Ursprünglich veröffentlicht in Regulierung Asien.

Angesichts der zunehmenden Zahl von Cyberangriffen, die jede Art von Unternehmen in jeder Branche betreffen, ist die Bedrohung durch teure, peinliche und den Gewinn beeinträchtigende Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.

Ich werde oft nach Beispielen gefragt, welche Organisationen dieses Problem bekämpfen und den "Wilden Westen" der Cybersecurity und AppSec Best Practices mit besonderer Finesse und Meisterschaft navigieren. Dabei komme ich immer wieder auf eine Antwort zurück: Es ist die Finanzbranche, die es besser macht als die meisten anderen.

Regulierung: Ein treibender Faktor für die Führungsrolle der Finanzbranche in Sachen Cybersicherheit

Einer der Gründe, warum der Finanzsektor im Bereich AppSec so gut mitspielt, ist, dass er (zumindest teilweise) von den Bedenken globaler, regionaler und nationaler Regulierungsbehörden hinsichtlich der universellen - um nicht zu sagen katastrophalen - Auswirkungen angetrieben wird, die sich aus einem erfolgreichen Cybersecurity-Angriff oder Datendiebstahl ergeben könnten.

Der BCBS (Basler Ausschuss für Bankenaufsicht) hat im Dezember einen Bericht veröffentlicht, der die Bandbreite der beobachteten Praktiken der Banken, Regulierungs- und Aufsichtsbehörden im Bereich der Cyber-Resilienz in verschiedenen Ländern aufzeigt. Zu den wichtigsten Erkenntnissen des Berichts gehört der Mangel an Cybersecurity-Fachkräften, ein Faktor, dem nur wenige Länder durch die Einführung spezieller Cyber-Zertifizierungen begegnen.

"Einige Länder haben IT-spezifische Standards, die sich mit den Verantwortlichkeiten der IT-Mitarbeiter und den Funktionen der Informationssicherheit befassen, mit besonderem Augenmerk auf die Ausbildung und die Kompetenzen der Mitarbeiter im Bereich der Cybersicherheit", so der Bericht. Die meisten Länder befinden sich jedoch noch in der Anfangsphase" der Implementierung von Aufsichtspraktiken zur Überwachung der Fähigkeiten und Ressourcen der Cyber-Mitarbeiter einer Bank.

In den meisten Fällen verlangen die regulatorischen Vorschriften von den beaufsichtigten Unternehmen ein Risikomanagement, aber es gibt selten einen klaren Weg zur erfolgreichen Minderung dieses Risikos. Sie stellen keine spezifischen Anforderungen (oder gar Maßstäbe) an die Fähigkeiten und Ressourcen der Mitarbeiter im Bereich der Cybersicherheit. Die meisten Aufsichtsbehörden bewerten die Cybersicherheitsmitarbeiter von Instituten durch Vor-Ort-Inspektionen, bei denen Fragebögen zur Selbsteinschätzungassessment üblich sind, und Schulungsprozesse werden besonders genau unter die Lupe genommen, aber nur in wenigen Rechtsordnungen gehen die Vorschriften speziell auf die Rollen und Verantwortlichkeiten der IT-Mitarbeiter ein. Einfach ausgedrückt: Die Fehlertoleranz ist groß und die Betonung auf die richtige Ausbildung und die anschließende assessment der Fähigkeiten ist eher gering.

In Japan und Südkorea haben die Behörden Richtlinien für ein angemessenes Cybersecurity-Workforce-Management festgelegt. In den meisten anderen Jurisdiktionen beschränken sich die regulatorischen Anforderungen an das Cyber-Workforce-Management jedoch auf die Erwartungen der Aufsichtsbehörden, wobei es oft keine assessment von Aufsichtsbehörden für Cybersecurity-Fähigkeiten und Mitarbeiterschulungen in regulierten Organisationen gibt.

Nur Hongkong, Singapur und das Vereinigte Königreich haben spezielle Rahmenwerke zur Zertifizierung der Fähigkeiten und Kompetenzen von Cyber-Mitarbeitern herausgegeben. Während Worte wie "Compliance" und "Zertifizierung" dem durchschnittlichen kreativen, problemlösenden Entwickler, der mit der Entwicklung großartiger Softwarefunktionen betraut ist, einen kalten Schauer über den Rücken jagen (bei ihnen wird Sicherheit oft als das Problem von jemand anderem, nämlich dem Sicherheitsteam, angesehen), sind die riesigen Mengen an sensiblen Daten, die viele regulierte Unternehmen besitzen, einfach zu wertvoll, um sie in die Hände von Personen zu legen, deren Fähigkeiten "vorausgesetzt" werden, anstatt sie ordnungsgemäß zu überprüfen.

Glücklicherweise haben viele Banken und Finanzinstitute dies erkannt, ohne sich unbedingt auf einen offensichtlichen regulatorischen Weg zu verlassen. Die Vorschriften geben sicherlich einen Überblick über die Erwartungen an das Endergebnis (d. h. sichere Software), aber sie haben erkannt, dass dies nur zu erreichen ist, wenn man den Mangel an Cybersecurity-Fachkräften umgeht, indem man Entwickler schult, ihre Beziehung zu bestehenden AppSec-Fachleuten pflegt und eine positive Sicherheitskultur aufbaut, die Verantwortung und Eigenverantwortung hervorbringt.

Warum hat die Finanzbranche den "X-Faktor" für Cybersicherheit?

Für Unternehmen aus dem Banken-, Finanzdienstleistungs- und Versicherungssektor spielen einige Elemente eine Rolle, die zusammengenommen die Grundlage für ihre Führungsposition im Bereich der Cybersicherheit bilden.

Als Hüter der Finanzen der Welt (ganz zu schweigen von Millionen hochsensibler Datensätze) sind sie natürlich typischerweise sehr Compliance-getriebene und regulierte Organisationen " aktualisierte Richtlinien, Vorschriften und Anforderungen werden erwartet und sinnvoll geplant. Infolgedessen sind sie mit den sich entwickelnden Anforderungen an die Minderung von Cyber-Risiken wie die Enten mit dem Wasser gelaufen und rühmen sich mit einigen der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie mit End-to-End-Prozessen zur Reduzierung ihrer Gefährdung durch potenzielle Angriffe.

Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach haben sie den Grundstein gelegt, um sicherheitsbewusster zu sein als andere. Sie haben den Bedarf an ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Fachleute und Penetrationstester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams erkannt und Ressourcen dafür bereitgestellt.

Da das Thema Cybersicherheit in den meisten Unternehmen noch relativ neu ist, ist es erfrischend, dass Finanzinstitute wirklich aufgeschlossen und innovativ sind in ihrem Bestreben, sichere Software bereitzustellen. Viele haben die Vorteile erkannt, die sich aus der Weiterbildung der Entwickler ergeben, die sie aus dem Klassenzimmer in eine praktische, relevante Lernerfahrung führt, die ihnen nicht nur hilft, Probleme zu beheben, sondern auch die Bedeutung von sicherem Coding im Allgemeinen zu verstehen.

Schließlich ist sicheres Coding ein wichtiger Bestandteil, um eine robuste, funktionale Beziehung zwischen Entwicklern und dem AppSec-Team zu schaffen und eine robuste Sicherheitskultur im Unternehmen zu erhalten. Ein weiterer Schlüsselfaktor für ein erfolgreiches Sicherheitsprogramm ist die Sicherstellung, dass die wichtigsten Stakeholder mit an Bord sind und den Nutzen sehen, auch wenn sie selbst keine Sicherheitsexperten sind.

Finanzinstitute neigen dazu, gut mit der Geschäftsleitung zu kommunizieren, um sicherzustellen, dass die Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine "set and forget"-Maßnahmen sind; sie müssen sich so schnell wie die verwendete Technologie weiterentwickeln und an variable Risiken anpassen.

Es mag jetzt Zeit und Geld kosten, aber da es dreißigmal teurer ist, Schwachstellen in festgeschriebenem Code zu beheben, ist ein gut abgerundetes Sicherheitsprogramm ", das Schulungen von Grund auf einschließt ", eine langfristige Kostenersparnis: Es ist viel billiger, wenn Sicherheitsprobleme behoben werden, während sie von sicherheitsbewussten Entwicklern geschrieben werden.

Sicherheitsstandards beginnen, mit dem wachsenden Risiko Schritt zu halten

Ein wichtiger Treiber für die Cyber-Compliance in der Finanzbranche ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Implementierung tragfähiger Sicherheitsrichtlinien zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Der PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.

Es muss jedoch gesagt werden, dass viele unserer Kunden aus der Finanzbranche sogar die aktuellen Richtlinien des PCI Security Standards Council übertroffen haben. Diese Richtlinien empfehlen zwar Schulungen für Entwickler, geben aber (wie bereits bei anderen Beispielen für regulatorische Informationen erwähnt) keine bestimmte Art oder einen bestimmten Maßstab vor, der erfüllt werden muss, um zu zeigen, dass die Schulung effektiv war.

Da viele Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS) seit mehr als zwanzig Jahren bestehen (und auch 2019 noch Probleme verursachen), ist es klar, dass nicht alle Schulungen gleich oder effektiv sind. Durch die Einführung von praxisnahen, spielerischen Sicherheitsschulungen erzielen Banken und andere Finanzdienstleister weitaus bessere Ergebnisse und eine echte Reduzierung der Schwachstellen, die bei Ausnutzung verheerende Folgen haben können.

Ein großartiges Beispiel ist, wie das US-Bankinstitut Capital One gamifizierte Trainingstechniken als Teil seines innovativen Tech College- und Zertifizierungssystems eingesetzt hat. Wie Russell Wolfe, Director of Cybersecurity & Cloud Computing Education, kürzlich in einem Webinar erläuterte, gewannen die freiwilligen Trainingsprogramme und Coding tournaments sehr schnell an Zugkraft, mit einer noch nie dagewesenen Nachfrage und einer organischen Motivation von Gleichgesinnten, sich zertifizieren zu lassen und dabei zu helfen, andere zu schulen.

Was können Regulierungsbehörden tun, um sicherzustellen, dass die Mitarbeiter in der Cybersicherheit angemessen geschult sind?

Aufsichtsbehörden auf der ganzen Welt können ihre bestehenden Richtlinien zur Cyberregulierung noch verbessern, indem sie einfach akzeptierte Schulungsmethoden und -standards festlegen, die diejenigen, die für den Schutz unserer Daten verantwortlich sind, erfüllen müssen. Im Moment scheint es in den meisten Regulierungsrichtlinien einen allgemeinen Verweis auf eine Schulungsanforderung zu geben, aber es gibt wenig Nachbereitung, um sicherzustellen, dass diejenigen, die eine vorgeschriebene Schulung durchlaufen, die Inhalte und Techniken aufnehmen, die erforderlich sind, um wirklich im Kampf gegen Cyber-Bedrohungen zu helfen.

Der jüngste Schritt der MAS (Monetary Authority of Singapore), die Einführung von Trainingsprogrammen für Sicherheitsbewusstsein und Best Practices für die sichere Softwareentwicklung in die jüngste Version ihrer Richtlinien für technologische Risiken aufzunehmen, ist jedoch ermutigend. Sobald die Richtlinien in Kraft treten, müssen Finanzinstitute sicherstellen, dass ihre Softwareentwickler geschult werden, um bei der Entwicklung von Software die Standards für sichere Kodierung, Quellcodeprüfung und AppSec-Tests anzuwenden, was einen großen Beitrag zur Minimierung von Fehlern und Schwachstellen leisten dürfte.

Für mich ist das Training der Entwicklungskohorte mit praktischen, realen Techniken bei weitem am fesselndsten und relevantesten für ihre Arbeit, während gleichzeitig die Grundlagen für die robuste Sicherheitskultur gelegt werden, die jedes Unternehmen schaffen muss, bevor es zu spät ist.