Blogg

SaaS och säkerhet inom finansorganisationer

Microsoft Office 365 är en av huvudpelarna för många finansorganisationer och myndigheter. Därför behandlar och lagrar dessa verksamheter en stor mängd känslig data med hjälp av Microsoft. Men tyvärr kan det vara så lätt som att en enda illvillig inloggning kan riskera stora mängder information.

Och när data läcker så följer kaos. Datainspektionen noterade en ökning på 30 % i antalet anmälningar från 2018 till 2019. Om samma trend har fortsatt till 2020 kan det innebära att det över 100 anmälningar för personuppgiftsincidenter kommer in per vecka. Och förstås så drabbas även storföretag.

Organisationers Office 365-tenanter är många gånger proppfulla med värdefull information som cyberkriminella gärna skulle lägga vantarna på och sälja vidare. Och det finns många sätt att komma åt data; att hacka mejlkonton, inloggningar med onda uppsåt, dataläckage, virus och malware från bifogade filer. Och åtkomst till en tenant-administratörs konto kan bokstavligt talat sabotera hela tenanten.

Att skapa och bibehålla hög säkerhet är svårt – men att falla offer för cyberkriminalitet är långt mycket värre.

Var finns hoten?

Den ökade andelen distansarbete i spåren av COVID-19 tillsammans med de tekniska framsteg som görs kräver mer av dagens säkerhetslösningar. Vardagsrum har plötsligt blivit kontor med mycket information som behöver finnas åtkomlig. Men datan måste på samma gång vara säkrad. Om det går mot ett nytt normalläge med ökad flexibilitet för distansarbete, hur kan känslig information fortsätta hållas säker?

Enligt Financial Services Forum ökar hoten och anfallen mot finansorganisationer. Under 2019 utsattes 93 % av organisationer inom finanstjänstesektorn för cyberanfall. De främsta anledningarna till intrång enligt Verizon är:

  • Hackning (48 %)

Om ett system har en svag länk så kommer hackare till slut att hitta den. Dessa svaga punkter kan alltså användas för att få åtkomst till känslig information eller för att initiera fler anfall.

  • Skadliga programvaror (30 %)

Skadlig programvara har ofta som syfte att invadera, skada eller förstöra. Datorer, IT-system, nätverk, plattformar för dokumenthantering, virtuella datarum, surfplattor, mobila enheter, och mer kan utsättas. Skadliga programvaror kan ta kontroll över en enhet och skicka information, helt utan användarens vetskap.

  • Mänskligt felande (17 %)

Ibland uppstår fel. Ett felskickat e-postmeddelande är sällan menat som en ondsint handling, men det kan ändå leda till försämrad säkerhet. Och det kan vara ett första steg som till slut leder till ett intrång.

  • Social manipulering (17 %)

Den här typen av intrång baseras på manipulation av en användare. Det används för att användaren ska luras till att utföra osäkra handlingar eller dela känslig information – utan att personen själv inser det.

  • Privilegiemissbruk (12 %)

Den här typen av missbruk kretsar kring att användare kan missbruka information eller ignorera regler. Det kan ta formen av att kopiera och klistra in data på olämpliga ställen, eller att dela skärminnehåll som andra inte bör ta del av.

Roten i problemet

Många organisationers IT-system är mångfacetterade och komplexa. Det medför att risken för säkerhetshål ökar som följd av den höga komplexiteten. Forbes noterade att 35 % av alla hackningar sker mot organisationer inom finanssektorn.

Attackerna mot banker, myndigheter och andra organisationer som hanterar känsliga uppgifter tar aldrig slut. Vanson Bourne utförde en undersökning bland 100 beslutsfattare vid finansorganisationer i Storbritannien. 70 % av de tillfrågade uppgav att de hade haft säkerhetsincidenter under det senaste året. Som den vanligaste anledningen till incidenter listades att de anställda inte följde säkerhetsriktlinjerna eller rutinerna för dataskydd.

Och det är inte det värsta. Finansorganisationer löper dessutom 300 gånger större risk att utsättas för cyberanfall, uppger Boston Consulting Group. Som ett resultat av det kostar det mer för banker och förmögenhetsförvaltare att hantera IT-angrepp och dess konsekvenser än för andra typer av organisationer i andra sektorer.

Aviseringsutmattning

De flesta organisationer har säkerhetshantering och övervakning i olika typer av verktyg. Problemet är att det leder till ett högt antal incidentaviseringar för en förhållandevis låg mängd incidenter. Bara en bråkdel av de faktiska aviseringarna räcker för att anställda ska uppleva överbelastning. Vidare har säkerhetspersonal från MasterCard har rapporterat att upp till 460 000 incidenter aviseras – varje dag. Det är en ökning med 70 % jämfört med bara ett år tidigare.

I en rapport från Ovum noterades att cirka 40 % av banker mottog i snitt 160 000 felaktiga onödiga eller felaktiga meddelanden per dag. En av anledningarna till den höga mängden meddelanden uppges vara känsliga säkerhetssystem. Det kombinerat med att 73 % av de tillfrågade bankerna använde över 25 olika säkerhetsprogramvaror gör att det kan bli svårt att sålla i den stora mängden larm som kommer.

Organisationsstrukturen är en annan del av utmaningen

IT-avdelningar är ofta medvetna om faran som hackare innebär, men beslutsfattare delar inte alltid den synen. Ibland beror det på budgetbegränsningar, ibland på okunskap. Oavsett så blir resultatet att risken för cyberangrepp ökar.

Enligt Security Magazine så har säkerhetsfrågan lägre prioritet än compliancefrågor eller kundnöjdhet. Ledningsgrupper för mindre organisationer tänker ofta att deras information inte är värt ansträngningen för en hackare, menar Security Magazine. Det leder därför till stora säkerhetshål och ett förhållningssätt som innebär högre risk för organisationen – eftersom det grundas i en felaktigt låg prioritering av säkerhet.

Att ta IT-säkerhet på allvar kräver mognad

Organisationen Deloitte har definierat fyra nivåer för hur de ser och bedömer IT-mognaden inom en organisation. Det kan användas som en klassificering för att indikera hur välfungerande en organisations säkerhetsprofil är:

  • Delvis skyddad

I organisationer som faller in under den här kategorin så har rutiner inte tydliggjorts. Riskhantering sker på ett reaktivt sätt.

  • Informerad

Den här kategorin gäller organisationer där ledningen har etablerat rutiner för riskbedömning och -hantering. Dessa rutiner utövas dock inte genomgående i organisationen.

  • Upprepande

Här har rutiner för riskbedöming och -hantering formellt uttrycks, och används genomgående i organisationen.

  • Anpassande

I den högsta nivån av IT-mognad anpassar en organisation sina säkerhetsrutiner kontinuerligt. De baseras på tidigare och pågående åtgärder och erfarenheter.

Försiktigheten i fokus

Att ha IT-miljön lokalt eller i molnet innebär olika typer av överväganden. Men organisationer inom finanssektorn är ofta mer tveksamma till att flytta till molnet och med att komma igång med mjukvaror som tjänst, förkortat SaaS (Software-as-a-Service).

Delvis kan on-premise-lösningar uppfattas som tryggare, och delvis kan kontrollen uppfattas som högre. Men rent säkerhetsmässigt är dock inte det ena uteslutande bättre än det andra, så att säga att on-premise är säkrare än SaaS-tjänster och molnlagring är ett föråldrat tankesätt. Några av svårigheterna med att flytta från en lokal IT-miljö till molnet är:

  • Compliance

Att möta krav och undvika böter är annorlunda i en SaaS-miljö. Andra steg krävs för att datan ska vara säkrad.

  • Slutanvändaråtkomst och autentisering

För organisationer med känslig information är det extremt viktigt att ha koll på vilka användare som har åtkomst till vilken information. Det gäller att samla all inloggnings- och användningsinformation bland anställda, partners och externa användare.

  • Kontrollen av data

Kontroll är kritiskt viktigt för en organisation som behandlar känsliga uppgifter. Det gäller att alltid ha full översikt över informationen. Att byta till SaaS innebär ett skifte från befintliga säkerhetsrutiner, vilket kan uppfattas som ett hinder.

  • Säkerhetshål

När data har läckt från banker och myndigheter blir det inte sällan förstasidesrubriker och långa reportage. Stulen data skadar allvarligt både organisationer och deras anseende. För att inte tala om de som berörs av den läckta informationen. Osäkerheten inför en ny IT-miljö kan därför också sätta stopp.

Kostnadsaspekten: SaaS mot On-Premise

Det är vanligt för organisationer att flytta till molnet för att spara pengar. Det är däremot inte per automatik som det innebär en kostnadssänkning att byta från en on-premise-lösning. Den tekniska utvecklingen sker så snabbt att inköps- och underhållskostnader kan hållas låga även vid en lokal IT-lösning. Med det sagt så är flexibiliteten med molntjänster högre, och uppstartskostnaderna ofta lägre jämfört med on-premise-alternativ.

Det som en SaaS-lösning ofta gör är att omfördela kapital inom organisationen. Från att snarare handla om kapitalkostnader så blir det snarare en fråga om driftkostnader. Och det finns goda möjligheter att sänka den totala summan kostnader, men det förutsätter förståelse för vilka utgifter som finns och var de kommer från. För en SaaS-lösning som till exempel Office 365 så gäller det att veta vilka användare som behöver vilka licenser. Det kan göras genom att aktivt analysera tenantens användning, och att utifrån det optimera licensvalen.

Inom finansvärlden finns en förknippad osäkerhet gentemot SaaS. Men eftersom mjukvaror som tjänst inte traditionellt sett är lika etablerat som on-premise-lösningar så finns ingen direkt utstakad väg att ta. Därför behövs garantier och betryggande alternativ som försäkrar fördelarna men samtidigt minimerar nackdelarna.

Kostnaderna för finans- och myndighetsorganisationer som begår säkerhetsmisstag kan bli mycket höga. Det kan leda till både att ryktet störtar men även höga böter. Det kan till och med få hela organisationer att tvingas lägga ner.

En rekommendation för kostnadsöversikt

Att använda en anpassad SaaS-hanteringsplattform för att samla information om en SaaS-tjänst gör det lättare att optimera licensanvändningen. Licenser kan både anpassas och sägas upp i en sådan plattform, och hanteringen av tjänsten kan både förenklas och förtydligas. Eftersom användningen av tjänsten analyseras så kan både möjligheter och risker lättare identifieras.

Av både kostnadsmässiga och säkerhetsmässiga skäl bör före detta anställda offboardas så fort som möjligt. Efter att den anställde lämnat så kan sådana åtgärder kan enkelt hanteras i ett SaaS-hanteringsgränssnitt. Kontakta oss för att få en demo för att se hur det kan se ut.

När IT-strukturen utgör ett hot

Eftersom eftertraktad information finns i SaaS-applikationer så krävs hög säkerhet för att undvika cyberanfall och hackare. I fallet för Office 365 ligger majoriteten av konfidentiell data i olika typer av Office-dokument.

Det finns huvudsakligen två säkerhetsrisker i en organisations IT-miljö. Det är dels användarna, alltså organisationens anställda. Men även själva IT-miljöns arkitektur behöver utvärderas.

Att utan vidare lita på andra inom IT kan vara förrädiskt. Många gånger får användare fler åtkomstbehörigheter än de behöver. Det innebär alltså att fler har tillgång till känslig information, exempelvis personuppgifter eller annan konfidentiell företagsinformation. Enligt en undersökning av Cyber-Ark spionerar runt en tredjedel (35 %) av alla med omfattande IT-åtkomst på andra inom organisationen.

Enligt Verizons rapport Data Breach Investigation Report så kommer 6 % av IT-anfall från utvecklare inom organisationen. Även 6 % av anfallen visades ha begåtts av IT-administratörer. Många av dessa överträdelser orsakades av behörighetsmissbruk. Det betonar vikten av att kontinuerligt se över rutinerna runt användares behörigheter och rättigheter.

En rekommendation för att motverka hot

En bra utgångspunkt är att anamma en rollbaserad åtkomstkontroll, eller RBAC (role-based access control). Det innebär att alla användare, även IT-administratörer, enbart har de behörigheterna som krävs för att utföra arbetsuppgifterna. En (för administratörerna oåtkomlig) logg för allt som användarna gör är också ett sätt att kunna undersöka misstänkt aktivitet.

Om anställda utgör hotet

Verizons rapport Data Breach Investigation Report noterade att 14 % av dataläckor skedde till följd av aktivitet inom organisationen. Eftersom anställda redan finns i systemet så kan de innebära större risker än många utomstående – och det är något som behöver beaktas.

För att vara trygg behövs en helhetssyn på säkerhet. Det inkluderar möjligheten att notera och åtgärda risker specifika för Office 365. En helhetsöversikt på tenanten och aktiviteten däri är en avgörande del.

Verizon rekommenderar IT-avdelningar att implementera strikta behörighets- och åtkomstkrav, och ger förslaget att notera vilka roller som behandlar särskilt känsliga uppgifter och ha en process för att kunna undersöka aktiviteten inom dessa roller.

Rekommendationer för att motverka IT-missbruk

Hur kan då cyberintrången minskas och minimeras? En lösning som kan vara lättare sagd än gjord är att se till att organisationens säkerhetsprogram är uppdaterade. Det gör att svagheter i systemet inte lika lätt kan utnyttjas av hackare. Att regelbundet göra riskanalyser med fokus på hur data delas inom organisationen är en bra början. Det gör att säkerheten kan byggas in i de arbetsflöden som finns för att hålla dokumenthanteringen säker.

Kartläggningen av risker bör analysera IT-klimatet både internt och externt. Att höja säkerheten är endast effektivt när riskerna har blivit konkreta. Att skapa ett överblickande gränssnitt kan göras i Microsoft-miljön av Microsoft-verktyg, helt utan att tredjepartsplattformar behöver introduceras.

Även om den spontana associationen till cyberkriminalitet leder till tanken till externa hot, så kan även personer inom en organisation utgöra en risk. Det kan ske via social ingenjörskonst och uppstå från ilska eller hämndbegär. I vissa fall kan personer till och med få betalt för att stjäla data eller skapa kaos.

Sammanfattningsvis så är alltså strategier för användares behörigheter ett proaktivt sätt att skydda organisationen. Aktivitetsloggar är ett reaktivt sätt som kan lokalisera hur och när intrång har skett, samt av vem. Att skapa vyer och kontrollpaneler för att effektivt skydda en organisation gör att överblicken blir bättre.

EdgeGuide arbetar dagligen med att förbättra säkerheten för stora företag. Vi ser till att licenser är optimerade och att behörigheter överensstämmer med roller. Du kan kontakta oss för att få en demo eller för att boka en workshop, eller för att bara ställa en fråga.

Klicka här och ange din e-postadress så hör vi av oss till dig.