Richtlinie zum Cloud- und Daten-Risikomanagement im Technologiebereich (RMiT) der BNM in Malaysia

Überblick über die Bestimmungen

Die Richtlinie der Bank Negara Malaysia (BNM) zum Risikomanagement im Technologiebereich (RMiT) dient der Schaffung eines formellen Rahmens für Risikomanagementprogramme, die bei der Einführung von Cloud- und anderen technologischen Innovationen in malaysischen Finanzinstituten zum Einsatz kommen.

Am 1. Juni 2023 veröffentlichte die BNM ein aktualisiertes Grundsatzdokument zur RMiT-Richtlinie. Alle Finanzinstitute müssen robuste Risikomanagementkontrollen einführen, die über die aufsichtsrechtlichen Mindeststandards hinausgehen, um effiziente Finanzdienstleistungen auf sichere Weise zu erbringen und die Ausnutzung von Schwachstellen in miteinander verbundenen Netzen und Systemen durch robuste Cyber-Schutzmaßnahmen zu verhindern, damit das Vertrauen der Öffentlichkeit in das Finanzsystem erhalten bleibt.

Zu den wichtigsten Neuerungen im Grundsatzdokument zur RMiT-Richtlinie gehören:

• Zusätzliche Leitlinien zur Stärkung der Cloud-Risikomanagement-Fähigkeiten von Finanzinstituten
• Umstellung auf einen risikobasierten Ansatz bei der Cloud-Konsultation und Meldeverfahren mit entsprechenden Aktualisierungen bei der Risikobewertung und der Einreichungsanforderung. Die Verwendung der Multi-Faktor-Authentifizierung (MFA) wird als Standardanforderung festgelegt.
• Das FAQ-Dokument wurde überarbeitet, um die Umsetzung der überarbeiteten Anforderungen zu erleichtern.

Das Grundsatzdokument zur RMiT-Richtlinie der BNM trat am 1. Januar 2020 in Kraft. Ein überarbeitetes Grundsatzdokument wurde am 1. Juni 2023 veröffentlicht und trat an diesem Tag in Kraft. Es ersetzt das vorherige Grundsatzdokument vom 1. Januar 2020, mit Ausnahme der Absätze 10.49, 10.50, 10.51 und 10.52, die bis zum 31. Mai 2024 gültig blieben.

Als führender Anbieter von digitalen Sicherheits- und Identitätslösungen kann Thales Unternehmen dabei helfen, die entsprechenden Vorgaben der RMiT-Richtlinie des BNM zu erfüllen, indem wir sie mit Cloud-Dienstleistern wie Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) und anderen zusammenführen.

Unsere Lösungen unterstützen Sie bei der Einhaltung der RMiT-Richtlinie in den folgenden Bereichen:

Systementwicklung und -beschaffung:

• CipherTrust Tokenization anonymisiert sensible Informationen in Testdaten, sodass weniger privilegierte oder Drittanbieter sie ohne das Risiko eines Datenverlustes verarbeiten können.
• Um strukturierte und unstrukturierte Daten wie Quellcodes zu sichern, kann CipherTrust Transparent Encryption den gesamten Quellcode verschlüsseln, um ihn vor unberechtigtem Zugriff zu schützen.

Kryptografie:

• Die CipherTrust Data Security Platform verwendet auf Branchenstandards basierende Algorithmen, Hashing und Signierung mit RNG in einer zentralisierten und sicheren Plattform.
• CipherTrust Manager (CM) in der CipherTrust Data Security Platform bietet umfassendes Key Lifecycle Management sowie CipherTrust Cloud Key Management – die zentralisierte Multi-Cloud-Lösung für das Schlüsselmanagement. CM bietet eine Schlüsselrotation, die bei der Wiederherstellung von kompromittierten kryptografischen Schlüsseln helfen kann. Außerdem bietet es robuste Funktionen zur Rollentrennung. Dies kann durch Sicherheitsverwaltungsdomänen erweitert werden, die diese rollenbasierte Verwaltung mit der Möglichkeit kombinieren, das Management von Richtlinien, Datenverschlüsselungsschlüsseln, Agentenkonfigurationen und Prüfprotokollen für eine bestimmte Geschäftsgruppe zu unterteilen.
• CipherTrust Transparent Encryption ermöglicht eine automatische Schlüsselrotation ohne Ausfallzeiten der Anwendung, sodass die Kunden bei Bedarf problemlos auf neuere kryptografische Standards umsteigen können.
• Thales ist der führende Anbieter von Hardware-Sicherheitsmodulen (HSM) weltweit und unter Banken in Malaysia. Thales HSMs sind nach internationalen Sicherheitsstandards wie FIPS-140-2 Level 3, Common Criteria, EIDAS und PCI-PTS zertifiziert.

Betrieb von Rechenzentren:

• Sensible Daten auf Wechseldatenträgern können mit der CipherTrust Data Security Platform geschützt werden, die sicherstellt, dass die Daten vor der Speicherung und dem Transport verschlüsselt werden. CipherTrust Key Management lässt sich mit den führenden Anbietern von Backup-Lösungen integrieren, um die Backup-Verschlüsselungsschlüssel zu verwalten und die Daten von den Schlüsseln zu trennen. Außerdem schützt es die Daten, bevor sie gesichert und auf dem Wechselmedium gespeichert werden.

Cloud-Dienste:

• Mit der Hold-Your-Own-Key (HYOK)-Technologie von CipherTrust Cloud Key Management behalten die Kunden von Cloud-Dienstleistern die volle Kontrolle und das Eigentum an ihren Daten, indem sie den Zugang zu den Verschlüsselungsschlüsseln kontrollieren und so das Risiko der Datenweitergabe an Außenstehende ausschließen.
• Die CipherTrust Data Security Platform hilft Finanzunternehmen, ihre auf Cloud-Servern gespeicherten Daten zu verschlüsseln, um sie vor unbefugter Offenlegung und unbefugtem Zugriff (auch vonseiten des Cloud-Dienstleister) zu schützen, indem sie die Hold-Your-Own-Key (HYOK)-Technologie verwendet.

Zugriffskontrolle:

• CipherTrust Transparent Encryption (CTE) ermöglicht die Aufgabentrennung zwischen dem Sicherheitsadministrator und dem Systemadministrator innerhalb von Servern und stellt sicher, dass die Systemadministratoren oder privilegierten Konten keinen Zugriff auf sensible Verschlüsselungsschlüssel haben, während die Sicherheitsadministratoren keinen Zugriff auf die Daten haben. Es protokolliert alle Dateiaktivitäten von Betriebssystembenutzern, die an ein Syslog oder SIEM weitergeleitet werden.

Hauptrisiken und Kontrollmaßnahmen für Cloud-Dienste: CipherTrust Data Security Platform, CipherTrust Tokenization-Lösungen, CipherTrust Transparent Encryption, CipherTrust Key Management, CipherTrust Cloud Key Management und HSM.

• Die CipherTrust Data Security Platform (CDSP) verfügt über verschiedene Module und Ansätze, um Kunden dabei zu helfen, ihre in der Cloud gespeicherten Daten abzusichern, darunter Bring-Your-Own-Encryption (BYOE), Hold-Your-Own-Key (HYOK), Bring-Your-Own-Key (BYOK) sowie eine zentralisierte Multi-Cloud-Schlüsselverwaltungsfunktion, um eine vollständige und umfassende Datenschutzlösung für alle Arten von Daten und Anwendungsfällen in der Cloud zu bieten. Sie ermöglicht die Migration verschlüsselter Daten zwischen verschiedenen Clouds und beseitigt damit die Abhängigkeit von bestimmten Formaten, die von verschiedenen Cloud-Anbietern verwendet werden. So sind die Kunden nicht an eine einzige Cloud gebunden. CDSP bietet eine vollständige Garantie für die Datenvernichtung beim Verlassen einer Cloud durch digitale Aktenvernichtung und bietet verschiedene Verschlüsselungsoptionen und -methoden für in der Cloud gespeicherte Daten.
• Mit CipherTrust Transparent Encryption (CTE) und CipherTrust Tokenization können Finanzunternehmen Daten verschlüsseln, bevor sie in die Cloud übertragen werden. Anonymisierung von Daten vor dem Einspeisen in Cloud Data Lakes. CTE bietet nicht nur Verschlüsselung, sondern setzt auch eine granulare Zugriffskontrolle (getrennt von der Zugriffskontrolle des Betriebssystems) für privilegierte Benutzer um, um Missbrauch zu verhindern.
• Thales Luna HSMs bieten einen manipulationssicheren Hardwareschutz, der für digitale Signierlösungen entscheidend ist.
• CipherTrust Key Management (CCKM) lässt sich in VMware integrieren, um VM-Image-Verschlüsselung und VSAN-Verschlüsselung zu ermöglichen, während CipherTrust Transparent Encryption es ermöglicht, Daten innerhalb von VMs und Containern durch Verschlüsselung und Zugriffskontrolle transparent zu sichern, ohne dass Änderungen an der Anwendung erforderlich sind. CCKM ermöglicht Hold-Your-Own-Key (HYOK) für Cloud- und Multi-Cloud-Umgebungen, in denen Kunden das Eigentum an ihrem Verschlüsselungsschlüssel behalten, und bietet einen umfassenden und zentralisierten Ansatz für die Multi-Cloud-Schlüsselverwaltung, der die sichere Erzeugung, Speicherung und Verteilung von Schlüsseln in mehreren Clouds ermöglicht. Dies reduziert die Komplexität und die hohen Verwaltungskosten, die mit der Nutzung mehrerer Clouds verbunden sind.