Az insider fenyegetések új hulláma
A FinWise incidens rávilágít arra, hogy ma már nemcsak külső hackerektől kell tartani, hanem a saját – volt – dolgozóktól is. Az, hogy az elkövető még távozása után is hozzáfért a bank rendszeréhez, jól mutatja a belső jogosultságkezelési rendszer hiányosságait és a titkosítás hiányát. A perelt FinWise-t szakértők és ügyfelek is bírálják, mivel a jelek szerint az ellopott adatok nem voltak megfelelően titkosítva és védve.
Mindazonáltal nemcsak a titkosítás hiánya okozott problémát. Kulcsfontosságú lenne az abnormális hozzáférési kísérletek automatikus felismerése is, hogy időben reagálni lehessen. A FinWise felelősségét súlyosbítja, hogy mindezt elmulasztotta.
A titkosítás az utolsó védelmi vonal
Jelenleg a bank még nem közölte, hogy milyen adatvédelmi eljárásai voltak érvényben, de az incidens egyértelműen megmutatta: a titkosítás és a hozzá tartozó kulcsmenedzsment ma már alapkövetelmény. Ha a FinWise helyesen titkosította és megfelelően kezelte volna a hozzáféréseket és a kulcsokat, az ügyfelek érzékeny adatai a kiszivárgás után is védve maradtak volna.
Külön figyelmet érdemel, hogy a titkosítás csak akkor véd igazán, ha a kulcsokat is biztonságosan, elkülönítve kezelik. Megfelelő kulcsmenedzsmenttel még adatszivárgás esetén sem használhatók fel a megszerzett információk.
Szigorúbb kontroll a D.AMO-val
A FinWise-botrány után egyre több pénzintézet figyel fel a dél-koreai Penta Security fejlesztésére, a D.AMO nevű adatvédelmi platformra. A D.AMO több egyszerű titkosításnál: komplex rendszer, amely ötvözi az erős titkosítást, a finomhangolt hozzáférés-szabályozást és a független kulcskezelést.
2004-es bevezetése óta Dél-Korea vezető titkosítási megoldása, az egészségügytől a kormányzaton át a pénzügyig több mint 10 ezer szervezet használja. Számos titkosítási módot kínál (API-, plug-in-, kernel-szintű), így új és már futó rendszerekbe egyaránt könnyen illeszthető. A szelektív, oszlop-szintű titkosítás révén az érzékenységtől függően titkosít, így az adatbázis használhatósága és a keresési funkciók nem csorbulnak – különösen fontos ez a banki és közigazgatási rendszerekben.
Megbízható kulcskezelés: D.AMO KMS
A kulcskezelés ugyanolyan fontos, mint maga a titkosítás. A D.AMO KMS egy hardveres eszköz, amely teljesen elkülönítve kezeli a titkosítókulcsokat az adatbázistól. A jogosultságokat is élesen elválasztja: az adatbázis-adminisztrátor még a titkosítatlan adatokhoz sem fér hozzá, ha nincs megfelelő engedélye, így csökkenti az insider fenyegetések esélyét.
Külön figyelmet érdemel, hogy a kulcsokat fizikailag és logikailag is elkülönített eszköz tárolja, tehát ha akár egy bennfentes, akár egy támadó hozzáférést szerez az adatbázishoz, titkosítókulcs nélkül nem tudja az adatokat dekódolni.
Központi vezérlés és audit a D.AMO Control Centerrel
A D.AMO Control Center lehetővé teszi az összes szerveren futó titkosítási megoldás központi irányítását, naplózását és jogosultság-kezelését. Az adminisztrátor naprakészen láthatja, ki, mikor, mire kapott hozzáférést, külön jogosultsági szinteket vezethet, kezelheti a titkosítási és dekódolási engedélyeket.
Mindazonáltal a FinWise-incidens elsődleges tanulsága, hogy a központi felügyelet és a szigorú, szerepkör-alapú hozzáférés ma már alapvető adatvédelmi elvárás. Ezek nélkül a szervezetek kiszolgáltatottak a bennfentes visszaéléseknek.
Új biztonsági szükséglet: proaktív védekezés
Összefoglalásként elmondható, hogy a FinWise-botrány elsősorban nem technikai, hanem irányítási, felügyeleti hiba volt, ahol a titkosítás, a kulcskezelés és a hozzáférés-kontroll hiánya tette lehetővé az adatszivárgást. Manapság a pénzügyi szektorban már nem elég a külső támadókra készülni: a belső fenyegetésekkel is foglalkozni kell.
A D.AMO minden integrált moduljával megfelel a globális szabványoknak (PCI-DSS, GDPR, CCPA), de ami még fontosabb: a naplózás, a jogosultság-kezelés, az erős titkosítás és a jól védett kulcsok a lehető legnagyobb védelmet biztosítják.
A hasonló esetek megelőzése csak úgy lehetséges, ha a szervezetek proaktív, integrált adatvédelmi stratégiát alkalmaznak, ahol a titkosítás, kulcskezelés és a jogosultságok kezelése kéz a kézben járnak. Az adatbiztonság nem luxus, hanem szükségszerű befektetés.
