Raport BIS: chmura obliczeniowa (do pewnego stopnia) wspiera cyberodporność sektora finansowego

Ostatnie wydarzenia i towarzysząca im transformacja cyfrowa na wielu polach uzmysłowiła jak wiele zagrożeń może pojawiać się w związku z przeniesieniem działalności do internetu. Ilość potencjalnych cyberzagrożeń rośnie wraz ze zwiększaniem się rynku zbytu dostępnych online. Wczoraj Bank Rozliczeń Międzynarodowych opublikował bardzo ciekawy raport „The Drivers of Cyber Risks”, który stanowi bardzo ciekawą kompilację dot. różnych incydentów IT. Autorzy oparli swoje badania o dane dotyczące ok. 100 tys. Incydentów operacyjnych, co niewątpliwie budzi respekt. Przyjrzyjmy się konkluzjom raportu, który został przygotowany „pod” sektor finansowy. 

Nie będę tutaj rozwodził się zbytnio na kwestiami definicyjnymi. Zainteresowanych odsyłam do innych artykułów w sprawie incydentów (klik1 – raportowanie; klik2; klik3). W rozumieniu ekspertów BIS cyber-ryzykiem będzie będzie ryzyko straty finansowej, zakłócenia (działania) czy utraty reputacji wynikające z niewłaściwego działania systemów teleinformatycznych. W praktyce będą to najczęściej więc ryzyka związane niewłaściwym zabezpieczeniem oprogramowania i „włamami”, ale również działania osób wewnątrz instytucji. 

W tym kontekście warto przypomnieć obowiązki dla operatorów usług kluczowych (klik) oraz rekomendacje grupy ds. PolishAPI w kontekście bezpieczeństwa (klik).

Znaczenie cyber-risks dla sektora finansowego i nie tylko

To na co zwraca uwagę raport to systemowe znaczenie tego typu ryzyk dla sektora finansowego (stabilności finansowej) i między innymi dlatego cyberzagrożenia są przedmiotem zainteresowania państw, a nie tylko sektora prywatnego (dowodem tego może być chociażby „nasza” Strategia Cyberbezpieczeństwa, o której pisałem tutaj). Jednocześnie trudno, zdaniem autorów raportu, oszacować koszty związane z utrzymaniem cyberbezpieczeństwa, ale również eliminacji ich skutków.

I od razu ważna informacja. Sektor finansowy jest jednym z tych, które są najbardziej narażone na cyberataki, co oczywiście powiązać można z jego – jak to nazwali autorzy dokumentu – „lukratywnością”.

Typy incydentów

Interesujące są dane dotyczące typów incydentów. Najczęściej pojawiają się te dotyczące naruszenia prywatności, incydenty bezpieczeństwa czy ataki phisingowe i skimmingowe. Mamy też inne incydenty jak np. ujawnienie danych, błędy w oprogramowaniu i podobne, ale niesklasyfikowane w powyższych kategoriach. Widać więc wyraźnie, że nadal najsłabszym ogniwem jest po prostu człowiek, a nie zawodność systemów IT. 

Warto zwrócić uwagę na to, że przestępcy coraz częściej wykorzystują te kanały, które dotąd były uznawane za bardzo bezpieczne, jak np. komunikaty SWIFT. Nie oznacza, że tracą one swoją wartość, natomiast pokazuje to skalę problemu i coraz większą „świadomość” cyberprzestępców. Ważne jest więc nieustanne edukowanie użytkowników i zwiększanie świadomości odnośnie cyberzagrożeń. Warto pomyśleć także o bardziej rozbudowanych rozwiązaniach w zakresie wykrywania fraudów (o ciekawym pomyśle wykorzystania uczenia maszynowego i metod behawioralnych pisałem tutaj).

Wpływ chmury obliczeniowej?

Coraz częściej mówi (pisze) się o potencjale chmury obliczeniowej i tym jak może przyśpieszyć transformację sektora finansowego (klik1; klik2). Czy jednak szersze wykorzystanie cloud computing przyniać się do wzrostu (nie)bezpieczeństwa sektora finansowego?

Po pierwsze, chmura to szansa dla środowiska ze względu na niższe zużycie energii czy mniejszy ślad węglowy. Jest to więc niewątpliwie korzyść wykraczająca poza sektor finansowy. Nie to jednak jest tutaj najważniejsze.

Chmura niesie za sobą pewne ryzyka. Poczynając od asymetrii pomiędzy dostawcą usługi chmurowej (brak pewności co do tego „gdzie” przetwarzane i przechowywane są dane), poprzez dużą zależność od tych dostawców (również w zakresie zarządzania ryzykami cyberbezpieczeństwa), aż do zwiększonego zainteresowania przestępców dostępem do chmury.

Szczególnie ważne jest tutaj ryzyko koncentracji, na które wskazuje też Strategia Komisji (UE) w sprawie danych (pisałem o niej m.in. tutaj). Fakt, że na rynku „znaczących” dostawców chmury jest tylko kilku powoduje, że „wywalenie się” infrastruktury dużego gracza w tym zakresie może wywołać efekt domina i wpłynąć na funkcjonowanie wielu instytucji finansowych. 

Z drugiej strony, analiza przeprowadzona przez autorów raportu wykazuje, że zwiększenie zależności od chmury przy jednoczesnym inwestowaniu w te rozwiązania (na poziomie organizacji) powoduje, że ewentualne cyberataki wywołują mniejsze szkody dla użytkowników (i mniejsze koszty po stronie instytucji). Od razu uwaga – pod warunkiem, że mówimy o małych atakach, które jest w stanie „wyłapać” system cyberbezpieczeństewa dostawcy chmurowego. Jeżeli więc będziemy mieli do czynienia ze złożonym atakiem, który może przełamać te zabezpieczenia, to możemy mieć duży problem…

Ostatnia uwaga 

Nie wyczerpałem wszystkich zagadnień, ale chciałbym wskazać na jeszcze jeden obszar opisany w raporcie. Generalnie fakt, że poszczególne instytucje finansowe są ze sobą połączone może stanowić zagrożenie ze względu na wspomniany już efekt domina. Z drugiej strony, niekiedy takie współzależności mogą przyczynić się do ogólnej odporności systemu.

Jednocześnie autorzy raportu wskazali na słaby punkt całej infrastruktury, tj. coraz częstsze wykorzystanie pośredników w procesach płatności czy rozliczeń. Ci „pośrednicy” mogą nie być już tak odporni na cyberzagrożenia jak banki, a to już może być poważny problem. Jest to więc obszar to zaadresowania na poziomie systemowym.