöd från regeringar, exempelvis APT41, och det finns en uppenbar anledning till att banker inkluderas i NIS-direktivet som samhällsviktig funktion. Löpande hotbildsanalys (threat intelligence), inklusive exempelvis darkweb, och transparens mellan bankerna är väldigt viktigt då tillvägagångssätten ständigt ändras. Man ska inte heller begränsa hotbildsanalysen till det egna landet då landsgränserna inte finns för de som genomför attackerna.
Hur pass väl skyddade är bankerna idag?
– Bankerna har både regulatoriska krav och lagkrav samt en historik av att de måste vara säkra och ha kontroll på sin verksamhet, så generellt sett är de bra rustade. Det största faktiska problemen är ”teknisk skuld” (gammal teknik som fortfarande används) och förmågan att behålla kontroll. Det samtidigt som verksamheten ständigt driver utveckling och vidareutveckling av nya kanaler mot slutkunder.
Vilka är de största potentiella hoten?
– Rörande ”främmande makt” så vet vi att exempelvis APT41 även fokuserar på finanssektorn. Man ska dock inte glömma att bortsett från APT-grupperna så kan det finnas intresse att störa ett lands ekonomi alternativt vara förberedd på att kunna göra det. Volymmässigt tror jag däremot inte att aktiviteter med stöd av främmande makt är dominerande jämfört med andra grupper. Angriparna har ändrat ”modus operandis” och de kontaktytor som kan användas ökar. Exempelvis brist på kontroll och förståelse i samband med flytt till molnbaserad infrastruktur eller så kallade dockers.
Vilka luckor/svagheter har banker och andra finansiella bolag haft tidigare?
– Generellt skiljer de sig inte mycket åt från andra branscher. Företag och verksamheter har gått från att ha fokus på fysisk säkerhet till att digitalisera och göra sin verksamhet mer eller mindre tillgänglig dygnet runt. Omställningen har tagit tid och det finns fortfarande mer att göra.
Annan reflektion kring ämnet?
– Det fysiska skydd som tidigare fanns följer inte alltid med som motsvarande logiskt skydd i de nya lösningarna. Detta blir ofta tydligt med gamla system som kör vidare i bakgrunden där man bygger API-lager för att modernisera användandet. Ett exempel är information som tidigare fanns i en pärm som förvarades i ett skåp numera digitaliserad, men finns det samma restriktioner på vem som kommer åt den och sker det uppföljning regelbundet så detta inte ändras? Grundpremisserna och ägandeskap av information måste säkerställas.
PSD2 ökar risken för informationsläckage om kundrelationer.
Kalle Zetterlund, teknikchef på det svenska cybersäkerhetsföretaget Sentor:
Hur skyddar sig bankerna från attacker från främmande makt?
– I vår erfarenhet ligger inte svenska bankers fokus på attacker från främmande makt. Detta är också rimligt, för även om det senaste året har visat på en uppgång i attacker från statligt finansierade grupper mot banker så har dessa riktat sig mot underutvecklade länder.
Hur pass väl skyddade är bankerna idag?
– I jämförelse med många andra branscher står sig de svenska bankerna relativt väl mot de hoten som de själva ser. De ligger inte i den yttersta utkanten av utvecklingen, men det är sällan där de har signifikanta säkerhetsvinster att göra.
Vilka är de största potentiella hoten?
– De flesta attacker mot svenska banker sker i formen av bedrägerier och skadlig mjukvara riktad mot kunderna. Därutöver ser man emellanåt mer lyckade överbelastningsattacker. I förlängningen blir detta ett förtroendeproblem, men inget som drar några större kostnader i sammanhanget. Med nya lagstiftningar som PSD2 tvingas bankerna lämna ut mer information om sina kunder till tredje part, vilket ökar risken för informationsläckage om kundrelationer.
Vilka luckor/svagheter har banker och andra finansiella bolag haft tidigare?
– Runt om i världen har många allvarliga brister uppdagats som möjliggjort direkta ekonomiska stölder; gruppen Carbanak misstänks till exempel ha kommit över åtskilliga miljarder kronor från olika finansiella institutioner. I Sverige har relevanta brister huvudsakligen åtgärdats innan angripare hunnit åstadkomma någon egentlig skada.
Annan reflektion kring ämnet?
– Variationen i säkerhetsarbetet mellan olika banker är väldigt stor om man jämför internationellt. Banker i Sverige jobbar oftast taktiskt med säkerhet, där man lägger tid och resurser på de saker man ser ger effekt idag. Mer ovanligt är att man funderar över hur säkerhetsområdet kan komma att se ut i framtiden, men det är väl kanske inte heller deras sak att göra.