82% specjalistów bezpieczeństwa IT: Musimy dzielić się informacjami w obronie przed cyberatakami
Bezpieczeństwo systemów IT w bankowości i wielu innych dziedzinach gospodarki ma charakter fundamentalny. Najnowsze trendy, obejmujące obszary mediów społecznościowych, cloud, big data oraz mobilności będą mogły się dalej rozwijać tylko pod warunkiem zapewnienia odpowiedniego poziomu zabezpieczeń. O kwestiach regulacyjnych, infrastrukturalnych i rozszerzania stopnia współpracy między różnymi podmiotami i instytucjami rozmawiano w Warszawie, podczas IV Forum Bezpieczeństwa Banków 2015 r.
Forum Bezpieczeństwa Banków 2015: |
W przeprowadzonej podczas Forum ankiecie aż 82% uczestników opowiedziało się za stwierdzeniem, że banki i inne organizacje narażone na cyberataki powinny dzielić się informacjami o zagrożeniach z innymi. Wymiana tego typu doświadczeń może istotnie uszczelnić siec bezpieczeństwa i skrócić czas reakcji w walce z nowymi zagrożeniami i sposobami działania cyberprzestępców.
„Systemów zabezpieczeń w bankach jest tyle ile banków, każdy rozwija własny model. Z jednej strony to pozytywne zjawisko, gdyż brak jednolitych schematów utrudnia działania zorganizowanych grup przestępczych biorących na cel różne instytucje, niemniej Konferencja pokazała, że niezbędne jest wyznaczenie pewnego obszaru, gdzie informacje muszą być wymieniane. Co więcej, rynek przedsiębiorstw komercyjnych nie może działać w oderwaniu od systemów bezpieczeństwa, za które odpowiedzialne jest nasze Państwo oraz inne kraje. Potrzebne są globalne środki zabezpieczania się przed zagrożeniami.” podkreśla Andrzej Wolski, wiceprezes Centrum Prawa Bankowego i Informacji.
32% uczestników Forum stwierdziła, że rozwiązania technologiczne pozwalają na w pełni skuteczną walkę z atakami w cyberprzestrzeni, ale nie można nawet na chwilę pozostawać biernym w walce z cyberatakami i cyberprzestępcami. 47% wyraziło obawę, że przestępcy zawsze będą o jeden krok do przodu.
„Zwracamy uwagę na trzy główne kwestie: regulacyjna w odniesieniu międzysektorowym, publicznym i międzynarodowym; kwestia infrastruktury technicznej i nadzoru oraz kwestia szeroko pojętej praktycznej współpracy w ramach oraz między sektorami. Pozytywne jest to, że jeśli faktycznie cyberprzestępcy zawsze będą o jeden krok do przodu, to dystans między nami maleje i coraz lepiej radzimy sobie z zagrożeniami„– stwierdził dr Mieczysław Groszek, wiceprezes Związku Banków Polskich.
Podczas konferencji stwierdzono, że jednym ze sposobów aktywnego i efektywnego wymieniania się informacjami mogłoby być stworzenie sektorowego ośrodka typu CERT. Taki ośrodek miałby na celu osiągnięcie synergii w monitorowaniu zagrożeń przez poszczególnych uczestników systemu i ułatwić koordynację działań w skali krajowej i światowej.
Jednym z najtrudniejszych aspektów walki z cyberprzestępczością jest temat wypracowania odpowiednich sposobów i standardów komunikowania się pomiędzy komercyjnymi uczestnikami rynku oraz z przygotowanymi do tego organami państwowymi oraz instytucjami międzynarodowymi (z punktu widzenia Polski głównie na obszarze Unii Europejskiej, ale nie tylko). Najwięcej kontrowersji w tym zakresie wzbudził projekt unijnej Dyrektywy NIS (o zapewnieniu wspólnego, wysokiego poziomu bezpieczeństwa sieci i informacji), która w opinii większości uczestników Forum w dzisiejszym kształcie niesie ryzyko zwiększenia biurokracji bez większego wpływu na poziom bezpieczeństwa.
„Generałowie mają skłonność do przygotowywania się do przeszłych wojen. Dążymy do tego, aby efektywność zabezpieczeń była maksymalnie wysoka – chcemy być o krok przed przestępcami, zamiast ich gonić. Musi zostać zapewniona równowaga między potrzebami i bezpieczeństwem biznesu, a systemami bezpieczeństwa na szczeblu krajowym i międzynarodowym” – mówi Andrzej Barcikowski, Dyrektor Departamentu Bezpieczeństwa NBP.
Niezależnie do proponowanych podczas konferencji postulatów i rozwiązań prawnych, systemowych oraz organizacyjnych w wielu prezentacjach podkreślano, że jednym z najważniejszych problemów wszystkich systemów bezpieczeństwa jest niezmiennie czynnik ludzki. Trzeba szukać rozwiązań ograniczających ten czynnik ryzyka wewnątrz organizacji, jak również nieustannie edukować klientów o niebezpieczeństwach związanych z ich ryzykownymi lub nieprzemyślanymi zachowaniami.