Open-Standard-Projekt für Compliance-Risiken: Die Fintech Open Source Foundation (FINOS), Stiftung für offene Innovation bei Finanzdienstleistungen, die zur Linux Foundation gehört, gab die Schaffung eines Open-Standard-Projekts bekannt. Es basiert auf einem von dem FINOS-Platinmitglied Citi entwickelten Ansatz und beschreibt einheitliche Kontrollen für den konformen Einsatz öffentlicher Clouds im Finanzdienstleistungssektor.
Da sich das Tempo des Einsatzes von Clouds in einer hochgradig fragmentierten weltweiten Regulierungslandschaft beschleunigt, zielt dieses kooperative Projekt darauf ab, einen einheitlichen Satz von Cybersicherheits-, Resilienz- und Compliance-Kontrollen für häufige Services bei allen großen Cloud-Dienstleistern (CD) zu entwickeln. Durch die Entwicklung einer einheitlichen Taxonomie üblicher Dienstleistungen und entsprechender Bedrohungen will das Projekt außerdem das systemische Risiko der Cloud-Konzentration abmildern. Das ist eines Probleme, die in den jüngsten Berichten des US-Finanzministeriums, des britischen HMT, des Europäischen Rats und der Monetary Authority of Singapore aufgezeigt wurden.
Viele Unternehmen bekennen sich zu FINOS
Dem Projekt, das von Citi initiiert und im Juli vom Governing Board von FINOS genehmigt wurde, schlossen sich rasch mehr als 20 FINOS-Mitgliederfirmen weltweit an. Dazu gehören unter anderem die Bank of Montreal (BMO), Citi, Goldman Sachs, Morgan Stanley, die London Stock Exchange Group (LSEG), die Natwest Group, der Cloud-Dienstleister Google Cloud und Anbieter wie GitHub, Red Hat, Symphony, Adaptive, Container Solutions, ControlPlane, GitLab und Scott Logic. Das Projekt geht im August in die Gründungsphase über. Im weiteren Jahresverlauf wird es im Rahmen der Community Specification License verfügbar werden. Unternehmen, die an einer Teilnahme interessiert sind, können sich hier bewerben.
Jim Adams, der Chief Technology Officer und Head of Technology Infrastructure von Citi, merkte dazu an: “Wir brauchen einen Cloud-Standard, der bestimmte Sicherheits- und Kontrollmaßnahmen in der Finanzdienstleistungsbranche verbessert – ein Open-Standard-Projekt für Compliance-Risiken. Gleichzeitig soll er den Zugang für alle Institutionen vereinfachen und demokratisieren. Damit können diese die öffentliche Cloud nutzen und davon profitieren. Es ist wichtig, zusammen mit unseren Peers Einheitlichkeit bei den Cloud-Dienstleistern sicherzustellen, um zu gewährleisten, dass die Branche echte Multi-Cloud-Strategien umsetzen kann.”
Open-Standard-Projekt
“Aufgrund der ausgesprochenen Komplexität und der wirtschaftlichen Triebkräfte dieser Herausforderung kann kein einzelner Anbieter, Finanzdienstleister oder Regulator definieren, was es bedeutet, dass der Einsatz einer finanziellen Cloud konform ist”, sagte Gabriele Columbro, der Executive Director von FINOS und General Manager von Linux Foundation Europe. “Der einzige Weg nach vorn ist die offene Kooperation der Beteiligten; daher freue ich mich außerordentlich darüber, dass so viele FINOS-Mitglieder sich rasch um dieses Projekt gruppiert haben. Dieses besitzt das Potenzial, sich zu einer der wertvollsten und transformativsten Initiativen in unserer Open-Source-Community und der ganzen Branche zu entwickeln.”
Durch die Angleichung der Kontrollen, die für ein Service-fokussiertes Bedrohungsmodell spezifisch sind, können wir durchgängige Kontrollen implementieren, welche die tatsächlichen Bedrohungen abbilden, die wir abzumildern haben, erklärte Jon Meadows, Head of Cloud, Application and Software Supply Chain Security von Citi, Citi Tech Fellow und Vorsitzender der Arbeitsgruppe OpenSSF End User.
Es wird erwartet, dass dieser Open Standard bestehende Bemühungen wie OSCAL von NIST, das Rahmenwerk MITRE ATT&CK und das FINOS-eigene Projekt Compliant Financial Infrastructure erweitern wird, um Taxonomien zu gemeinsamen Cloud-Dienstleistungen, Verfahren für gemeinsame Bedrohungen und entsprechende Abmilderungen, Beschreibungen logischer Kontrollen sowie Cloud-Service-spezifische Datenfluss-Diagramme zu entwickeln, um die häufigsten Angriffsvektoren in der Dienstleistung zu verstehen.
Forderung nach weltweiter Teilnahme am Projekt
Das Projekt fordert Finanzinstitute weltweit, Cloud-Dienstleister, Fintech- und Technologieanbieter, Branchenverbände und Regulatoren zur Teilnahme auf, um eine breite Vertretung aller Beteiligten sicherzustellen, die in das Modell der gemeinsamen Verantwortung eingebunden sind.
Hintergrund: Die Fintech Open Source Foundation (FINOS) ist eine unabhängige, gemeinnützige Organisation, die sich in einer Zeit beispielloser technologischer Transformation im Bereich Finanzdienstleistungen auf die Förderung offener Innovation fokussiert. FINOS ist davon überzeugt, dass Organisationen, die Open-Source-Software und gemeinsame Standards propagieren, am besten aufgestellt sein werden, um die Wachstumschancen wahrzunehmen, die sich aus dieser Transformation ergeben. Zu weiteren Informationen oder einer Teilnahme.
