tisdag 21 januari 2014

EU ryter till mot bankerna - Computer Sweden

EU ryter till mot bankerna - Computer Sweden




EU:s it-säkerhetsmyndighet Enisa skärper kraven på säkerhet inom bland annat e-betalningar.



Enisa presenterar ett antal regler
och riktlinjer som ska gälla inom e-banker, e-betalningar, och annat. 
Kraven presenteras i en ny rapport och gäller apparater som används
online, från bankdosor till mobiltelefoner.



Bakgrunden till kraven är att finanssektorn hanterar e- transaktioner
för hundratals miljarder euro årligen. Säkra e-identiteter och
autentisering är därför ett måste för den europeiska ekonomin,
konstaterar Enisas vd, professor Udo Helmbrecht, i ett uttalande:



– De finansiella institutionerna bör använda säkerhet som ett
konkurrensmedel och marknadsföringsverktyg. Med den här rapporten kan de
ekonomiska aktörerna göra en kostnads- nyttoanalys av olika
autentiseringsmetoder, säger han.



Läs även: Så ska EU krossa cyberbrotten


En enkät avseende 100 finansiella
aktörer från Enisa visar att finansiella institutioner har brister i de
funktioner som används för exempelvis autentisering av användare.
Följden är onödigt höga risker för bedrägerier och manipulation av
säkerhetsmekanismer.  Enisa har även kartlagt vilka attackmönster som
används för att sätta autentiseringsmekanism ur spel.



Några av de vanligaste är nätfiske, identitetsstölder, samt
kidnappningar av sessioner som sker gentemot finansiella institutioner
eller e-betalningsaktörer.


I rapporten konstaterar Enisa att de metoder som används för att öka säkerheten i den finansiella sektorn inte täcker många av de risker som finns.


Samtidigt meddelar Europeiska
centralbanken och EU-kommissionen att den är på gång med
rekommendationer som är i enlighet med Enisas rapport. Dessa gäller
bland annat vilka verktyg som bör användas för att reducera finansiella
förluster som är en följd av bedrägerier.



Bakgrunden till rapporten är ett framfört förslag till ett EU-direktiv
om dataskydd, samt betaltjänstdirektivet II och Europeiska
Centralbankens rekommendationer om säkerheten vid internetbetalningar.



Här är Enisas riktlinjer



Enisa har tagit fram ett antal riktlinjer, bästa praxis samt rekommendationer som gäller e-banker och internetbetalningar.


1. Förbättra säkerheten inom e-finans.


Konkret innebär det: 
  • Utför riskanalyser som utgår från kundprofil och storlek på den finansiella institutionen.
  • Arbeta för att öka kundernas medvetenhet och kompetens.
  • Inför verifieringsmetoder som är anpassade till kundernas
    beteendeprofiler och transaktioner parametrar (exempelvis.
    destinationsland eller belopp.)
  • Arbeta för så tidig upptäckt som möjligt när kundernas apparater
    attackeras, vilket kan ge genom registrering av olika enheter, samt
    utför testning, samt utvärdering av kundernas säkerhet.  


2. Utöka säkerheten inom applikationer för e-finansiering.

Ett sätt är att arbeta mer mer säkerhet redan på designstadiet, inte i i
efterhand. Ta hänsyn till förslaget om nytt persondataskyddsdirektiv
och använd pålitliga kanaler för installation av mjukvara i kundernas
apparater.


3. Arbeta med en enhetlig riskbedömning avseende vilka säkerhetsmetoder som används, hur väl fungerande de är, samt aktuella identifierade risker.


4. Förbättra såväl kunskapen som beteendet hos kunder och anställda.


Källa: Enisa.

Inga kommentarer:

Skicka en kommentar