Blog
/
Cyber-Resilienz

Reihe „Grundlegendes zu EU-Compliance-Mandaten“: Finanzdienstleistungen

Illumio Editorial
,
September 14, 2020
23 min. Lesedauer

In Teil eins In dieser Blogserie habe ich über die Compliance-Landschaft gesprochen und darüber, dass die verschiedenen Branchen jeweils ihre eigenen behördlichen Mandate oder Leitlinien zur Cybersicherheit haben. Darauf folgten ein Beitrag über Regulierung und Sicherheitskontrollen im Bereich kritischer Systeme und Betriebstechnologie, einem Bereich, in dem ich direkte Erfahrung gesammelt habe und der mich fasziniert, da sich die Cybersicherheit dort entwickelt.

Ich werde mich hier (in gewisser Weise) dem entgegengesetzten Branchentyp zuwenden und auf einige der EU- und europaspezifischen Mandate eingehen, die für Finanzinstitute und Banken gelten. Wir haben zwar globale Mandate in Bezug auf SCHNELLE CSP und PCI-DSS an anderer Stelle ausführlich behandelt — in Anlehnung an das Thema dieser Reihe werde ich mich auf die Kontrollen und Leitlinien konzentrieren, die speziell für die EU gelten. Für viele prägt der Einfluss dieser Mandate einige der größten IT-Sicherheitsprojekte in Europa.

Wie zuvor definieren wir zunächst einige Akronyme:

  • FMIs — Finanzmarktinfrastrukturen. Dies sind die Systeme, die den Bankprozess selbst untermauern.
  • CPMI — Der Ausschuss für Zahlungsverkehr und Marktinfrastrukturen. Der CPMI ist ein internationales Gremium, das Empfehlungen zur Förderung der Sicherheit von Zahlungs-, Clearing- und Abrechnungssystemen sowie zur Überwachung ausgibt.
  • IOSCO — Internationale Organisation der Wertpapieraufsichtsbehörden. Dies ist das Gremium, das die globalen Wertpapier- und Terminmärkte reguliert.
  • ECB — Die Europäische Zentralbank. Die Zentralbank der 19 EU-Länder, die den Euro als gemeinsame Währung eingeführt haben.
  • SCHLUCKE — Systemisch wichtige Zahlungssysteme. Ich werde im Folgenden näher darauf eingehen, aber es genügt zu sagen, dass dies eine Auswahlliste der internationalen Backbone-Zahlungssysteme beinhaltet, die von den meisten Banken verwendet werden.

Bevor wir weitermachen, wollen wir uns einen Moment mit SIPS befassen. SIPS sind wichtige Zahlungssysteme, die in der Regel landesweite Auswirkungen haben, falls sie ausfallen. Was die hier definierten betrifft, so haben sie im Gegensatz zu einzelnen Ländern zumindest einen europaweiten Geltungsbereich und sind in vielen Fällen global in ihrer Reichweite und Nutzung.

Die wichtigsten Systeme, für die die entsprechenden Leitlinien gelten, sind TARGET2, EURO1 und STEP2-T. Gemäß der SIPS-Verordnung ist die EZB für die Überwachung dieser drei Systeme verantwortlich. Darüber hinaus sind die EZB und die Nationale Bank van België/Banque Nationale de Belgique für die Überwachung der Mastercard Clearing-Managementsystem SIPS, und die Banque de France ist für die Überwachung verantwortlich KERN (FR).

Als globales Beispiel hat das US-Notenbanksystem die primäre Aufsichtsverantwortung für das CLS-System übernommen und einen kooperativen Aufsichtsrahmen geleitet, an dem die EZB zusammen mit den nationalen Zentralbanken der G10 beteiligt ist. Innerhalb des Eurosystems trägt die EZB in enger Zusammenarbeit mit anderen Zentralbanken des Eurosystems die Hauptverantwortung für die Abwicklung der auf Euro lautenden Zahlungen durch CLS.

Kernprinzipien für systemrelevante Zahlungssysteme

Um als SIPS eingestuft zu werden, muss ein System den folgenden Richtlinien entsprechen. Diese werden in Bankenkreisen manchmal als die „10 Gebote“ bezeichnet:

  1. Eine fundierte Rechtsgrundlage.
  2. Regeln und Verfahren, die es den Teilnehmern ermöglichen, sich ein klares Bild von den Auswirkungen des Systems auf jedes der finanziellen Risiken zu machen, denen sie durch die Teilnahme daran ausgesetzt sind.
  3. Klar definierte Verfahren für das Management von Kredit- und Liquiditätsrisiken, in denen die jeweiligen Verantwortlichkeiten des Netzbetreibers und der Teilnehmer festgelegt sind und die angemessene Anreize für das Management und die Eindämmung dieser Risiken bieten.
  4. Sofortige endgültige Abrechnung am Werttag, vorzugsweise während des Tages und mindestens am Ende des Tages.
  5. Findet ein multilaterales Netting statt, so sollte es zumindest in der Lage sein, den fristgerechten Abschluss der täglichen Abrechnungen zu gewährleisten, falls der Teilnehmer mit der größten Einzelabrechnungsverpflichtung nicht in der Lage ist, eine Einigung zu erzielen.
  6. Bei den zur Abwicklung verwendeten Vermögenswerten sollte es sich vorzugsweise um eine Forderung gegenüber der Zentralbank handeln; werden andere Vermögenswerte verwendet, sollten diese ein geringes oder kein Kreditrisiko und ein geringes oder kein Liquiditätsrisiko bergen.
  7. Ein hohes Maß an Sicherheit und Betriebssicherheit sowie Notfallvorkehrungen für den termingerechten Abschluss der täglichen Bearbeitung.
  8. Praktisch für seine Nutzer und effizient für die Wirtschaft.
  9. Objektive und öffentlich bekannt gegebene Teilnahmekriterien, die einen fairen und offenen Zugang ermöglichen.
  10. Verwaltungsvereinbarungen, die wirksam, rechenschaftspflichtig und transparent sind.

Ich habe den siebten Eintrag auf der Liste hervorgehoben, da dies der Teil ist, der in die umliegenden Leitlinien zur Cybersicherheit einfließen wird, auf die wir uns konzentrieren werden.

Um Anweisungen zur Sicherung dieser SIPS zu geben, stellte das CPMI 2016 zusammen mit der IOSCO die Leitlinien zur Cyberresistenz von Finanzmarktinfrastrukturen (Leitlinien). Es enthält detaillierte Anleitungen zur Sicherung von Systemen dieser Größenordnung und Wirkung und definiert eine Reihe von Schwerpunktbereichen sowie Messstrategien.

Zu den Abschnitten mit hoher Sicherheit gehören beispielsweise:

Cyber Resilience

Identifikation: Dies betrifft die Fähigkeit einer Organisation, festzustellen, welche Systeme überhaupt geschützt werden müssen. Dazu gehören Geschäftsfunktionen, Prozesse, Anlagen und Informationen. Die korrekte Identifizierung ermöglicht die Priorisierung der nächsten Bemühungen.

Entscheidend für Verbesserungen in diesem Bereich ist die schnelle Identifizierung der hochwertigen Systeme und der von ihnen etablierten Abhängigkeiten. In den allermeisten Fällen handelt es sich bei diesen Systemen bereits um komplexe Brachflächen, in denen erheblicher Arbeitsaufwand erforderlich ist, um alle kritischen Abhängigkeiten und Pfade zu identifizieren.

Schutz: Einmal identifiziert, wie effektive Kontrollen implementiert werden können, um kritische Systeme vor Cyberangriffen und -kompromittierungen zu schützen.

Für mich Null Vertrauen spielt hier eine wichtige Rolle. Durch die Einführung einer Architektur, die einer Default-Deny-Architektur so nahe wie möglich kommt, ist der Schutz inhärent und die Angriffsmöglichkeiten werden reduziert. Darüber hinaus ist der Explosionsradius eines erfolgreichen Kompromisses von Natur aus kleiner.

Erkennung: Aus pragmatischer Sicht werden hier Erkennungsmethoden, Eindämmungs- und Abwehrtaktiken beschrieben, die im Falle eines erfolgreichen Angriffs auf ein im Geltungsbereich liegendes System angewendet werden sollten.

Direkt mit den Identifikations- und Schutzkomponenten verbunden, ist die Erkennung eines Angriffs viel einfacher, wenn wir bereits ein normales Verhalten festgestellt und eine Default-Deny-Konfiguration über das Netzwerk, die Anwendungen und den Benutzerzugriff eingerichtet haben.

Testen: Als Ergänzung enthält der Abschnitt „Testen“, wie die in den vorherigen drei Abschnitten verwendeten Systeme am besten vorbereitet und getestet werden können, und wie sie durch wiederholte Bescheinigungen so konfiguriert werden, dass sie Angriffen standhalten.

Ich habe zuvor geschrieben zur Abbildung dieser Abschnitte mit Illumio zur Identifizierung kritischer Anwendungen und Abläufe, zum Schutz vor Angriffen mithilfe einer Zero-Trust-Richtlinienarchitektur, zur Erkennung von Änderungen im Anwendungsverhalten und schließlich zur Unterstützung von Organisationen, die in den Geltungsbereich der Leitlinien fallen, bei der Bestätigung einer sicheren Konfiguration.

Als äußerst hilfreiche Entwicklung ergänzend zur ursprünglichen Arbeit veröffentlichte die EZB selbst 2018 einen Zusatz mit dem Titel Cyberresistenz — Aufsichtserwartungen für Finanzmarktinfrastrukturen (KERN), das zusätzliche Leitlinien für die Schritte zur Umsetzung der Empfehlungen enthält, abstraktere Konzepte anhand klarer, realer technologischer Beispiele abbildet und schließlich definierte Erwartungen in Bezug auf die Art und Weise, wie der Erfolg eines FMI gemessen werden könnte, formuliert.

Das CROE fördert die Kommunikation zwischen den FMI, um die Sicherheit in allen Instituten zu verbessern, und bezieht sich immer noch auf die drei im Originalpapier von 2016 beschriebenen Messniveaus, nämlich:

Entwickelt sich: Im gesamten FMI werden wichtige Funktionen zur Identifizierung, Verwaltung und Schadensbegrenzung eingerichtet, weiterentwickelt und aufrechterhalten Cyberrisiken, im Einklang mit der vom Vorstand verabschiedeten Strategie und dem Rahmen für Cyberresistenz. Die Durchführung der Verfahren wird überwacht und verwaltet.

Vorwärts: Neben der Erfüllung der Anforderungen der sich entwickelnden Ebene beinhalten die Praktiken auf dieser Ebene die Implementierung fortschrittlicherer Tools (z. B. fortschrittlicher Technologie- und Risikomanagementtools), die in alle Geschäftsbereiche des FMI integriert sind und im Laufe der Zeit verbessert wurden, um die Cyberrisiken, denen das FMI ausgesetzt ist, proaktiv zu bewältigen.

Innovativ: Neben der Erfüllung der Anforderungen der sich ständig weiterentwickelnden und fortschreitenden Ebenen werden die Fähigkeiten des gesamten FMI im Rahmen der sich schnell entwickelnden Cyber-Bedrohungslandschaft nach Bedarf verbessert, um die Cyber-Resilienz des FMI und sein Ökosystem zu stärken und indem proaktiv mit seinen externen Interessengruppen zusammengearbeitet wird. Auf dieser Ebene geht es darum, Innovationen in Bezug auf Mitarbeiter, Prozesse und Technologien für das FMI und das gesamte Ökosystem voranzutreiben, um Cyberrisiken zu bewältigen und die Cyberresistenz zu verbessern. Dies könnte die Entwicklung neuer Kontrollen und Instrumente oder die Schaffung neuer Gruppen für den Informationsaustausch erforderlich machen.

CROEmeasurement

Um es zusammenzufassen

Beide Dokumente und meine Erfahrung im Gespräch mit den verantwortlichen Teams zeigen, dass das Verständnis für die Auswirkungen dieser Systeme auf das tägliche Leben (nämlich das Potenzial für katastrophale nationale und sogar globale Auswirkungen, wenn das System kompromittiert wird) erheblich zunimmt. Ich finde es bezeichnend, dass diese Entwicklungen noch sehr neu sind und die Umsetzung der Leitlinien möglicherweise gerade erst begonnen hat. Nichtsdestotrotz habe ich, wie im ersten Teil dieses Artikels erwähnt, aus erster Hand gesehen, wie diese Leitlinien hochrangige, jahrzehntelange IT- und IT-Sicherheitsprojekte prägen: Festlegung der implementierten Systemtypen, ihre Zuordnung zu den wichtigsten messbaren Bereichen der Dokumente und die Art und Weise, wie die Systeme selbst entworfen und konzipiert werden.

Bei Illumio konzentrieren wir uns auf drei Schlüsselbereiche, die beiden Dokumenten direkt zugeordnet sind, nämlich die Identifizierung anhand unserer Zuordnung von Anwendungsabhängigkeiten. Dies gibt Unternehmen die Möglichkeit, mit Echtzeitkarten ihrer kritischen Systeme und Anwendungen zu arbeiten und die normalen Abhängigkeiten und Anwendungsabläufe zwischen ihnen herzustellen. Es ermöglicht auch die genaue Festlegung der erforderlichen Grenzen für den nächsten Abschnitt, den Schutz.

Die Illumio-Plattform ist von Natur aus Zero Trust. Es können Richtlinien definiert werden, die nur die erforderlichen Anwendungsabläufe zulassen, wodurch potenzielle Kompromisspfade und laterale Verschiebungen erheblich eingeschränkt werden. Die Kombination aus Abbildung und Richtlinienkonfiguration ermöglicht die einfache Erkennung von Bedrohungen, die dritte wichtige Säule, durch das Aufdecken neuer versuchter Kommunikationswege, eine Änderung Arbeitslast der Anwendung Verhalten und die Fähigkeit, kompromittierte Workloads schnell und sicher unter Quarantäne zu stellen.

Weitere Informationen darüber, wie Illumio Finanzdienstleistungsunternehmen schützt, finden Sie hier Page „Solutions“. Und bitte besuch mich beim nächsten Mal, wenn sie Gedanken zu einigen anderen Mandaten in der gesamten EU machen möchten — like the DSGVO and the TSR!

Verwandte Themen

Einhaltung
Bank- und Finanzdienstleistungen

In Verbindung stehende Artikel

Machen Sie das Geschenk, das Ihr IT-Sicherheitsteam in dieser Weihnachtszeit verdient
Cyber-Resilienz

Machen Sie das Geschenk, das Ihr IT-Sicherheitsteam in dieser Weihnachtszeit verdient

Erfahren Sie, wie Sie Ihr Unternehmen auf die Erntezeit schlechter Schauspieler vorbereiten können — die Weihnachtszeit.

Lesen Sie mehr
Beseitigung von Mythen über hostbasierte Sicherheit im asiatisch-pazifischen Raum
Cyber-Resilienz

Beseitigung von Mythen über hostbasierte Sicherheit im asiatisch-pazifischen Raum

Erfahren Sie, wie auf Zero Trust ausgerichtete, hostbasierte Mikrosegmentierungslösungen Ihre Sicherheitspraktiken in APAC und auf der ganzen Welt verbessern können.

Lesen Sie mehr
So schützen Sie sich vor der neuen Sicherheitslücke an TCP-Port 135
Cyber-Resilienz

So schützen Sie sich vor der neuen Sicherheitslücke an TCP-Port 135

Eine Möglichkeit, den TCP-Port 135 zur Ausführung von Fernbefehlen auszunutzen, führte zu einer Sicherheitslücke in Port 445, sodass Port 135 gesichert werden musste, um die TCP-Sicherheit zu gewährleisten.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr