Get best of the week

Verbesserung der Kultur der Informationssicherheit in Fintech-Unternehmen

Bild

Moderne Unternehmen benötigen einen besonderen Ansatz zur Informationssicherheit. Die Abteilung für Informationssicherheit ist nicht mehr nur ein Vorgesetzter und Controller, sondern beginnt aktiv mit Menschen zu sprechen und wird zu einem vollwertigen Teilnehmer an Geschäftsprozessen.

Das Exness Fintech-Unternehmen hat weltweit über 70.000 aktive Kunden pro Monat und das gesamte Unternehmen ist online. Daten sind unser wichtigstes Kapital und unser Haupttreiber, daher hat der Informationsschutz Priorität Nr. 1.

Exness beschäftigt über 500 Mitarbeiter. Rund 150 Mitarbeiter sind in Forschung und Entwicklung sowie in der IT beschäftigt, viele Mitarbeiter des technischen Supports, Vertriebsleiter, Betrugsbekämpfungs- und Compliance-Dienstleistungen. Auf die eine oder andere Weise arbeiten sie mit vertraulichen Daten oder haben Zugriff auf wichtige Funktionen, interne Informationen, Code und Administratorkonsolen. Ein unbeabsichtigter Fehler oder mangelndes Bewusstsein der Mitarbeiter kann das Unternehmen Millionen kosten. Sie müssen für Beispiele nicht weit gehen: Nachrichten sind voller Nachrichten über Lecks von einem ungesicherten Elastic-, MongoDB-Speicherserver oder S3-Bucket, die häufig durch einen menschlichen Faktor verursacht werden.

Der Mensch ist das schwächste Glied in der Informationssicherheit, daher haben wir uns die Aufgabe gestellt, die Kultur der Informationssicherheit unter den Mitarbeitern zu verbessern. Wir teilen unsere Erfahrungen darüber, was wir dafür getan haben und wie wir die Ergebnisse bewertet haben.

Wir haben die Aufgabe in zwei Richtungen unterteilt:

  1. Verbessern Sie das Verständnis für Sicherheitsprobleme in technischen Teams.
  2. Verbessern Sie das Verständnis für Sicherheitsprobleme bei allen Mitarbeitern, einschließlich Nicht-IT-Fachleuten.

Wir werden diese Bereiche bedingt als "organisatorisch" und "technisch" bezeichnen. Die erste Richtung besteht darin, gemeinsame Probleme der digitalen Hygiene, moderne Bedrohungen, Gegenmaßnahmen und mögliche Konsequenzen für das Geschäft zu vermitteln. 

Die zweite Richtung ist eher auf die Natur spezialisiert. Technische Spezialisten müssen bei ihrer Arbeit die Vorschriften zur Informationssicherheit einhalten und nicht nur wissen, warum dies zu tun ist, sondern was genau und wie.

Zweck - Sicherheitsbewusstsein


Sicherheitsbewusstsein ist ein Schlüsselkonzept der Informationssicherheit in einem Unternehmen. Mitarbeiter halten sich an die Regeln zur Informationssicherheit, wenn sie diese kennen, verstehen und weitergeben. 

Den Mitarbeitern die Regeln zu vermitteln, ist eine klare Aufgabe. Die Motivation, die Regeln zu befolgen, ist bereits schwieriger. Wir wissen, dass die Verwendung von Sicherheitsgurten im Auto oder das Händewaschen mit Wasser und Seife die Wahrscheinlichkeit von schlimmen Folgen erheblich verringert und dies automatisch ohne moralisches Leid tut. Wie kann man sich angewöhnen, sich vor dem Arbeiten mit Daten die Hände zu waschen?



Sicherheitsbewusstsein beginnt mit der Erkenntnis, dass Risiken realisiert werden können. Sie, Ihr System kann wirklich das Ziel eines Angriffs sein. Durch das Verständnis von Gewohnheiten wird digitale Hygiene Teil des Arbeitsumfelds und der internen Kultur. Mit anderen Worten, Mitarbeiter befolgen die Regeln der Informationssicherheit, wenn sie verstehen, warum dies notwendig ist und wie hoch die Risiken sind. In diesem Fall liegt kein Innenwiderstand vor.

Sheriff oder Prediger?


Moderne Unternehmen legen großen Wert auf den Komfort der Mitarbeiter und ihren psychischen Zustand. Dies bedeutet, dass es selbst im Bereich der Informationssicherheit ziemlich schwierig ist, repressive Maßnahmen zu ergreifen: Es muss ein Gleichgewicht zwischen Handlungsfreiheit und Regeln gehalten werden. Wir glauben, dass das Verstehen von Bedrohungen und das Verantwortungsbewusstsein für ein Unternehmen besser funktioniert als die Angst vor Bestrafung. Der Schlüssel zur effektiven Umsetzung der Informationssicherheit liegt in der Kommunikation mit den Mitarbeitern und im Verständnis der Probleme jedes Produkts und jedes Teams.

Von der Theorie zur Aktion! 


Wie führt unser Team eine Kultur der Informationssicherheit auf organisatorischer und technischer Ebene ein?

Schulung und Einbeziehung der Mitarbeiter


Für neue Mitarbeiter werden wir einen Vortrag darüber halten, wie die Sicherheitsprozesse in unserem Unternehmen organisiert sind und wie wir uns vor den einfachsten Haushaltsrisiken wie Phishing, Passwortverlust und Malware-Infektion schützen können.

Für alle Mitarbeiter führen wir Workshops durch (OSINT, Markenschutz, Blind-SQL-Injektionen, Pentest für Labormaschinen, Cloud-spezifische Hacking-Techniken) und halten Präsentationen bei internen Veranstaltungen. Regelmäßige interne Schulungen und Live-Demonstrationen sind sehr wichtig. Beispiele für die Ausnutzung typischer Sicherheitslücken funktionieren besser als lange Vorlesungen. Eine Erklärung an den Fingern, was asymmetrische Kryptographie ist, warum ein Token benötigt wird und der einfachste Weg, Vault zu verwenden, besteht darin, den technischen Teams viel Zeit zu sparen.

Mini-Blog zur Sicherheit sozialer Netzwerke


Wir versuchen, einen konstanten Strom von Beiträgen des IB-Teams aufrechtzuerhalten. Unsere Kollegen sollten dafür sorgen, dass wir ständig auf dem Laufenden bleiben, Ratschläge geben, Innovationen ankündigen, versuchen, jeden Mitarbeiter zu interessieren und anzuziehen.



Regelmäßige Mitaps, Erfahrungsaustausch


Auf dem Dach unseres Büros in Limassol gibt es neben einer wunderschönen Aussicht alle Möglichkeiten für Besprechungen für mehr als 100 Personen, die wir regelmäßig nutzen. Zwei- bis dreimal im Jahr versammeln wir Spezialisten und diskutieren über Anwendungssicherheit, Risikomanagement, Devsecops-Praktiken und andere Themen. An den Veranstaltungen nehmen Mitarbeiter des Unternehmens und Vertreter der lokalen IT-Community teil. Hier besteht unsere Hauptaufgabe im Hinblick auf die Bildung der internen Kultur darin, zu zeigen, dass Fragen der Informationssicherheit interessant und wichtig sind.



Internes Phishing


Viele Mitarbeiter glauben nicht, dass das Öffnen eines Links oder Dokuments schädlich oder nicht wachsam genug sein kann. Durch die Durchführung interner Phishing-Kampagnen erhalten wir Statistiken über die Organisation, die am häufigsten Fehler machen, und verbessern ständig das interne Schulungsprogramm hinsichtlich des Schutzes vor Social Engineering und Phishing. Wir erhalten auch eine Bestätigung, dass Phishing funktioniert.

Lebensmittelsicherheit


Um eine Kultur der sicheren Entwicklung und ein besseres Verständnis der Sicherheitsprobleme durch Entwickler zu fördern, haben wir die folgenden Praktiken implementiert.

Wir kommunizieren ständig mit Produktteams


Wir gehen zu Sprint Reviews, Architekturkomitees, diskutieren regelmäßig aktuelle Probleme und Probleme mit technischen Teams. Damit wir uns an jedem Projekt beteiligen, verstehen wir die Atmosphäre und die Beziehungen in Teams besser. Wir können spontan Empfehlungen abgeben (was, warum und wie zu schützen) und die Aufgaben im Backlog beheben. 

Wir entwickeln ein externes Bug-Bounty-Programm auf der HackerOne-Plattform


Seit mehr als drei Jahren setzen wir externes Fachwissen ein, um mithilfe der HackerOne-Plattform nach Schwachstellen in unserer Infrastruktur zu suchen. In einem Jahr geben wir mehr als 50.000 US-Dollar für Vergütungszahlungen aus, was im Vergleich zu möglichen Verlusten einiges ist. Wenn Sie kein Bug-Bounty-Programm haben, empfehlen wir Ihnen, es zu starten. Für relativ wenig Geld erhalten Sie einen nahezu unendlichen Pentest.

Wir verwenden auch Berichte über Schwachstellen und mögliche Konsequenzen, die „jemand aus dem Internet“ gefunden hat. Diese Informationen helfen dem Unternehmen bei der Entscheidung, die Priorität zu erhöhen und die Anforderungen an die Informationssicherheit bei neuen Produkten zu stärken, indem zusätzliche Überprüfungen auf QS-Ebene und automatisierte Kontrollen eingeführt werden.

Wir suchen (und finden!) Sicherheitskampagnen in Befehlen zur lokalen Produktsicherheitskontrolle


In der modernen Realität ist es bei der Verwendung von Scrum / Agile-Modellen in jedem Team wichtig, mindestens eine Person zu haben, die als Leitfaden für Ihre Empfehlungen dient und die Produktsicherheit „anfeuert“. Idealerweise benötigen Sie in jedem Team eine umfassende Sicherheitskompetenz, aber es sind immer nicht genügend Ressourcen vorhanden. Nach einiger Zeit kann Devsecops oder Application Security-Spezialist von Security Champion wachsen. Dies ist also eine gute Gelegenheit, den Fokus für einen Produktingenieur oder Entwickler zu ändern. In unserem Fall konnten wir sowohl Entwickler als auch Entwickler finden, die ihr Verständnis für Sicherheitsprobleme in Teams erheblich verbessert haben.

Wie wir Informationssicherheitsaufgaben für Produktteams festlegen


Zur Organisation der Arbeit verwenden wir die OWASP ASVS-Methodik in Kombination mit den beschriebenen Geschäftsrisiken. Für jedes Team führen wir eine Liste von Kontrollen ein - Anforderungen an die Produktsicherheit. Es sieht aus wie eine Reihe von Empfehlungen, bei denen jede Schutzmaßnahme ihrem eigenen Risiko entspricht. Das Dokument zeigt deutlich, was bereits abgeschlossen wurde, was geplant ist und welche Risiken in dieser Phase des Produktlebenszyklus vom Unternehmen akzeptiert werden.

So sehen die technischen Teams, was zu tun ist, und die relevanten Risiken zeigen dem Unternehmen, warum dies zu tun ist und welche potenziellen Konsequenzen auftreten können, wenn es nicht erfüllt wird.  

Wenn etwas nicht getan wurde, glauben wir, dass die entsprechenden Risiken akzeptiert werden, und für jedes Produkt erstellen wir eine technische Sicherheitsschuld.

Ein Beispiel für Kontrollen und relevante Risiken:



Was ist das Ergebnis? 


Um die Wirkung aller Aktivitäten zu messen, verwenden wir Indikatoren, die unserer Meinung nach die Dynamik der Durchdringung einer Sicherheitskultur in allen Lebensphasen des Produkts widerspiegeln. 

In der technischen Richtung unserer Bemühungen verwenden wir zwei Hauptindikatoren.

1. Produktsicherheitsindex

Dies ist ein zweiteiliger integraler Indikator. Der erste Teil ist eine nacheilende Metrik, die sich mit dem aktuellen Grad der Produktanfälligkeit befasst. Die zweite ist vorausschauend und spricht über potenzielle Schwachstellen in der Zukunft. Durch regelmäßige Messungen können wir die Teams rechtzeitig auf Probleme mit einem bestimmten Produkt aufmerksam machen und bei deren Lösung helfen.

  • OWASP WRT — . , .
    -, . 
  • OWASP ASVS 3.0. , .
    - , . , , .

2. Das Ergebnis eines regelmäßigen Pentests durch qualifizierte externe Unternehmen

Basierend auf den Ergebnissen externer Penetrationstests korrigieren wir die gefundenen Schwachstellen und ziehen Schlussfolgerungen, um die Wiederholung ähnlicher Situationen zu vermeiden. 
Selbst gute Ergebnisse erlauben es uns nicht, uns zu entspannen, jeden Tag tauchen neue Bedrohungen und Angriffsmethoden auf, Angreifer werden erfinderischer.

In organisatorischer Richtung sind die Ergebnisse subjektiver:

  • Wir erhalten mehr Nachrichten von Mitarbeitern zu potenziellen Schwachstellen und Vorfällen als zuvor. Die Mitarbeiter wissen, wie wichtig zeitnahe Kommunikation ist.
  • Produktteams befinden sich in einem sehr frühen Stadium des Projekts, und es besteht das Verständnis, dass das Verhindern eines Problems viel einfacher ist als das Beheben des Problems.
  • , . , API, , .
  • GDPR — , , , .

?


  • ( , , , );
  • ;
  • KPI ;
  • , ;
  • Nutzen Sie ein hohes und bewährtes Maß an Produktsicherheit, um sich einen Wettbewerbsvorteil zu verschaffen.

Wir haben dafür gesorgt, dass ein gutes Sicherheitsniveau nicht nur durch Bestrafung, Zwang und Einschüchterung des Teams durch Politiker und die NDA erreicht werden kann, sondern auch durch einen anderen Ansatz: Erklärung der Risiken, Einbeziehung der Menschen in den Prozess der Erstellung und Einhaltung der Regeln, Untersuchung und Berücksichtigung früherer Fehler.

More articles:


All Articles