Cybersikkerhed i messaging-branchen og vores strategiske indsats mod nye trusler
Internettet er i konstant udvikling på både godt og ondt. Når det kommer til sikkerhed, så dukker der hele tiden nye trusler op udtænkt af kreative kriminelle.
Messaging-branchen er ingen undtagelse, og den er i stigende grad mål for svindel og angreb, herunder AIT, SMS-phishing og hacking.
Cybersikkerhed har fra starten været en kritisk del af GatewayAPI og er også sammenvævet med vores daglige drift. På baggrund af den hastige udvikling i trusselsbilledet afsætter vi løbende flere ressourcer området samt indfører nye sikkerhedsforanstaltninger, som du kan læse mere om nedenfor.
Dette blogindlæg er det første i rækken inden for temaet sikkerhed, hvor vi ser på emnet fra forskellige vinkler med udgangspunkt i messaging branchen. Vi kommer i dette indlæg IKKE ind på GDPR og vores ISAE 3000 certificering, som du i stedet kan læse mere om her.
Sikkerhedsrammeværk baseret på ISO-standarderne
Selvom vi har implementeret flere foranstaltninger for at styrke sikkerheden i GatewayAPI, anerkender vi vigtigheden af at være på forkant med nye risici ved at anvende en holistisk og proaktiv tilgang.
Vores styringssystem inden for informationssikkerhed (ISMS) er central for dette. Rammen er bygget op omkring principperne i ISO-standarderne, som sikrer, at vi systematisk vurderer risici og implementerer kontrolforanstaltninger for at mindske dem. Hvert år gennemfører vi omfattende risikovurderinger, som giver os mulighed for at tilpasse vores strategier og holde os ajour med best practices. Disse rammeværker hjælper os ikke kun med at beskytte vores platform, men de er også retningsgivende for fremtidige certificeringer, som vi sigter mod at opnå.
Engagement på tværs af virksomheden og branchen
Vi har fokus på at fremme en kultur, hvor sikkerhed er i højsædet via interne initiativer såsom vores Innovation Days. Disse arrangementer fokuserer på at udforske nye måder at styrke vores platforms sikkerhed på og give vores teams mulighed for at samarbejde om løsninger, der imødegår de seneste trusler.
Et andet vigtigt område er vores engagement i at forbedre sikkerheden inden for telekommunikationsindustrien. Vi arbejder aktivt på at gøre SMS’er mere sikre for alle brugere ved at bidrage til initiativer som Sender ID beskyttelse. Det forhindrer kriminelle i at udgive sig for at være legitime virksomheder, hvilket er en taktik, der er blevet mere og mere udbredt i forbindelse med phishing-angreb. Derudover gør vi meget ud af at oplyse vores kunder om sikkerhed gennem vores forskellige kommunikationskanaler.
Desuden forbereder vi os på virkningen af direktivet om netværks- og informationssystemer (NIS2), som stiller strenge sikkerhedskrav til en række brancher, der anses som kritisk infrastruktur. Vi tager proaktive skridt for at sikre, at vores systemer lever op til disse standarder i erkendelse af, at disse retningslinjer repræsenterer fremtidens best practices inden for sikkerhed.
Konkrete initiativer: Sikkerhedsværktøjer, penetrationstest og scanninger
Vi har indtil nu set på, hvordan vi strategisk arbejder med sikkerhed. Nedenfor vil vi fremhæve udvalgte initiativer, som vi mener har stor betydning for sikkerheden på både GatewayAPI samt branchen som helhed.
De udgøres af: Sikkerhedsværktøjer i GatewayAPI, herunder automatisk blokering af ikke godkendte URLs, IP whitelisting samt geo permissions. Derudover udgøres de af tilbagevendende sikkerhedsprocesser, herunder eksterne penetrationstest og scanninger.
Ekstern penetrationstest
Som en del af vores årlige compliance hjul gennemfører vi en ekstern penetrationstest af GatewayAPI. Den seneste penetrationstest blev håndteret af en gruppe internationale konsulentfirmaer, ledet af Epiventus og Thursday Consulting og med udførelse af Shards Cybersecurity Consulting. Testen inkluderede både grundige automatiserede scanninger og manuelle forsøg på at finde sårbarheder.
En af de store fordele ved at invitere eksterne eksperter er, at de kan gøre en opmærksom på blinde vinkler, som man selv har overset. Derudover arbejder specialisterne med sikkerhed til daglig, de er trænet i at tænke som black-hat hackere, og de har indgående kendskab til de sårbarheder, der potentielt set kan udnyttes. De har derfor ofte et bedre udgangspunkt for at finde frem til eventuelle sikkerhedshuller end en selv.
Testen kræver en større investering, men er særdeles værdifuld, og er derfor godt givet ud. Penetrationstesten udmønter sig ofte i en rapport med en prioriteret liste over områder, der skal kigges på, samt anbefalinger til forbedringer, hvilket hjælper en med at fokusere på de mest kritiske sårbarheder først – hvis der er nogen.
Et skridt foran hackerne
Det er afgørende for alle organisationer løbende at vurdere og forbedre deres sikkerhedsforanstaltninger for at beskytte sig mod nye trusler. Vi bestræber os altid på at skabe transparens, og derfor vil vi gerne dele vores resultater i håb om, at dette blogindlæg kan inspirere andre virksomheder til også at give deres systemer et serviceeftersyn. At holde sig ajour med best practice og de nyeste sikkerhedsfunktioner er afgørende for at være et skridt foran hackerne.