Rozwój technologiczny i rosnąca skala cyberzagrożeń powoduje, że kwestie efektywnej ochrony systemów bankowych i środków klientów nie schodzą z agendy zarządzających firmami sektora finansowego. Nadal jednak tylko co dziesiąta z nich wprowadziła jednocześnie wszystkie podstawowe narzędzia bezpieczeństwa informatycznego. Jak wynika z badania Financial Cyber Survey, przygotowanego przez firmę doradczą Deloitte, za największe zagrożenie ankietowani uznają phishing i złośliwe oprogramowanie. Niezbędnym elementem obrony przed cyberatakami, skutecznie poprawiającym odporność organizacji są właściwie wyszkoleni pracownicy oraz strategiczny plan reagowania.
– Sektor finansowy ze swej natury jest bardzo podatny na wszelkiej maści zagrożenia, wśród których do rangi najważniejszego urosły w ostatnich latach cyberataki. To powoduje, że branża znana jest z wysokiego poziomu dojrzałości w zakresie bezpieczeństwa informatycznego. Musimy stale testować nowe rozwiązania i badać potencjalne luki, wprowadzać efektywne strategie reagowania na zagrożenia i bacznie przyglądać się regulacjom prawnym; poczucie samozadowolenia i brak aktywności w tym obszarze będą zgubne – mówi Przemysław Szczygielski, partner, lider sektora finansowego w Polsce, lider zarządzania ryzykiem oraz doradztwa regulacyjnego, Deloitte.
Spis treści:
Zagrożenie cybernetyczne stale rośnie
Błyskawicznie zmieniające się regulacje, napędzane dynamicznym rozwojem technologicznym, często pojawiającymi się innowacyjnymi produktami i usługami powodują, że zagadnienia z zakresu cyberbezpieczeństwa nie przestają zaprzątać uwagi odpowiedzialnych za zarządzanie instytucjami finansowymi. Tym bardziej, że za postępem informatycznym idą adekwatnie coraz bardziej zaawansowane techniki skrzętnie wykorzystywane przez przestępców szukających korzyści finansowych.
Badanie Deloitte wskazuje, że w 42 proc. przypadków ta tematyka jest analizowana przez zarządzających instytucjami finansowymi przynajmniej co miesiąc. 35 proc. omawia cyberbezpieczeństwo raz na kwartał, podczas gdy 23 proc. wskazuje, że jest ono przedmiotem uwagi najwyższego kierownictwa dwa razy w roku lub rzadziej.
Zagrożenie cybernetyczne stale rośnie – 72 proc. respondentów ocenia, że w ciągu ostatnich dwóch lat jego poziom wzrósł lub znacząco wzrósł. Ponad jedna trzecia uznaje, że do tego wzrostu przyczynił się czas pandemii Covid-19. Zdaniem ekspertów Deloitte w ostatnim czasie zmienił się jednak kształt zagrożeń – dziś chodzi nie tylko i nie zawsze o kradzież pieniędzy czy danych osobowych, ale czasami także o wyrządzenie szkód tylko dla samej szkody.
Głównym sposobem penetracji organizacji sektora finansowego pozostaje phishing i złośliwe oprogramowanie, np. wykorzystujące rozmaite narzędzia socjotechniczne. Za największe zagrożenie uważa je ponad połowa respondentów.
– Nie jest niespodzianką, że phishing jest uważany przez przedsiębiorstwa finansowe za największe zagrożenie dla cyberbezpieczeństwa. Badania pokazują, że 91 proc. udanych ataków kradzieży danych rozpoczęło się od celowanego ataku – poprzez spreparowany email lub spear phishing. Jednocześnie prawie 30 proc. pracowników instytucji statystycznie ulega takim atakom podczas wykonywanych testów phishingowych – mówi Adam Rafajeński, dyrektor, lider usług cyber, Deloitte.
Ekspert podkreśla, że w ciągu miesiąca notuje się powstawanie średnio aż 1,5 mln stron phishingowych. Dla przestępców jest to w dalszym ciągu bardzo skuteczna droga albo do wprowadzenia złośliwego oprogramowania do systemów informatycznych organizacji, albo do bezpośredniego oszustwa i przetransferowania środków z rachunku bankowego niczego niepodejrzewającego konsumenta. To na tym drugim przypadku od wielu lat najczęściej skupiają się aktywności zabezpieczające banków, mające przy tym bardzo ograniczone możliwości monitorowania środowiska pracy klienta.
Zbyt optymistyczna ocena własnej odporności na zagrożenia cybernetyczne
Z racji wieloletniej ekspozycji na potencjalne zagrożenia wiele przedsiębiorstw sektora finansowego ma całkiem pozytywny obraz własnej polityki bezpieczeństwa w tym zakresie. Zdaniem ekspertów Deloitte to poczucie może być jednak fałszywe. Szczególnie, że jak wynika z badania tylko jedna na dziesięć firm w pełni i jednocześnie wdrożyła wszystkie cztery elementy, które są powszechnie uważane za podstawowe narzędzia bezpieczeństwa cybernetycznego. Najczęściej instytucje finansowe koncentrują się na: planach samoobrony (53 proc.), strategiach reagowania (44 proc.), regularnie przeprowadzanych szkoleniach w zakresie świadomości grożących niebezpieczeństw (43 proc.) i tzw. cyberhigienie (37 proc.), czyli umiejętności odpowiedzialnego i efektywnego korzystania z nowych technologii.
W ciągu ostatnich 10 lat zagrożenia cyfrowe przestały być niedostrzegane i są powszechnie uznawane za integralną część procesów rozwoju produktów i systemów instytucji finansowych. Ta kompleksowość oznacza proaktywne podejście i uwzględnianie zagadnień cyberbezpieczeństwa już na najwcześniejszych etapach projektowania i budowania jakichkolwiek rozwiązań czy narzędzi. Ich brak już w początkowych fazach działania jest kosztowny, nieefektywny i stawia firmę w trudnej sytuacji. Dążenie do wysokiego poziomu dojrzałości cybernetycznej, oznacza jednak konieczność niezależnej weryfikacji poziomu i zakresu przyjętych rozwiązań, aby skutecznie unikać luk i nieścisłości wynikających ze zbyt wysokiej samooceny firm.
– Niezależnie od przyjętych rozwiązań systemowych czy technicznych, najważniejszym ogniwem w procesie ochrony przed cyfrowymi zagrożeniami są pracownicy banków. To właściwie przeszkolony i świadomy personel ma na tym polu fundamentalne i elementarne znaczenie. Ponadto, konieczne jest posiadanie zarówno planu strategicznego, jak i planu operacyjnego, w jaki sposób należy bronić się przed niebezpieczeństwami, których aktualnie doświadcza lub w przyszłości może doświadczać organizacja – mówi Adam Rafajeński.
Lepiej być o krok przed regulacjami
Firmy sektora finansowego muszą przestrzegać wielu przepisów i brać pod uwagę wiele organów regulacyjnych, których rozstrzygnięcia nie zawsze są ze sobą w pełni zgodne. To z pewnością nie ułatwia codziennego funkcjonowania i powoduje, że także podejście do zagadnień cyberbezpieczeństwa jest złożonym zadaniem.
Niemal połowa (47 proc.) badanych wskazuje, że jest w stanie w wysokim stopniu przestrzegać rządowych przepisów w zakresie prywatności IT i cyberbezpieczeństwa (np. RODO, prywatność danych w cyberprzestrzeni, outsourcing), a 41 proc. uważa może to robić w pewnym stopniu. Co istotne, jedna trzecia uznaje, że przestrzeganie tych przepisów jest dla nich trudne, a przeciwnego zdania jest niewiele mniej, bo 29 proc. respondentów. Najwięcej, 37 proc., odpowiadających nie uważa tego ani za trudne, ani za łatwe.
– W takiej sytuacji najlepszym rozwiązaniem jest nie tyle nadążanie za istniejącym prawem, ale stałe wyprzedzanie regulacji. Wprowadzanie innowacyjnych rozwiązań nie tylko daje przewagę w zakresie cyberbezpieczeństwa, ale jest także znacznie mniej kosztowne. Zgodność zaczyna mieć bardzo istotnie znaczenie w kontekście pojawiających się w Polsce coraz bardziej restrykcyjnych regulacji, które wysoko podnoszą stawkę zarówno w zakresie odpowiedzialności zarządu za cyberbezpieczeństwo, jak i ustalają potencjalne kary za utratę danych na poziomie zbliżonym do kar RODO – mówi Przemysław Szczygielski. Nowe regulacje obejmują m.in. nową wersję Ustawy o Krajowym Systemie Cyberbezpieczeństwa, przygotowaną regulację DORA (Digital Operational Resilience Act) oraz ostatnie zmiany w dyrektywie NIS 2.0.
