Mówiąc o cyberbezpieczeństwie, nie bez powodu jako pierwszy przychodzi nam na myśl sektor finansowy – wszak chodzi o nasze pieniądze i ich bezpieczeństwo. Liczba operacji finansowych realizowanych w sieci z roku na rok wzrasta. Dziś już niewiele osób obraca żywą gotówką. Dobra wiadomość jest taka, że branża finansowa od lat jest liderem w zakresie wdrażania rozwiązań z zakresu bezpieczeństwa danych. Z jednej strony banki i inne instytucje finansowe muszą zagwarantować swoim klientom bezpieczeństwo i spokój, gdyż jest to podstawą ich działalności biznesowej. Z drugiej zaś – wymogi dotyczące bezpieczeństwa danych nakładane są na instytucje poprzez prawo-unijne i polskie. Przykładem takiej regulacji jest DORA (Digital Operational Resiliance Act) – projekt rozporządzenia Unii Europejskiej, która ma na celu ujednolicenie przepisów w zakresie cyfrowej odporności w krajach Wspólnoty. Wg definicji ekspertów z EY „Cyfrowa odporność operacyjna ma na celu zagwarantowanie ciągłości i utrzymanie jakości świadczonych usług w obliczu zakłóceń wpływających na technologie informacyjne i telekomunikacyjne (ICT) firm. Jest to zdolność do budowania, testowania i ciągłego doskonalenia integralności technologicznej i operacyjnej organizacji”. (1) DORA (Digital Operational Resilience Act) – nowe podejście do cyberbezpieczeństwa | EY Polska W Polsce lada chwila zacznie obowiązywać też Dyrektywa NIS2 (Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii), która zastąpi obecnie obowiązującą NIS (pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, przyjęte w 2016 roku).
Instytucje finansowe, które zostaną objęte dyrektywą NIS2 będą miały szereg nowych obowiązków m.in. w zakresie zarządzania, obsługi incydentów, ujawniania luk bezpieczeństwa, testowania poziomu cyberbezpieczeństwa swoich systemów itp. Został w niej także rozbudowany zakres raportowania o incydentach, a także wprowadzono odpowiedzialność kierownictwa firmy za „zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie”.
Do tej pory obowiązki związane z zapewnieniem cyberbezpieczeństwa w sektorze finansowym dotyczyły niemal wyłącznie banków. Zgodnie z projektem NIS2 lista podmiotów ulegnie teraz poszerzeniu np. o firmy ubezpieczeniowe.
Ciekawą regulacją na rodzimym rynku finansowym jest z kolei komunikat Chmurowy Komisji Nadzoru Finansowego z roku 2020, który wskazuje, w jaki sposób wdrożyć chmurę w tej branży, aby zapewnić bezpieczeństwo podczas korzystania z technologii. Jest on neutralny technologicznie, czyli nie wskazuje wprost, jakie rozwiązania technologiczne mają być przyjęte. Według jego zaleceń pierwszym krokiem przy wdrażaniu rozwiązań opartych na usługach cloudowych jest przeprowadzenie tzw. analizy luki, czyli sprawdzenie, w jakim stopniu organizacja działa w zgodzie z regulacjami. Kolejnym działaniem jest sporządzenie strategii chmurowej przed podmioty finansowe bezpieczeństwa. Wreszcie, Komunikat Chmurowy wprowadził obowiązek ciągłego monitorowania i testowania wykorzystywanej usługi.
Nie należy również zapominać, że cyberbezpieczeństwo w naturalny sposób wiąże się z ochroną danych osobowych, gdyż jest to podstawowe aktywo informatyczne banków i instytucji finansowych. Stąd też, mamy tu również do czynienia z całym obszarem zagadnień regulowanym przez RODO.
W poszukiwaniu adekwatnych rozwiązań
Rosnąca presja konsumentów na zapewnienie jak najbezpieczniejszych transakcji, oraz wymogi w zakresie cyberbezpieczeństwa stawiane przez prawo polskie i unijne, sprawiają, że instytucje finansowe poszukują wsparcia wśród firm technologicznych.
Obszar i działania związane z zapewnieniem bezpieczeństwa informatycznego można podzielić na następujące kategorie:
- analiza ryzyka, audyt IT, wsparcie w tworzeniu procedur w przypadku incydentów
- zapewnienie ciągłości działania, by nie dopuścić do awarii albo szybko zadziałać w przypadku problemów
- usługi typu Security Operations Center (SOC), czyli monitorowanie i analiza zdarzeń bezpieczeństwa w trybie całodobowym – monitorowanie sieci pod kątem luk, wektorów ataku i zagrożeń. Analitycy SOC chronią więc przed zakłóceniami ze strony człowieka. Ich zadaniem jest identyfikacja, sortowanie i reagowanie na ataki cybernetyczne, które mogą zakłócić działanie lub w inny sposób zaszkodzić firmie.
- usługi typu Network Operations Center (NOC) – koncentrujące się przede wszystkim na zapobieganiu zakłóceniom sieci spowodowanym zdarzeniami naturalnymi lub niespowodowanymi przez człowieka. Należą do nich przerwy w dostawie prądu, przerwy w dostępie do Internetu, klęski żywiołowe itp.
Outsourcing usług bezpieczeństwa jako optymalne rozwiązanie
Firmy zmagają się nie tylko z niedoborem wykwalifikowanych kadr w obszarze cyberbezpieczeństwa, ale również z zapewnieniem ich maksymalnego wykorzystania, gdyż związane z tym koszty są znaczące. Coraz więcej przedsiębiorstw decyduje się na wiec na outsourcing tych kompetencji, bez konieczności inwestowania we własny dział Security.
Podejście to stało się ostatnio bardzo popularne zarówno wśród małych, jak i dużych organizacji ze względu na jego elastyczność, wydajność i stosunkowo niskie koszty. Skorzystanie z takiego rozwiązania pozwala także firmom nie troszczyć się o szkolenia, utrzymywanie niezbędnej infrastruktury czy rozbudowanie zespołu w przypadku np. zwiększenia zakresu działalności firmy.
W modelu usługowym możliwe jest zatrudnienie eksperta w roli security offcera na niewielką część etatu. Zakres jest pracy jest ściśle określony z dostawcą i rozliczany wg z góry ustalonych stawek. Jeżeli zaś zachodzi potrzeba dodania bądź wyłączenia pewnych usług, odbywa się to natychmiast i nie powoduje żadnych zakłóceń ani nie generuje dodatkowych potrzeb związanych z zatrudnieniem dodatkowej osoby lub konieczności szkoleń czy zmian w zespole.
Jeżeli chcesz się przekonać, jak efektywne i elastyczne może być takie rozwiązanie – skontaktuj się z nami!
