Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
Saxo Bank har lagt overvågningen af trafikken gennem firewalls ud til eSec, som analyserer de mange log-filer. Men beslutningen om, hvordan der skal reageres, tager banken selv.
Internetinvesteringsbanken Saxo Bank har outsourcet overvågningen af firewalls og logfiler til det danske it-sikkerhedsselskab eSec Security Management.
Det ligger dog fast, at det er en del af sikkerhedsarbejdet, der er outsourcet, ikke ansvaret.
- Det er mig, der som CSO har ansvaret for sikkerheden. Selvfølgelig har vi indbygget sanktioner i kontrakten med selskabet, vi har outsourcet sikkerhedsopgaver til, men det er mest for at anspore dem. Hvis først skaden skulle ske, ville det ikke hjælpe os at ruinere sikkerhedsleverandøren, siger David Boye, der er Chief Security Officer i Saxo Bank.
Den opfattelse har banken, fordi den er en af de stadig flere virksomheder, hvis forretningsmodel er baseret på internettet.
- Såvel kundernes køb og salg af værdipapirer som aktiviteter som marketing foregår via nettet, og det betyder, at it-sikkerheden skal fungere - i modsat fald ville tabene i omsætning og troværdighed være betydelige, siger David Boye.
I eSecs løsning går al trafik på bankens handelsplatform såvel som de ansattes webtrafik gennem et filter, hvor den overvåges af en såkaldt IDS-sensor (Intrusion Detection System), som registrerer risikabel trafik i en log. Disse logfiler analyseres, blandt andet ud fra en database over aktuel hackeraktivitet, og herudfra modtager banken ugentlige og månedlige rapporter, som blandt andet peger på eventuelle svage punkter i netværket i forhold til det aktuelle trusselsbillede.
- I starten havde vi eSec til at holde øje med al trafikken. Det lærte vi meget af - først og fremmest om at skelne fjendtlig trafik fra venligsindet. Men senere har vi begrænset eSecs overvågning til det, der kommer gennem firewall'en, hvilket stadig er en betydelig mængde trafik, siger David Boye.
Det genererer i nogle uger mellem 30.000 og 90.000 alarmer. Det allermeste er trafik, der ikke udgør nogen fare for professionelle virksomheder, ofte amatøragtige søgninger efter åbne porte. I gennemsnit en gang om måneden forekommer der noget, der skal ses nærmere på.
- Så sms'er, ringer og faxer eSecs folk. Vi går ikke i panik, men undersøger det med det samme, siger David Boye.
Tidligere lå opgaven med at reagere på mulige trusler i bankens driftsafdeling, men den blev for et par år siden flyttet over i sikkerhedsafdelingen, der har det som førsteprioritet.
Denne outsourcing er ikke er sket af økonomiske årsager. Løsningen koster ifølge David Boye mere eller mindre det samme, som det ville have kostet banken at løse opgaven selv.
- Vi slipper for bøvlet. I dag er det en forholdsvis triviel opgave at gennemgå logfiler, så det kan vi lægge ud. Desuden ville det være svært for os at tilrettelægge overvågningen, så vi altid har medarbejdere til rådighed, der kan løse opgaven i betragtning af, at vi kører treholdsskift og kun har lukket 25. december og 1. januar, siger CSO'en.
Efter at sikkerhedsovervågningen er blevet outsourcet, har Saxo Banks primære fokus ligget på, at alarmerne samles op i organisationen, ellers vil investeringerne, som David Boye siger, være spildt.
- De skal kunne analysere trafikken og gøre opmærksom på, når der er noget mistænkeligt. Men vi skal selv have tekniske folk, der ud fra en viden om forretningen kan analysere begivenhederne og beslutte, hvordan vi skal reagere - også i situationer, hvor du ikke kan være sikker på, om der er noget galt eller ej. En eventuel beslutning om at lukke dele af forretningen ned, kan vi ikke overlade til andre, siger David Boye.
Outsourcing af sikkerhedsopgaver er i meget høj grad et spørgsmål om tillid, og det tager tid. Det skal man ifølge David Boye gøre sig klart, inden man går i gang med sådan et projekt.
- Vi har brugt en del tid på at tale både med accountmanageren og med de tekniske folk, ligesom vi undersøgte, om de havde de tekniske kompetencer, inden vi gik i gang. Det må man ikke tage sælgerens ord for, siger han.
Billedtekst:
forenkling Saxo Bank har ikke outsourcet sikkerheden af økonomiske årsager. Løsningen koster ifølge Chief Security Officer David Boye mere eller mindre det samme, som det ville have kostet banken at løse opgaven selv. Foto: Torben Klint
