Alexander Raczyński: Globalne zagrożenia wymagają adekwatnych odpowiedzi

Alexander Raczyński: Jest kilka wskazówek, które są rozpoznawane i jest to widoczne w dzisiejszych prezentacjach. Na wstępie chciałem podkreślić fakt, że poziom techniczny prezentacji w tym roku jest bardzo wysoki. Wszyscy zdają sobie sprawę jak zaawansowane są w dzisiejszych czasach ataki, jak globalny jest to rynek, z jakimi globalnymi zagrożeniami mamy do czynienia i jakim zagrożeniom musimy stawić czoła. To jest dobra podstawa aby budować bezpieczną infrastrukturę. Musi ona polegać na kilku aspektach. Z jednej strony sztuka, która jest znana od wieków, czyli izolowanie ważnych informacji, punktów styku, badanie relacji zaufania pomiędzy odpowiednimi jednostkami. Ludźmi i komórkami, które informację mogą przekazać. Z drugiej strony w celu weryfikacji niebezpieczeństw i zagrożeń potrzebne jest globalizowanie i wymiana informacji między wszelkiego rodzaju systemami. Ma to miejsce na poziomie serwerów sieci, które niosą zagrożenia, na poziomie kawałków malware’u, kodu złośliwego stron, które są zainfekowane. Tutaj globalna wymiana informacji pomoże na szybsze rozpoznanie reakcji, które są logiczną konsekwencją takich ataków.

Maciej Małek: Czy konieczne outsourcowanie części usług w zakresie utrzymywania architektury bezpieczeństwa gwarantuje z jednej strony szczelność systemu, a z drugiej bezpieczeństwo danych?

AR: Na pewno gwarantuje dodatkową komplikację całości. Mamy tutaj do czynienia z sytuacją kiedy nasz zakres kompetencji nie jest tak łatwy do zdefiniowania. Oddanie części usług do chmury pociąga za sobą też oddanie części informacji do osób trzecich i ciężko jest właściwie dziś zdefiniować gdzie jest nasza sieć, gdzie zaczyna się internet, gdzie punkty styku, które potencjalnie przynoszą zagrożenie mogą mieć miejsce. Z jednej strony jest to rzecz, która jest w pewnym sensie nieodwracalna z punktu widzenia ekonomii, z drugiej strony stanowi wyzwanie numer jeden dla obecnego internetu, jeżeli chodzi o bezpieczeństwo.

MM: Ponieważ czynnikiem krytycznym architektury bezpieczeństwa zawsze pozostaje człowiek, co moglibyśmy czynić w tym zakresie aby końcowy użytkownik, który chce aby jego pieniądze były bezpieczne, ale aby zarządzanie odbywało się na poziomie nieledwie intuicyjnym nie otwierał tej przestrzeni dla fraudów rozpoczynając od dbałości o swojego smartfona, którego nie należy gubić?

AR: Możemy rzeczywiście zdać się z jednej strony na edukowanie użytkownika w dalszym ciągu. To zapewne nie ma końca i jak do tej pory przynosi ograniczony skutek. Zadanie, które jest nam postawione, jeśli chodzi o aplikacje i użytkowanie internetu w sposób bezpieczny, to zabezpieczenie użytkownika przed wszelkiego rodzaju błędami. Same aplikacje i usługi, które oferujemy w sieci, muszą taką weryfikację za użytkownika podejmować i muszą decyzje o poprawności danej transakcji czy transferu informacji podjąć za użytkownika. Użytkownik w tej chwili koncentruje się na szybkości usług, na wygodzie, intuitywności natomiast nie weryfikuje usług pod kontem bezpieczeństwa. Jest to złudne.

MM: Celem postępu jest rozszerzająca się skala ataków dedos, które pochodzą ze źródeł zewnętrznych. Banki są organizacyjnie technicznie i finansowo przygotowane do odpowiedzi na te ataki ale czy telecomy i pozostali uczestnicy rynku są skłonni do tego, aby się włączyć w ciężar ponoszenia kosztów dobra wspólnego jakim jest bezpieczeństwo?

AR: Myślę, że przygotowanie po stronie banków i telekomów jest na pewno dobre. To, co należałoby poprawić to koordynacja między nimi. Aby skutecznie zapobiec lub obronić się przed atakiem dedos konieczne jest współgranie z jednej strony odpowiednich jednostek organizacyjnych banku, a z drugiej operatora, który może taki ruch o jeden poziom wyżej przyblokować.

MM: Mapą drogową określającą architekturę bezpieczeństwa jest także ład regulacyjny. Czy w tym kontekście ostatnia Rekomendacja D odpowiada potrzebom rynku i poziomowi zagrożeń z jakimi mamy do czynienia?

AR: Potrzeby rynku rosną każdego dnia. Rekomendacja D jest dużym krokiem naprzód. Obserwowaliśmy to w zeszłym roku jeżeli chodzi o klientów sektora bankowego i wdrażanie rozwiązań typu DLP, czy dodatkowej infrastruktury zabezpieczającej informacje klientów i bankowe. To jest na pewno ważny krok we właściwym kierunku. Jest on wystarczający na dziś. Czy będzie wystraczający na jutro? Z pewnością nie, ale od tego mamy takie organizacje jak KNF, które wyznaczają wytyczne także w przyszłych latach.

aleBank.pl

Zobacz rozmowę w wersji wideo: „Alexander Raczyński: Globalne zagrożenia wymagają adekwatnych odpowiedzi”