In een snel digitaliserende wereld, die nog verder wordt versneld door de COVID-19-pandemie, is cloudtechnologie een cruciale hoeksteen geworden voor bedrijven over de hele wereld. Onlangs heeft de Monetaire Autoriteit van Singapore (MAS) een circulaire geïntroduceerd met richtlijnen voor de publieke cloud over de cyberrisico’s die gepaard gaan met de invoering ervan, die zowel gevolgen hebben voor de financiële als de technologische sector.
De evolutie van de cloudtechnologie heeft de manier veranderd waarop voorheen geheel door land omgeven bedrijven opereren. De behoefte aan verbeterde cloudbeveiliging, vooral binnen de strak gereguleerde fintech-industrie, die verstrekkende gevolgen zou kunnen hebben, is nog nooit zo groot geweest.
Het recente webinar getiteld 'Welke impact de nieuwe MAS Public Cloud-richtlijnen op u hebben', gemodereerd door de CEO van cybersecurityspecialist Horangi, Paul Hadjy, bracht experts uit de industrie samen om licht te werpen op de bijgewerkte richtlijnen van de Monetary Authority of Singapore (MAS).
Tot de panelleden behoorden Anand Nirgudkar, CTO van betalingsfintech CardUp en Ivy Young, hoofd beveiliging bij AWS Professional Services, ASEAN.
Deze cruciale discussie, waarbij enkele van de meest vooraanstaande experts uit de branche een holistische kijk bieden op het publieke cloudlandschap in relatie tot de richtlijnen opgesteld door het MAS, duikt in de implicaties ervan en wat deze voor organisaties betekenen.
Benutten van de kracht van de cloud
De alomtegenwoordigheid van de cloud is de afgelopen jaren niet verloren gegaan onder de panelleden. Van het garanderen van 24/7 uptime tot het bieden van toegang tot marktgegevens: de cloudinfrastructuur vormt de ruggengraat van hun activiteiten.
Ondertussen benadrukte Anand, sprekend over de ervaring van CardUp, het cloud-first-ethos van het bedrijf, waarbij hij wees op PCI DSS-naleving, architecturale best practices en regionale groei als belangrijke drijfveren voor hun cloudafhankelijkheid.
De uitdaging van cloudbeveiliging
Ondanks de enorme voordelen die cloudtechnologie biedt, zijn de inherente uitdagingen die deze met zich meebrengt, vooral op het gebied van beveiliging, opmerkelijk. Een van die uitdagingen is een verkeerde configuratie. Anand benadrukt de dynamiek van cloudbeveiliging en haalt het beruchte Capital One-incident aan als een duidelijke herinnering aan hoe eenvoudige verkeerde configuraties tot aanzienlijke inbreuken kunnen leiden.
Het gaat echter niet alleen om een verkeerde configuratie. Zoals aangegeven in de MAS-richtlijnen blijft identiteits- en toegangsbeheer van het grootste belang. Paul benadrukte het belang van robuuste controles, vooral met betrekking tot onboarding- en offboarding-praktijken.
Nadenken over de recente inbreuken van de DeFi-protocollen Harbor en Precies in afzonderlijke aanvallen herinnerde het panel aan de motieven die aanvallers drijven. Als er meer te winnen valt, wordt de aandacht van aanvallers steevast getrokken. Hoewel de cloudinfrastructuur ongeëvenaarde voordelen biedt, is de inzet nog nooit zo hoog geweest.
Het gedeelde verantwoordelijkheidsmodel
Een kernonderwerp van discussie was het ‘gedeelde verantwoordelijkheidsmodel’. Ivy Young merkte op: “Iets fundamenteels hier, als we naar veiligheid kijken, is een model van gedeelde verantwoordelijkheid.”
Dit model benadrukt de verdeling van de verantwoordelijkheid tussen cloudaanbieders en hun klanten. Terwijl cloudproviders de veiligheid van de cloud garanderen, moeten klanten beveiligen wat ze in de cloud plaatsen, of het nu gegevens of applicaties zijn.
Ivy wees er verder op dat het begrijpen van het gedeelde verantwoordelijkheidsmodel essentieel is. De uitdaging ontstaat echter wanneer dit inzicht zich niet vertaalt in de dagelijkse bedrijfsvoering en processen. Bijgevolg kunnen er misconfiguraties of lacunes in het bestuur ontstaan.
Zichtbaarheid in cloudinfrastructuur
Anand benadrukte het belang van zichtbaarheid in de cloudinfrastructuur. “Het fundamentele aspect van de vraag of je gegevens wilt beveiligen of iets wilt voorkomen, is het zichtbaarheidsaspect”, aldus hij.
Het hebben van uitgebreid toezicht zorgt voor effectief preventie-, detectie- en incidentbeheer op maat voor de cloud. Tools zoals Incident Manager van AWS, Azure Sentinel en andere spelen een cruciale rol bij het bieden van deze zichtbaarheid, waardoor organisaties misconfiguraties vroegtijdig kunnen detecteren en robuuste governance-modellen kunnen implementeren.
Decodering van jargons voor cloudbeveiliging
De snelle evolutie van cloudtechnologie introduceert vaak nieuwe terminologieën en acroniemen. De panelleden namen de aanwezigen mee op een wervelende rondleiding, beginnend met CWPP (Cloud Workload Protection Platform) via CSPP (Cloud Security Posture Management) en ten slotte CNAPP (Cloud Native Application Protection Platform). Het overkoepelende thema tussen beide was het garanderen van veiligheid en compliance in de snel evoluerende cloudomgeving.
“Begrijp de kerngebruiksscenario’s”, benadrukte het panel, eraan toevoegend dat, ongeacht het acroniem, de focus altijd moet liggen op het beschermen van gegevens, controlevlakken en het garanderen van robuuste cloudbeveiliging.
De uitdaging van alerte vermoeidheid
Hoewel het essentieel is om over hulpmiddelen te beschikken, wees Anand op de echte uitdaging: “Alertvermoeidheid is reëel.”
Beveiligingssystemen kunnen teams overspoelen met waarschuwingen, waardoor de focus op echte bedreigingen verloren gaat te midden van een zee van valse positieven. Daarom is het niet alleen van cruciaal belang om tools te implementeren, maar ook om ervoor te zorgen dat ze op maat zijn gemaakt om bruikbare inzichten te bieden zonder het beveiligingspersoneel te overweldigen.
Verdiepen in de MAS-circulaire over cloudadoptie
De nieuwe circulaire van de Monetary Authority of Singapore over cloudadoptie voor Singaporese organisaties was het belangrijkste aandachtspunt van het webinar. De circulaire benadrukt de snelle migratie van de financiële dienstverleningssector in Singapore naar cloudplatforms.
Zoals Paul Hadjy opmerkte, onderstreept de MAS-circulaire weliswaar niet elk acroniem, maar onderstreept het wel het belang van het beschikken over effectieve oplossingen, processen en mitigatiestrategieën. De doelstelling van de circulaire komt overeen met het garanderen dat gereguleerde entiteiten de hoogste normen op het gebied van cloudbeveiliging handhaven.
Hoe de MAS Public Cloud-richtlijnen bedrijven beïnvloeden
Paul benadrukte het belang van het begrijpen van de misconfiguraties binnen de cloudontwikkeling en benadrukte de waarde ervan MAS public cloud-richtlijnen. Hij zei: “Ontwikkelaars, die weten waar veel van de verkeerde configuraties vandaan komen, kunnen zeer invloedrijk en belangrijk zijn.” De richtlijnen zijn volgens Paul essentieel leesvoer voor iedereen in de branche, vooral voor degenen die betrokken zijn bij de technische aspecten van de cloud.
De panelleden werpen licht op de bredere implicaties van de richtlijnen. Hij wees op het belang voor niet alleen de huidige spelers in de sector, maar ook voor beginnende ondernemers in de fintech-sector om zich vertrouwd te maken met deze richtlijnen.
Sprekend over de ontluikende groei van de fintech-industrie zei het panel: “De dynamiek van waar het bedrijfsleven naartoe gaat is zeker in de richting van de cloud.” Zij zijn van mening dat investeringen moeten worden gericht op cloudbeveiligingsprocedures, waarbij de nadruk wordt gelegd op het belang van cloudgebaseerd werken, of het nu gaat om informatieverwerking, workflow of claims.
Ivy, hoofd beveiliging bij AWS Professional Services in ASEAN, sprak over het verbeteren van iemands beveiligingshouding. Volgens haar moeten de wettelijke vereisten worden gezien als nog maar het begin.
Bedrijven moeten ernaar streven om in een vroeg stadium een veiligheidscultuur op te bouwen, omdat dit hen op de lange termijn ten goede zou komen. Ze zei dat veel bedrijven beveiliging nu zien als een middel om de verkoop mogelijk te maken, een perspectief dat in Azië steeds vaker voorkomt.
Ivy somde drie eerste stappen op voor gereguleerde financiële entiteiten om hun cloudbeveiligingsprogramma te starten. Eén daarvan is het afstemmen van de bedrijfsdoelen op de volwassenheidsniveaus van de beveiliging van de cloud.
De tweede is het benutten van de uitgebreide bronnen die worden aangeboden door cloudserviceproviders. En ten derde is het van cruciaal belang om vanaf het begin zichtbaarheid te creëren om risico's tijdig te kunnen detecteren en aanpakken.
Anand Nirgudkar, CTO van CardUp, bood een holistische kijk en vergeleek de ervaring van cloudmigratie voor het eerst met het rijden in een achtbaan. Hij herhaalde het belang van een grondig ontdekkingsproces en het benutten van de hulp van cloudserviceproviders.
Bovendien onderstreepte Anand de noodzaak van dreigingsmodellering en de voordelen van het creëren van ‘vangrails’ in plaats van ‘poorten’.
Hij moedigde de gemeenschap ook aan om het Cloud Adoption Framework van AWS uit 2016 te verkennen, dat uitgebreide begeleiding biedt die nuttig kan zijn, ongeacht de specifieke cloudserviceprovider die men gebruikt.
Inzicht in de pijlers van cloudbeveiliging
Het panel begon met het identificeren van drie pijlers die fundamenteel zijn voor een effectief cloudbeveiligingsprogramma. Ten eerste is eindpuntbeveiliging van het allergrootste belang, vooral in sectoren die gevoelig zijn voor frequente aanvallen, zoals de cryptocurrency-sector.
Ten tweede hebben ze de preventie van gegevensverlies (DLP) onder de aandacht gebracht. Nu het personeelsbestand zich uitbreidt en op afstand werkt, is het lekken van gegevens een opvallend probleem geworden. Het garanderen van toegang tot cruciale informatie zonder de veiligheid in gevaar te brengen via mechanismen zoals eenmalige aanmelding of tweefactorauthenticatie is van cruciaal belang.
De laatste pijler draaide om cyberhygiëne. Naarmate organisaties groeien, wordt het creëren van een cultuur van goede cyberbeveiligingspraktijken onmisbaar. Ervoor zorgen dat medewerkers, zowel oude als nieuwe, dat ook zijn Goed geïnformeerd zijn over potentiële bedreigingen is van cruciaal belang.
Overstappen naar de cloud: waar te beginnen?
Bij het overwegen van de overstap naar de cloud werd de vraag 'waar te beginnen' beantwoord door zowel Anand Nirgudkar als Ivy Young. Anand benadrukte het belang van het begrijpen en rangschikken van activa voordat er migratiebeslissingen worden genomen. Hij pleitte voor een beoordeling op basis van het risico en de zakelijke impact die gepaard gaan met de potentiële migratie van elk asset.
In navolging van soortgelijke gevoelens benadrukte Ivy het belang van zakelijke doelstellingen. Er werd geadviseerd om te beginnen met het migreren van minder cruciale assets om ervaring op te bouwen, en vervolgens geleidelijk over te stappen op meer kritische werklasten, waardoor het vertrouwen werd bevorderd en een praktische leeromgeving werd gecultiveerd.
MAS Public Cloud-richtlijnen: belangrijkste aandachtspunten
Een van de meest prangende vragen had betrekking op de veranderingen die de MAS public cloud-richtlijnen met zich meebrachten. Anand gaf een heldere samenvatting van de essentiële elementen van de richtlijnen.
Hij prees MAS voor zijn uitgebreide circulaire, die ingaat op aspecten variërend van de introductie van verschillende servicemodellen, gedeelde verantwoordelijkheden, identiteits- en toegangsbeheer, benaderingen van werklastbeveiliging en zero-trust beveiligingsprincipes.
De richtlijnen pleiten ook voor continu testen, gegevensbeveiliging, sleutelbeheer en meer. De nadruk op een risicogebaseerde beveiligingsaanpak vormt de ruggengraat van de hele circulaire, wat het belang van een evenwichtige, pragmatische benadering van cloudbeveiliging onderstreept.
Cloud als zakelijke noodzaak
Hoewel niet alle vragen konden worden beantwoord vanwege tijdgebrek, bieden de inzichten die door de panelleden worden gedeeld leerrijk onderwijs van onschatbare waarde. De 'Hoe de nieuwe MAS Public Cloud-richtlijnen impact op u hebben' webinar onderstreepte hoe de adoptie en beveiliging van de cloud niet louter IT-beslissingen zijn, maar cruciale zakelijke imperatieven zijn in het huidige digitale tijdperk.
Hoewel de nieuwe MAS-richtlijnen een extra laag van complexiteit introduceren, luiden ze ook een tijdperk van verbeterde veiligheid, transparantie en vertrouwen in. Terwijl organisaties zich door deze richtlijnen heen bewegen, wordt een alomvattende, strategische en proactieve benadering van de adoptie en beveiliging van de cloud niet alleen aanbevolen, maar ook essentieel.
Bekijk het on-demand webinar Op deze link inzichten te verkrijgen.
Horangi zal deelnemen aan het komende Singapore Fintech Festival dat plaatsvindt van 15 tot 17 november. Lees meer over hun standdeelname hier.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/
