Einhaltung des SAMA Cyber Security Framework: Bieten Sie ein nahtloses und sicheres Digital Banking-Erlebnis

Charbel Diab, 5. Februar 2019

Gemäß Gärtner Die Cybersicherheit ist eines der größten Risiken für Unternehmen und Finanzinstitute im Nahen Osten und in Nordafrika (MENA) im Jahr 2019. Wie weltweit suchen Banken nach innovativen Wegen, um Cyber-Bedrohungen wie Malware, Phishing und Betrug bei der Kontoübernahme zu bekämpfen - und gleichzeitig das Kundenerlebnis zu optimieren und die Compliance zu stärken.

Ich bin kürzlich vom IDC zurückgekehrt Banken- und Finanzkongress in Riad, wo Cybersicherheit und Einhaltung von Vorschriften wie der SAMA Cyber Security Framework waren ebenso Teil der Diskussionen wie das digitale Kundenerlebnis. Die Notwendigkeit, Daten, Transaktionen, Geräte und Benutzer durch Betrugsprävention zu schützen, Sicherheit für mobile Apps , und stark Kundenauthentifizierung wird tief in die Wachstumsstrategien der Banken eingebettet. Im gesamten Nahen Osten konzentrieren wir uns stark darauf, neue Technologien für Innovationen in diesem Bereich einzusetzen, insbesondere da das Mobile Banking in unserer Region an Boden gewinnt. Um dies zu unterstützen, werden die InfoSec-Ausgaben in MENA voraussichtlich um fast 10% gegenüber dem Vorjahr steigen und auf steigen USD 1,9 Milliarden im Jahr 2019 .

Einhaltung des SAMA Cyber Security Framework

Um die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu verbessern, hat die Saudi-Arabische Währungsbehörde (SAMA) die SAMA Cyber Security Framework im Mai 2017. Dies folgt einem globalen Trend, bei dem Regulierungsbehörden der Regierung und des Bankensektors auf der ganzen Welt Cybersicherheitsstandards und -richtlinien einführen. Ein gutes Beispiel ist die überarbeitete Europäische Richtlinie über Zahlungsdienste (PSD2) mit ihrer Starke Anforderungen an die Kundenauthentifizierung , das seitdem zu einem Katalysator für sicheres Open Banking auf der ganzen Welt geworden ist, auch in Bahrain .

Die saudi-arabische Währungsbehörde entwickelte die Verordnung auf der Grundlage von Industriestandard-Rahmenbedingungen wie:

Alle in Saudi-Arabien tätigen Banken, Versicherungen und Finanzunternehmen müssen das SAMA Cyber Security Framework einführen.

Adaptive Authentifizierung: Überlegene Benutzererfahrung und Wachstum durch intelligente Sicherheit
WEISSES PAPIER

Adaptive Authentifizierung: Überlegene Benutzererfahrung und Wachstum durch intelligente Sicherheit

Laden Sie dieses Dokument herunter und erreichen Sie die beiden Ziele, Betrug zu reduzieren und den Kunden zu begeistern.

Jetzt herunterladen

Die 4 Hauptschwerpunkte für die SAMA-Konformität

Während meines Vortrags auf der Konferenz erläuterte ich die Cybersicherheitsstrategien und -technologien, die die Banken des Königreichs anwenden sollten - nicht nur zur vollständigen Einhaltung von SAMA, sondern auch, um digitales Vertrauen bei ihren Kunden aufzubauen, da dies der Schlüssel zur Erschließung künftigen Wachstums ist.

Charbel Diab präsentiert auf dem IDC Banking & Finance Congress in Riad

Hier sind vier Schlüsselaspekte des Frameworks:

1. Identitäts- und Zugriffsverwaltung: In Abschnitt 3.3, Cybersicherheitsoperationen und -technologie , SAMA bietet Anweisungen an Identitäts- und Zugriffsverwaltung (ICH BIN). Das Framework spezifiziert die Multi-Faktor-Authentifizierung (MFA) für die Verwaltung privilegierter und Remotezugriffe. Banken benötigen MFA für zwei Zwecke:

  • Zum Schutz der Daten und finanziellen Vermögenswerte der Kunden durch Verwendung einer starken Authentifizierung, um die Anmeldung des Kunden beim Online- und Mobile-Banking zu sichern.
  • Sicherung des Remotezugriffs der Mitarbeiter auf das Unternehmensnetzwerk und das VPN sowie Schutz vor schlechten Akteuren, die versuchen, auf Daten zuzugreifen und diese zu stehlen.

Zusätzlich zu den Anmeldungen schreibt das Framework MFA für diese Anwendungsfälle vor:

  • Hinzufügen oder Ändern von Begünstigten
  • Hinzufügen von Dienstleistungs- und staatlichen Zahlungsdiensten
  • Transaktionen mit hohem Risiko (wenn sie vordefinierte Grenzwerte überschreiten)
  • Passwort zurücksetzen

Es gibt viele Multi-Faktor-Authentifizierungsoptionen auf dem Markt. Saudische Banken sollten nach einem Anbieter suchen, der eine breite Palette von unterstützt Authentifizierung Methoden über verschiedene Kanäle hinweg, einschließlich Hardware-Token und Softwareauthentifizierung für mobile Benutzer. Die neuesten Cloud-basierten Multi-Faktor-Authentifizierungslösungen nutzen die Step-up-Authentifizierung, auch bekannt als Intelligent Adaptive Authentication, die über mobile Apps mit nativer Biometrie, FIDO U2F oder UAF, Verhaltensbiometrie und mehr ermöglicht wird.

2. Sicherer Kanal: In Abschnitt 3.3.13, Electronic Banking Services SAMA erfordert den Einsatz von Kommunikationstechniken, um Man-in-the-Middle-Angriffe zu vermeiden (gilt für Online- und Mobile-Banking). Bei dieser Art von Angriff positionieren sich Betrüger zwischen der Bank und dem Kunden, um die Kommunikation abzufangen. Ein solcher Angriff könnte eine echte Übertragung von 5.000 SAR an einen Freund in eine betrügerische Übertragung von 50.000 SAR an einen Betrüger verwandeln, ohne dass der Kunde davon Kenntnis hat.  Dies geschieht am häufigsten über ein schädliches Wi-Fi-Netzwerk oder einen öffentlichen Hotspot (als Rogue Access Point bezeichnet). Verbraucher genießen den Komfort öffentlicher Hotspots, ohne zu wissen, dass sie ihre Zahlungsdaten möglicherweise über ein Netzwerk übertragen, das von einem schlechten Akteur kontrolliert wird. Um Kunden vor Man-in-the-Middle-Angriffen zu schützen, können Banken Cronto implementieren ® sichere visuelle Kryptogramme. Um dies in Aktion zu sehen, Lies diesen Blog oder ein Video anschauen .

Sichere visuelle Kryptogramme

3. Mobile Application Shielding: In Abschnitt 3.3.13, Electronic Banking Services SAMA beschreibt die Anforderungen an die Sicherheit mobiler Apps. Dies umfasst Anforderungen wie das Verhindern und Erkennen von Versuchen, den Code für mobile Apps zu ändern, Sandbox-Techniken und die Minderung der verschiedenen Risiken einer Gefährdung der mobilen App. Eine wichtige Überlegung bei Mobilgeräten ist die Tatsache, dass Benutzer die Bedrohungslandschaft nicht ausreichend kennen und nicht immer die erforderlichen Schutzmaßnahmen ergreifen - insbesondere unter Android. Gemäß GlobalStats Android ist mit 65% bis 34% für iOS führend auf dem Mobilfunkmarkt im Königreich.

Gleichzeitig haben viele Banken noch keine mobilen Anwendungen entwickelt, überwachen den mobilen Kanal nicht oder haben nicht genügend Erfahrung mit mobilem Betrug. Mobile Malware nimmt jedoch zu. Laut Kaspersky Lab ist die Anzahl der Banking-Trojaner greifen Benutzer mobiler Geräte an im Jahr 2018 verdoppelt. Aus diesem Grund werden proaktive, clientseitige Sicherheitsmaßnahmen wie z. B. mobil angewendet App-Abschirmung ist eine Notwendigkeit geworden. Mit den richtigen Sicherheitsmaßnahmen und MFA-Mechanismen können Banken und andere Finanzinstitute die App nicht nur vor Angriffen schützen, sondern auch die Benutzererfahrung vereinfachen. Es ist wichtig, dass Banken die bequemsten Authentifizierungsmethoden bereitstellen, einschließlich mobile Biometrie und weiter fortgeschritten Sicherheit für mobile Apps läuft im Hintergrund, für den Benutzer unsichtbar.

4. Aufdeckung und Verhinderung von Betrug: In Abschnitt 3.3.16, Bedrohungsmanagement , das Framework spezifiziert die Verwendung von Betrug und Risikomanagement . Da immer mehr Finanzprodukte über digitale Kanäle angeboten werden, wächst die Angriffsfläche einer Bank exponentiell. Um Schritt zu halten, wendet sich der globale Markt dem maschinellen Lernen und dem ausgeklügelten Data Mining und der Modellierung zu, um die genauesten Vorhersagen von Risiko und Betrug zu erhalten. Moderne Plattformen zur Aufdeckung und Verhinderung von Betrug analysieren große Datenmengen aus mehreren Quellen über alle digitalen Kanäle hinweg, um die genaueste Risikobewertung sicherzustellen. Diese Ergebnisse führen zu intelligenten Workflows, die sofortiges Handeln auf der Grundlage vordefinierter und / oder bankdefinierter Sicherheitsrichtlinien und -regeln ermöglichen.

Laut Forrester Prognose für Betrugsmanagementlösungen, 2017 bis 2023 (global) Die weltweiten Ausgaben für Betrugsbekämpfungslösungen werden sich voraussichtlich über einen Zeitraum von fünf Jahren verdoppeln und bis 2023 10 Milliarden US-Dollar erreichen. Der Schlüssel zum Extrahieren des vollständigen ROI aus den Ausgaben für das Betrugsmanagement liegt in der Zusammenarbeit mit einem Anbieter, mit dem Sie die beiden Ziele einer starken Sicherheit und einer optimalen Benutzererfahrung erfolgreich erreichen können.

Lassen Sie uns die Diskussion fortsetzen

Für den heutigen Digital-Banking-Kunden muss die Transaktion mit seinem Finanzdienstleister so einfach wie sicher sein. Es sollte so einfach und reibungslos sein, dass Kunden nicht einmal an die Sicherheit denken. Sicherheit muss gut gemacht werden, um das bestmögliche Kundenerlebnis zu schaffen, da dies das Wachstum durch verbesserte Kundenbindung, Kundenbindung und Nutzung von digitalen und mobilen Bankdienstleistungen vorantreiben wird.

All dies erfordert, dass Banken mit neuen Technologien innovieren. Kontaktieren Sie mich unter, um über Innovationen im digitalen Kundenerlebnis zu sprechen und Vertrauen in Ihre digitalen Angebote aufzubauen Charbel.Diab @OneSpan .com

Charbel Diab ist der regionale Vertriebsleiter für den Nahen Osten, Afrika und Pakistan bei OneSpan und leitet drei Jahre lang die Vertriebsaktivitäten in der Region. Bevor er zu OneSpan kam, hatte er zahlreiche maßgebliche Funktionen bei renommierten IT-Unternehmen im Nahen Osten inne.