BANK 2018/04

Bank i Klient: Zewnętrzni dostawcy IT zwiększają ryzyko

Bohdan Szafrański
Bank i Klient: Zewnętrzni dostawcy IT zwiększają ryzyko
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
W poszukiwaniu efektywności instytucje finansowe i banki coraz częściej korzystają z usług wyspecjalizowanych firm zewnętrznych. Wprowadza się też zmiany i ulepszenia technologiczne nie do końca rozpoznane pod względem odporności na cyberzagrożenia.

Bohdan Szafrański

Banki poświęcają duże zasoby, aby zidentyfikować podatności, które przestępcy mogą próbować wykorzystać, nie wszystkie wszakże mogą bezpośrednio kontrolować. Co więcej, nawet wiarygodni dostawcy technologii i rozwiązań dla instytucji finansowych muszą korzystać z usług wielu poddostawców. Wraz z rosnącą zależnością banków od podmiotów trzecich, rosną także różnego rodzaju ryzyka. A tych jest dziś wiele.

Łańcuch bezpieczeństwa

Firmy usługowe korzystają z hostowanych platform e-mail i usług w chmurze. Tymczasem nawet takie zaufane serwisy chmurowe, jak: Google Docs, Gmail, Twitter, Live.com, One Drive, Hotmail, Amazon czy Dropbox są dziś wykorzystywane do rozprzestrzeniania złośliwego oprogramowania typu malware, kategorii C2 (command and control). Dlatego nie wystarczy mieć odpowiednich systemów i zasad bezpieczeństwa – jeśli chcemy chronić się przed cyberatakami, to powinni je również mieć dostawcy i usługodawcy zewnętrzni. Warto przypomnieć, że w 2016 r. SWIFT też był zaufanym dostawcą w międzynarodowym sektorze bankowym. Jeśli otrzymano zlecenie SWIFT, można było mieć pewność, że przelew jest autoryzowany. Nie do końca było to jednak prawdą – okazało się, że hakerzy wykorzystali złośliwe oprogramowanie do przejęcia kontroli nad aplikacją do przesyłania wiadomości. Doprowadziło to do kradzieży 81 mln dolarów z banku centralnego Bangladeszu.

Problem bezpieczeństwa całego ciągu powiązań i dostaw dotyczy wszystkich branż. Thor Olavsrud w serwisie IDG wśród pięciu zagrożeń bezpieczeństwa informacji, które będą dominować w 2018 r. wymienia również łańcuch dostaw. Powołując się na Information Security Forum (ISF), zauważa, że informacje są udostępniane kontrahentom i bezpośrednia kontrola nad nimi jest w ten sposób tracona. Oznacza to zwiększone ryzyko naruszenia ich poufności, integralności i dostępności. Odnotowano już zdarzenia, w których duże organizacje tylko z tego powodu straciły zdolności produkcyjne, bo zostały zablokowane ich dostawy. ISF zaleca, by dążyć do tego, żeby nasi dostawcy aktywnie dbali o bezpieczeństwo. Organizacje muszą zintegrować zarządzanie ryzykiem informacji w łańcuchu dostaw i w procesach zamówień oraz przy zarządzaniu dostawcami.

Wyciek z Equifax pokazał, że żaden pojedynczy podmiot, a także rząd, nie może ochronić danych dotyczących tożsamości i ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI