Profesjonalne zagrożenia wymagają adekwatnej odpowiedzi
Maciej Małek: Rozwój technologii paradoksalnie nie tylko usprawnia biznes bankowy, ale generuje nowe rodzaje zagrożeń. Temu m.in. była poświęcona pana prezentacja. Technologia to jedno, jednak szalenie istotne są procedury, również te, z pozoru wydawałoby się proste kwestie, o których powinien pamiętać klient, a więc końcowy beneficjent systemu.
W tym zakresie edukacji, informacji nigdy dosyć. W krajach o dojrzałej, ugruntowanej gospodarce rynkowej, że wymienię tylko Stany Zjednoczone, zdarzają się fraudy powiązane z technologiami, ale także w krajach nieco mniej zaawansowanych jeżeli chodzi o implementację nowoczesnych rozwiązań z obszaru IT, że wymienię Rosję, takoż. Czyli jest to zjawisko o zasięgu globalnym?
Michał Harubała, Senior IT-Security Consultant, ectacom: Zgadza się. Jest to zjawisko o zasięgu globalnym. Mamy do czynienia już od kilku lat z jego migracją w sfery hobby, zabawę nastolatków, ale też coraz częściej mamy do czynienia z bardzo profesjonalnymi, zorganizowanymi grupami zorientowanymi na osiągnięcie konkretnego celu. W świecie finansów, bankowości o ten cel troszeczkę łatwiej, łatwiej go zdefiniować. Z tego powodu instytucje bankowe, finansowe stają się coraz częściej celem bardzo zaawansowanych zagrożeń, bardzo skomplikowanych projektów, w których biorą udział organizacje złożone z wysokiej klasy specjalistów z całego świata. Świadomość tego typu zagrożeń istnieje, ale instytucje finansowe nie mają w zwyczaju publikowania takich informacji…
MM: W trosce o reputację – to zrozumiałe.
MH: W trosce o reputację. Znamy z rynku zdarzenia, w których banki zdecydowały się płacić organizacjom przestępczym za nieujawnianie samego faktu, że zostały zaatakowane, że włamania się powiodły, że utraciły dane i dodatkowe straty spowodowane były działaniami naprawczymi np. koniecznością wydrukowania nowych kart kredytowych, albo koniecznością zwrotów pieniędzy. To prawda, że bezpieczeństwo jest procesem, który jest oparty nie tylko na technologiach. Technologie to narzędzia. Najważniejsze są procedury – ubranie technologii w proces i bardzo świadome jej wykorzystanie. Bez procesów i opartej na tych procesach technologii narzędzi, nie będziemy w stanie stawić czoła zagrożeniom, grupom profesjonalistów, którzy niewątpliwie jeśli już się zabierają do roboty przeważnie osiągają swój cel.
MM: Technologia jest zatem bronią obosieczną, ale wiele zależy od kultury, od dojrzałości organizacji. Co możemy poprawić w tym obszarze jako dostawcy pewnych rozwiązań technologicznych?
MH: Po pierwsze jest to praca u podstaw. Podnoszenie świadomości na temat bezpieczeństwa. Bardzo często spotykam się z klientami z branży finansowej, którzy ryzyko wystąpienia tego typu zagrożeń, o których mówiliśmy, badają opierając się na tym, co zdarzyło się w przeszłości – analiza ryzyka w oparciu o dane historyczne.
MM: To pozwala budować modele statystyczne, ale jest mało produktywne w praktyce.
MH: Niestety tak, zwłaszcza jeśli chodzi o zagrożenia, bardzo dynamiczne zmiany, które zachodzą w tej dziedzinie. Zatem pierwsza sprawa to uświadomienie, że istnieją nie tylko pudełka naszpikowane elektroniką, gotowe rozwiązania, które po uruchomieniu w serwerowni rozwiążą jakiś problem – to nie jest prawda i nigdy nie będzie. Wszystkie rozwiązania muszą być oparte na procesach.
MM: Czyli trzeba holistycznie zarządzać całym projektem? Nie można budować silosowej struktury w odniesieniu do poszczególnych segmentów zarządzania procesem?
MH: Oczywiście. Tutaj pojawia się termin „defence in depth” czyli zadbanie o pokrycie kwestii bezpieczeństwa w możliwie wielu zakresach i miejscach – wtedy wzrasta szansa wykrycia zagrożenia, nawet jeśli konkretna technologia przepuści atak jest szansa, że jakaś inna w innym miejscu mu się oprze. Nowoczesne zagrożenia są wielokanałowe i są procesem złożonym z wielu etapów.
MM: Od tego nie ma odwrotu, bowiem zgodnie z zasadą „follow for me” trzeba podążać za klientem, który tego właśnie oczekuje – wielokanałowych rozwiązań i wielości produktów które można multiplikować z jednej platformy.
MH: Zgadza się. Ale środowisko przestępcze również podąża tą drogą.
MM: Czy w zakresie komunikacji ze środowiskiem bankowym gdzie podnosicie te kwestie poda również sprawa podziału kosztów już nie na poziomie stres-testów ale pierwszych prób wdrożeniowych, aby przetestować rozwiązanie zanim się okaże, że ono jest bezpieczne na tym etapie oraz daje możliwość kaskadowej rozbudowy. Tak się przecież dzieje, że w miarę ze wzrastaniem biznesu szukamy nowych rozwiązań ale nie chcemy tej infrastruktury tworzyć za każdym razem od nowa. To wymaga pewnej standaryzacji, wymogów, które dobrze jest uzgadniać z klientem. Czy to się udaje?
MH: Z tym różnie bywa. Obecnie bezpieczeństwo traktowane jest głównie jako koszt. Banki starają się sprostać wymaganiom rekomendacji, np. rekomendacji D. Widać, że działania naszych klientów skierowane są właśnie w celu zaspokojenia wymagań rekomendacji.
MM: Tylko rekomendacje eliminują pewne zjawiska, w to miejsce pojawiają się inne, nie tylko w obszarze rynku ale również jeśli chodzi o fraudy – o czym pan wspominał.
MH: Zgodzę się, ale naszą główną potrzebą nie powinno być samo spełnienie wymagań rekomendacji. Powinniśmy skupić się na tym jaki jest cel istnienia tej rekomendacji, danej normy, z którą chcemy być zgodni, np. normy ISO 2701 czy PSI, a nie tylko skupiać się na odtykaniu poszczególnych punktów żeby być spokojnym, audytoodpornym.
MM: Ostatecznym weryfikatorem jest rynek i bezpieczeństwo naszego systemu.
MH: Zgadza się, jednak w przypadku zaawansowanych zagrożeń weryfikacja może być wyjątkowo nieprzyjemna. I nie chodzi tu o grupę nastolatków, którzy zrobią coś śmiesznego, ale o włamania skutkujące bardzo poważnymi konsekwencjami, także finansowymi.
W tym kontekście jeśli bezpieczeństwo jest kosztem i jeśli tylko w ten sposób się je rozpatruje – jako konieczność spełnienia zaleceń – bardzo trudno osiągnąć jest sukces. Gdy mamy proces, narzędzia, strategię „defence in depth”, kiedy mamy pełne pokrycie wszystkich zagadnień związanych z nowoczesnymi zagrożeniami trudno jest osiągnąć sukces przy podejściu tego typu. Jeśli nie ma procesu, jeśli bezpieczeństwo w firmie, organizacji nie jest traktowane jako proces, który toczy się zgodnie z cyklem, który narzędzia tylko wspomagają, jeśli traktuje się bezpieczeństwo jako centrum kosztów to trudno…
MM: To trudno mówić o dobrym prowadzeniu biznesu.
MH: Być może trudno mówić o dobrym prowadzeniu biznesu, ale kimże ja jestem aby mówić o dobrym prowadzeniu biznesu…
MM: Klientem banku.
MH: Tak, być może daje mi to jakieś prawo głosu…
MM: Dziękuję bardzo.
Wolisz oglądać i słuchać zamiast czytać? Kliknij tutaj.
