FinansWatch

Klumme: Bankerne kan drage fordel af ny it-strategi

Ved udgangen af februar afsluttes regnskabsåret og er derfor ofte dén måned, hvor organisationer ser tilbage og gør status over, hvad der er opnået i det forgangne år og skitserer deres ambitioner for det kommende år. Det er tydeligt, at 2020 har været et år udover det sædvanlige. Så hvordan klarer bankerne sig inden for applikationssikkerhed, og hvad kommer der til at ske i 2021?

Foto: Veracode / PR

Pandemien har tvunget banker til at genoverveje deres it-strategi hurtigere end sædvanligt.

Vi har noteret en gennemgående tendens i industrien, hvor virksomheder, i et forsøg på at holde sig omstillingsparate og digitalisere hurtigere end konkurrenterne, er begyndt at gemme flere af deres applikationer i skyen. 

For at sikre sikkerheden af disse applikationer har banker og andre finansielle serviceorganisationer været flittige til at scanne selvsamme applikationer. Vores data viser, at branchen rundede næsten 200.000 sikkerhedsscanninger af applikationer i juli 2020, hvilket er en rekord.

Dette hurtigt skiftende forretningslandskab har for mange fremskyndet og ændret hastigheden på den digitale transformation. Mens denne teknologidrevne udvikling er en positiv milepæl for finansielle tjenester, kan det også betyde, at transformationshastigheden overgår den hastighed, der kræves til at afhjælpe eksisterende sårbarheder i koden. Dette skaber sikkerhedsgæld – defineret som mængden af identificerede men uløste softwarefejl – og betyder, at jo længere fejl får lov at ligge, jo mindre er sandsynligheden for at de bliver prioriteret og siden rettet.

Et skoleeksempel på appsikkerhed

Bankerne i Danmark tager cybersikkerheden meget alvorligt og investerer konstant i tiltag, der skal forbedre it-sikkerheden. Men er der stadig nogle sikkerhedsudfordringer, der ikke bliver adresseret? Faktisk stammer et af de mest ømme punkter i branchen fra sikkerhedsgæld.

State of Software Security Report nr. 11 (SoSS) afslørede, at banker og andre finansielle serviceselskaber har den bedste software fix rate af alle sektorer, idet 75 pct. af fejlene bliver løst. Denne sektor ser også ud til at gøre et bedre stykke arbejde i forhold til at reducere fejl relateret til kryptografi, inputvalidering, cross-site scripting og legitimationsadministration.

Desværre er de samtidig de sløveste til at løse fejl; mediantiden til at løse halvdelen af de registrerede fejl i finansielle serviceapplikationer, er mere end seks måneder (198 dage). Kravene til hurtigere udviklingstidslinjer betyder, at nogle applikationer ikke er testet tilstrækkeligt, hvis de overhovedet er testet. Til sammenligning afhjælper sundhedsvæsenet, detail- og teknologisektoren alle mangler hurtigere.

Med et stigende antal nye applikationer og et øget potentiale til at overvinde nye risici bør finansielle serviceselskaber være parate til at omfavne en sikker, moderne og skalerbar infrastruktur. Kort sagt, jo mere sikker den underliggende software, der skal understøtte de digitale transformationsprojekter er, jo mere sandsynligt er det, at deres applikationer bliver en kritisk differentiator for kunderne.

Forbedret appsikkerhed skabes via DevSecOps

En typisk it-arkitektur, der findes i organisationer for finansielle tjenester, består af mange lag af sammenvævede nye og ældre applikationer, som er blevet blandet sammen gennem tidligere fusioner og opkøb.

Nogle kalder dette "spaghettikode". Som nogle af de første brugere af ny teknologi har banker en tendens til også at have de ældste applikationer sammenlignet med andre industrier. Denne kompleksitet giver et udfordrende udviklingsmiljø, når applikationssikkerhed skal forbedres.

Sikkerhedsadfærden inden for applikationer er også tilfældig, idet finansielle serviceselskaber ser ud til at have valgt en mellemvej i forhold til scanningsfrekvens og integrering af sikkerhedstest, men er meget konsistente med kadencen af deres scanningsaktiviteter.

De bruger sandsynligvis ikke dynamiske analysescanningsteknologier til at afdække sårbarheder, men er de bedste til at bruge softwarekompositionsanalyse (SCA) sammenlignet med andre industrisektorer.

Dette antyder for mange finansielle serviceselskaber, at udviklere står over for et udfordrende miljø, hvor ibrugtagning af DevSecOps-praksis viser det største potentiale til at forbedre programmet.

Giv kontrol gennem indlejring af sikkerhed i udviklerens arbejdsgang

Her i starten af 2021 vil det øgede fokus på digital transformation næppe forsvinde, da firmaer inden for finansielle tjenester opererer i den ’nye virkelighed’ primært via digitale kanaler.

Dette vil lægge yderligere pres på de lokale programmer, der traditionelt anvendes i sektoren, og som er vanskelige at betjene eksternt. Som et resultat heraf kunne it-, udviklings- og sikkerhedsteams drage fordel af en SaaS-baseret (Software-as-a-Service) tilgang til applikationssikkerhed, hvilket giver mulighed for større fleksibilitet til at skalere og automatisere scanning, mens de stadig leverer hurtige resultater, der muliggør hurtig retning af fejl.

Det er vores erfaring, at det har en negativ indvirkning på softwaresikkerheden, når udviklere ikke kan kontrollere deres miljø og ikke anvende den bedste praksis for sikker kodning.

Organisationer, der giver sine udviklere mere kontrol over værktøjerne, træningen og hastigheden til at håndtere sårbarheder direkte inden for deres arbejdsgange, er ikke kun mere sikre, men kan også innovere i et højere tempo.

Ud over testningen af nye applikationer bør app-sikkerhedsteams også gennemgå styringen af deres nuværende softwareforsyningskæde for at forbedre sikkerheden for deres kunder og reducere risikoen for brud på samme.

Inden for digital banking foretager kunderne vigtige transaktioner med fingrene på deres smartphones og vælger udbydere baseret på brugeroplevelse, personalisering af produkttilbud og servicelevering.

Disse elementer understreger vigtigheden i kombinationen af application innovation og sikkerhed.

Når finansielle serviceorganisationer er i stand til at integrere en sikkerhedskultur i udviklingsprocessen og benytte sig af scanning i realtid via en SaaS-løsning, kan de innovere hurtigere og samtidig reducere sikkerhedsgælden. Det er en opmuntrende tanke for Fintech-virksomheder, der opererer i et stadig mere fjendtligt cybermiljø.

Mere fra FinansWatch

Seneste nyt

Finansjob

Se flere jobs

Se flere jobs