To człowiek jest słabym punktem. Cyfrowe czasy, nie do końca cyfrowe wyzwania. Cyberbezpieczeństwo z perspektywy sektora finansowego

Przechodzimy do wirtualnego środowiska. To są fakty. Coraz częściej robimy zakupy z użyciem platform eCommerce, korzystamy z usług finansowych czy e-administracji za pośrednictwem internetu. Pojawia się też coraz więcej różnych inicjatyw edukacyjnych czy przekonujących do przejścia na bardziej cyfrowe kanały, które z pewnością – choć nie dla wszystkich – są bardziej user friendly, a przede wszystkim dostępne „tu i teraz”. Nie ma wątpliwości jednak, że tęsknimy za kontaktem face-to-face z drugim człowiekiem i to z pewnością się nie zmieni. Kiedy tylko będzie to możliwe wrócimy do „realnego” świata.

Usługi cyfrowe z nami jednak pozostaną. Sektor finansowy intensywnie pracuje nad tym, aby dostarczać nowe usługi czy digitalizować dotychczasowe kanały. Jedni twierdzą, że to tylko „łatanie”, a nie prawdziwa rewolucja, inni rozumieją jak złożone są stosowane systemy oraz jakie występują zależności pomiędzy różnymi uczestnikami systemów (pisałem o tym tutaj). Nie jest to zadanie łatwe i szybkie do realizacji, ale przez ostatni rok wiele udało się osiągnąć. Przekonanie klientów, aby korzystali z tych usług jest jednym z zadań tych podmiotów, ale nie możemy zapominać, że równolegle do rozwijania produktów sektor finansowy (oraz sami użytkownicy) muszą dbać o bezpieczeństwo (danych i środków finansowych).

Na tą kwestię uwagę zwraca chociażby ostatni list Przewodniczącego KNF skierowany do banków, choć oczywiście jest do zastosowania i w odniesieniu do pozostałych podmiotów rynku finansowego. W niedługiej perspektywie z pewnością uchwalona zostanie rozporządzenie w sprawie cyfrowej odporności operacyjnej (DORA) czy nowa dyrektyw w sprawie cyberbezpieczeństwa – NIS2 (a w kolejce czeka też znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa).

No alt text provided for this image

Na początku marca ENISA, czyli unijna agencja odpowiedzialna za cyberbezpieczeństwo opublikowała bardzo ciekawy dokument – EU Cybersecurity Initiatives in the Finance Sector, który pozwala na poszerzenie perspektywy co do tego jak wygląda cały „landscape” dla szeroko rozumianego obszaru zarządzania ryzykami ICT. A nie możemy też zapominać, że Komisja (UE) zaproponowała nowe obszary do standaryzacji w swoim Rolling Plan for ICT standarisation czy strategii cyberbezpieczeństwa, która niewątpliwie będzie realizowana (pytanie – jak). Patrząc jednak szerzej tematyka CyberSec pojawia się w aktach czy regulacjach dotyczących danych czy wykorzystania sztucznej inteligencji, a więc i te obszary wymagają szczególnej uwagi,

Rośnie też liczba fraudów czy incydentów bezpieczeństwa – szczególnie w kontekście sektora finansowego. Jest to oczywiście pochodną wspomnianej cyfryzacji, która „umożliwia” dotarcie do nieprawdopodobnie dużej grupy potencjalnych ofiar. Wymusza to instytucjach finansowych, organach nadzoru oraz użytkownikach podejmowania inicjatyw w wielu obszarach. Ja chciałbym się jednak skupić na perspektywie podmiotu sektora finansowego, bo ta jest mi oczywiście najbliższa.

No alt text provided for this image

Zmiany, które mają zajść w najbliższych latach spowodują, że znaczną część kosztów (rozumianych też jako czas zaangażowanych osób) będzie musiała być przesuwana na te obszary, które dotyczą cyberbezpieczeństwa. To nie podlega dyskusji. Jest to związane nie tylko z rosnącymi wymogami prawno-regulacyjnymi, którymi można zarządzać, ale coraz większą aktywnością nieuczciwych osób trzecich oraz wchodzeniem na rynek cyfrowy mniej wyedukowanych klientów (osoby starsze, ale i najmłodsi bez dostatecznego rozeznania i doświadczenia życiowego). Ewentualne szkody, które użytkownik mógłby ponieść najczęściej będą obciążały instytucje finansowe (o nieautoryzowanych transakcjach pisałem tutaj), a pamiętajmy także o ryzyku reputacyjnym. Jeden większy fraud może „położyć” reputację budowaną przez lata. A wszystko dzięki social mediom.

To zresztą drugi obszar, który powinien być w centrum uwagi instytucji finansowych. Wiele ze wspomnianych oszustw nie wymaga wcale „fizycznego” czy „softowego” włamu do systemów IT instytucji. Często wystarczy odpowiednio dopracowana socjotechnika bazująca nieco na ludzkiej naiwności i zaufaniu. Tak jak można obejść systemy, tak można „obejść” człowieka. A gdy w grę wchodzą emocje jest to dużo łatwiejsze. Ten aspekt nie może być więc pomijany przez instytucje. Istotna będzie tutaj także edukacja, ale edukacja nie w skali mikro, a „globalna”.

Edukacja, choć kluczowa, nie będzie jedynym wyzwaniem dla sektora. W dalszym ciągu jesteśmy narażeni na potencjalne ataki, które mogą wyłączyć systemy z normalnego funkcjonowania. I choć stawiam tezę, że większość fraudów będzie opierać się – w sektorze finansowym – o wspomnianą ludzką naiwność, to nie można wykluczyć, że w którymś momencie pojawią się informacje o znaczących incydentach bezpieczeństwa, które będą miały związek z działaniem osób trzecich. Coraz częściej słyszymy o tym w kontekście np. kryptowalut.

No alt text provided for this image

Jednocześnie musimy pamiętać, że wprowadzanie nowych rozwiązań w zakresie cybersecurity nie powinno być „rozpoznawane” tylko jako koszt. To po prostu absolutnie kluczowy obszar działalności każdego podmiotu funkcjonującego w sieci, bo w dzisiejszych czasach nie tylko pieniądze są istotne, ale także dane (np. naszych klientów). A jak pisałem w ostatnim artykule – kto ma dane, ten ma władze.

Nie możemy jednak zapominać o jednym istotnym fakcie. Możemy wdrażać najbardziej rozbudowane i skuteczne rozwiązania w zakresie zarządzania ryzykami ICT. Mieć super strategie w tym zakresie, a procedury takie, że mucha nie siada, a możemy być „ofiarą” fraudu. A wszystko przez jeden słaby punkt – człowieka. To człowieka zarządza „technologią” i ją wykorzystuje. To on odpowiada za uwierzytelnianie, autoryzację i podejmowanie określonych decyzji. Zarówno w kontekście klientów, jak i zatrudnionych pracowników instytucji.

To właśnie człowiek jest tym „słabym punktem”, a nie systemy IT (co do zasady, bo oczywiście ataki na systemy do rzadkich nie należą). Istotne jest więc odpowiednie edukowanie, wpajanie norm etycznych i szkolenie.

Nie mam jednocześnie złudzeń, że uda nam się całkowicie zabezpieczyć przed różnymi atakami na integralność systemów. To niewykonalne. Ważne jest jednak, aby – szczególnie wobec pomysł uszczelnienia systemu koordynacji cybersecurity – prowadzić działalność w sposób skoordynowany, zaplanowany i efektywny. Procedury, strategie i polityki będą tutaj grały istotną rolę, ale i podejście do zarządzania tymi obszarami.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *