{"id":43472,"date":"2022-11-08T10:13:15","date_gmt":"2022-11-08T09:13:15","guid":{"rendered":"https:\/\/neweuvic.dev.euvic.cloud\/?p=43472"},"modified":"2022-11-08T10:30:45","modified_gmt":"2022-11-08T09:30:45","slug":"cyberbezpieczenstwo-w-sektorze-finansowym","status":"publish","type":"post","link":"https:\/\/neweuvic2.dev.euvic.cloud\/pl\/cyberbezpieczenstwo-w-sektorze-finansowym\/","title":{"rendered":"Cyberbezpiecze\u0144stwo w sektorze finansowym"},"content":{"rendered":"\n
M\u00f3wi\u0105c o cyberbezpiecze\u0144stwie, nie bez powodu jako pierwszy przychodzi nam na my\u015bl sektor finansowy \u2013 wszak chodzi o nasze pieni\u0105dze i ich bezpiecze\u0144stwo. Liczba operacji finansowych realizowanych w sieci z roku na rok wzrasta. Dzi\u015b ju\u017c niewiele os\u00f3b obraca \u017cyw\u0105 got\u00f3wk\u0105. Dobra wiadomo\u015b\u0107 jest taka, \u017ce bran\u017ca finansowa od lat jest liderem w zakresie wdra\u017cania rozwi\u0105za\u0144 z zakresu bezpiecze\u0144stwa danych. Z jednej strony banki i inne instytucje finansowe musz\u0105 zagwarantowa\u0107 swoim klientom bezpiecze\u0144stwo i spok\u00f3j, gdy\u017c jest to podstaw\u0105 ich dzia\u0142alno\u015bci biznesowej. Z drugiej za\u015b \u2013 wymogi dotycz\u0105ce bezpiecze\u0144stwa danych nak\u0142adane s\u0105 na instytucje poprzez prawo-unijne i polskie. Przyk\u0142adem takiej regulacji jest DORA (Digital Operational Resiliance Act) – projekt rozporz\u0105dzenia Unii Europejskiej, kt\u00f3ra ma na celu ujednolicenie przepis\u00f3w w zakresie cyfrowej odporno\u015bci w krajach Wsp\u00f3lnoty. Wg definicji ekspert\u00f3w z EY \u201eCyfrowa odporno\u015b\u0107 operacyjna ma na celu zagwarantowanie ci\u0105g\u0142o\u015bci i utrzymanie jako\u015bci \u015bwiadczonych us\u0142ug w obliczu zak\u0142\u00f3ce\u0144 wp\u0142ywaj\u0105cych na technologie informacyjne i telekomunikacyjne (ICT) firm. Jest to zdolno\u015b\u0107 do budowania, testowania i ci\u0105g\u0142ego doskonalenia integralno\u015bci technologicznej i operacyjnej organizacji\u201d. (1) DORA (Digital Operational Resilience Act) \u2013 nowe podej\u015bcie do cyberbezpiecze\u0144stwa | EY Polska W Polsce lada chwila zacznie obowi\u0105zywa\u0107 te\u017c Dyrektywa NIS2 (Dyrektywa w sprawie \u015brodk\u00f3w na rzecz wysokiego wsp\u00f3lnego poziomu cyberbezpiecze\u0144stwa na terytorium Unii), kt\u00f3ra zast\u0105pi obecnie obowi\u0105zuj\u0105c\u0105 NIS (pierwsze europejskie prawo w zakresie cyberbezpiecze\u0144stwa, przyj\u0119te w 2016 roku). <\/strong><\/p>\n\n\n\n Instytucje finansowe, kt\u00f3re zostan\u0105 obj\u0119te dyrektyw\u0105 NIS2 b\u0119d\u0105 mia\u0142y szereg nowych obowi\u0105zk\u00f3w m.in. w zakresie zarz\u0105dzania, obs\u0142ugi incydent\u00f3w, ujawniania luk bezpiecze\u0144stwa, testowania poziomu cyberbezpiecze\u0144stwa swoich system\u00f3w itp. Zosta\u0142 w niej tak\u017ce rozbudowany zakres raportowania o incydentach, a tak\u017ce wprowadzono odpowiedzialno\u015b\u0107 kierownictwa firmy za \u201ezgodno\u015b\u0107 ze \u015brodkami zarz\u0105dzania ryzykiem w cyberbezpiecze\u0144stwie\u201d.<\/p>\n\n\n\n Do tej pory obowi\u0105zki zwi\u0105zane z zapewnieniem cyberbezpiecze\u0144stwa w sektorze finansowym dotyczy\u0142y niemal wy\u0142\u0105cznie bank\u00f3w. Zgodnie z projektem NIS2 lista podmiot\u00f3w ulegnie teraz poszerzeniu np. o firmy ubezpieczeniowe.<\/p>\n\n\n\n Ciekaw\u0105 regulacj\u0105 na rodzimym rynku finansowym jest z kolei komunikat Chmurowy Komisji Nadzoru Finansowego z roku 2020, kt\u00f3ry wskazuje, w jaki spos\u00f3b wdro\u017cy\u0107 chmur\u0119 w tej bran\u017cy, aby zapewni\u0107 bezpiecze\u0144stwo podczas korzystania z technologii. Jest on neutralny technologicznie, czyli nie wskazuje wprost, jakie rozwi\u0105zania technologiczne maj\u0105 by\u0107 przyj\u0119te. Wed\u0142ug jego zalece\u0144 pierwszym krokiem przy wdra\u017caniu rozwi\u0105za\u0144 opartych na us\u0142ugach cloudowych jest przeprowadzenie tzw. analizy luki, czyli sprawdzenie, w jakim stopniu organizacja dzia\u0142a w zgodzie z regulacjami. Kolejnym dzia\u0142aniem jest sporz\u0105dzenie strategii chmurowej przed podmioty finansowe bezpiecze\u0144stwa. Wreszcie, Komunikat Chmurowy wprowadzi\u0142 obowi\u0105zek ci\u0105g\u0142ego monitorowania i testowania wykorzystywanej us\u0142ugi.<\/p>\n\n\n\n Nie nale\u017cy r\u00f3wnie\u017c zapomina\u0107, \u017ce cyberbezpiecze\u0144stwo w naturalny spos\u00f3b wi\u0105\u017ce si\u0119 z ochron\u0105 danych osobowych, gdy\u017c jest to podstawowe aktywo informatyczne bank\u00f3w i instytucji finansowych. St\u0105d te\u017c, mamy tu r\u00f3wnie\u017c do czynienia z ca\u0142ym obszarem zagadnie\u0144 regulowanym przez RODO.<\/p>\n\n\n\n Rosn\u0105ca presja konsument\u00f3w na zapewnienie jak najbezpieczniejszych transakcji, oraz wymogi w zakresie cyberbezpiecze\u0144stwa stawiane przez prawo polskie i unijne, sprawiaj\u0105, \u017ce instytucje finansowe poszukuj\u0105 wsparcia w\u015br\u00f3d firm technologicznych.<\/p>\n\n\n\n Obszar i dzia\u0142ania zwi\u0105zane z zapewnieniem bezpiecze\u0144stwa informatycznego mo\u017cna podzieli\u0107 na nast\u0119puj\u0105ce kategorie:<\/p>\n\n\n\n Firmy zmagaj\u0105 si\u0119 nie tylko z niedoborem wykwalifikowanych kadr w obszarze cyberbezpiecze\u0144stwa, ale r\u00f3wnie\u017c z zapewnieniem ich maksymalnego wykorzystania, gdy\u017c zwi\u0105zane z tym koszty s\u0105 znacz\u0105ce. Coraz wi\u0119cej przedsi\u0119biorstw decyduje si\u0119 na wiec na outsourcing tych kompetencji, bez konieczno\u015bci inwestowania we w\u0142asny dzia\u0142 Security.<\/p>\n\n\n\n Podej\u015bcie to sta\u0142o si\u0119 ostatnio bardzo popularne zar\u00f3wno w\u015br\u00f3d ma\u0142ych, jak i du\u017cych organizacji ze wzgl\u0119du na jego elastyczno\u015b\u0107, wydajno\u015b\u0107 i stosunkowo niskie koszty. Skorzystanie z takiego rozwi\u0105zania pozwala tak\u017ce firmom nie troszczy\u0107 si\u0119 o szkolenia, utrzymywanie niezb\u0119dnej infrastruktury czy rozbudowanie zespo\u0142u w przypadku np. zwi\u0119kszenia zakresu dzia\u0142alno\u015bci firmy.<\/p>\n\n\n\n W modelu us\u0142ugowym mo\u017cliwe jest zatrudnienie eksperta w roli security offcera na niewielk\u0105 cz\u0119\u015b\u0107 etatu. Zakres jest pracy jest \u015bci\u015ble okre\u015blony z dostawc\u0105 i rozliczany wg z g\u00f3ry ustalonych stawek. Je\u017celi za\u015b zachodzi potrzeba dodania b\u0105d\u017a wy\u0142\u0105czenia pewnych us\u0142ug, odbywa si\u0119 to natychmiast i nie powoduje \u017cadnych zak\u0142\u00f3ce\u0144 ani nie generuje dodatkowych potrzeb zwi\u0105zanych z zatrudnieniem dodatkowej osoby lub konieczno\u015bci szkole\u0144 czy zmian w zespole.<\/p>\n\n\n\nW poszukiwaniu adekwatnych rozwi\u0105za\u0144<\/h3>\n\n\n\n
Outsourcing us\u0142ug bezpiecze\u0144stwa jako optymalne rozwi\u0105zanie<\/strong><\/h3>\n\n\n\n