BANK 2023/01

Bankowość i Finanse | Bezpieczeństwo – GFT Poland | Cyfrowa odporność usług bankowych w chmurze wobec tsunami wymogów regulacyjnych i lawiny cyberzagrożeń

| Miesięcznik Finansowy BANK
Bankowość i Finanse | Bezpieczeństwo – GFT Poland | Cyfrowa odporność usług bankowych w chmurze wobec tsunami wymogów regulacyjnych i lawiny cyberzagrożeń
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Sektor bankowy przechodzi przyspieszoną cyfryzację oferowanych produktów i usług. Polskie banki rewolucjonizują przede wszystkim usługi detaliczne, stając się liderami rynku światowego i wyznaczając nowe trendy warte naśladowania. Zaskakującemu przeobrażeniu podlega nie tylko charakter samych usług czy produktów, ale również cała infrastruktura IT, będąca fundamentem szybkości i niezawodności ich oferowania. Konsumenci coraz chętniej wybierają obsługę zdalną, a banki, by dotrzymać kroku, przechodzą na usługi online i rozwiązania chmurowe.

Bezpieczeństwo systemów informatycznych, w tym kanałów zdalnych i systemów transakcyjnych dla klientów, stanowić więc musi priorytet dla całego sektora bankowego. Branża, rozwijając swoją cyfrową ofertę, musi robić to zgodnie z wymogami regulatorów, aby przede wszystkim zapewniać cyberodporność wobec ataków mogących zakłócać podstawową działalność banków.

Stały wzrost zagrożeń i ataków

Liczba cyberzagrożeń i tempo ich dywersyfikacji rośnie niezmiennie od początku powstania internetu. Nie możemy mieć złudzeń, że ten trend w najbliższym czasie się odwróci albo choćby spowolni. Nie ma ku temu najmniejszych przesłanek. Okres pandemii, który zahamował wzrost gospodarczy i sprowokował cyfrowe transformacje w wielu sektorach, był też czasem przeobrażania się schematów działania cyberprzestępców. Niestety ich dostosowanie się do nowych warunków trwało krótko, a nowe wektory ataków, żerujące na pandemicznym pośpiechu i społecznym zaufaniu, nie pozostawiły złudzeń, że mamy do czynienia z ludźmi pozbawionymi moralności i zasad współżycia społecznego. Nie może więc dziwić, że w ostatnich latach w bankowości nadal nieustannie rośnie liczba cyberzagrożeń i tempo pojawiania się nowych ataków. Z danych firmy Netwrix wynika, że w 2021 r. najczęściej występującymi zagrożeniami były: phishing (40%), ransomware (24%) oraz przypadkowe wycieki danych (17%).

Skala ich konsekwencji może być druzgocąca dla sektora finansowego. Phishing prowadzi do kradzieży tożsamości, danych poufnych czy środków pieniężnych. Ransomware powodować może globalny paraliż podstawowej działalności banków. Z kolei wycieki danych stanowią cenne źródło informacji do przygotowywania wysoce zaawansowanych, szytych na miarę ataków, ponownie prowadzących w skutkach do kradzieży danych, tożsamości, pieniędzy lub destabilizacji działania zdigitalizowanych procesów w firmie.

Dla przykładu, straty spowodowane przez ransomware w 2021 r. wyniosły globalnie 20 mld USD, czyli 57 razy więcej niż w 2015 r. (zgodnie z danymi Cybersecurity Ventures). Badanie Eurobarometer wskazuje z kolei, że 88% wszystkich organizacji na świecie doświadczyło ataków spear-phishing, czyli phishingu skierowanego bezpośrednio do osoby lub konkretnej grupy odbiorców w organizacji. Na polskim podwórku mieliśmy niedawno do czynienia choćby z rozległym atakiem ransomware na jeden z najbardziej znanych i największych, wysokospecjalistycznych ośrodków medycznych w Polsce. Kilka tygodni później podobny atak miał miejsce we Francji, gdzie podobnie jak w Polsce, ofiarą padł duży szpital kliniczny pod Paryżem, zmuszony w konsekwencji do ewakuacji swoich pacjentów. To pokazuje wyraźnie, że mamy do czynienia z osobami niemającymi najmniejszych skrupułów, które kierują się wyłącznie własnym zyskiem i interesami. Jeśli szpital jest łakomym kąskiem dla atakujących, nietrudno wyobrazić sobie, jaką wartość mają ataki w sektorze bankowym. Poza bezpośrednim następstwem, takim jak utrata mienia przez klientów, banki mogą mieć do czynienia ze skutkami wtórnymi, w tym m.in. odebraną lub ograniczoną licencją czy nałożonymi karami finansowymi. Cały sektor może ucierpieć, tracąc dobrą reputację i osłabiając legitymację instytucji zaufania publicznego.

Tsunami zmian wymogów regulacyjnych

Sektor finansowy mierzy się nieustannie z rosnącą liczbą nowych źródeł prawa, regulacji czy wytycznych. Źródła regulacji i standardów (w tym Parlament UE, Rada UE, EBA, KNF, organizacje branżowe), mimo dobrych intencji, wprowadzają często wykluczające się lub powielające wymagania, w tym dotyczące cyberbezpieczeństwa. Dane Parlamentu UE pokazują, że liczba stron obowiązujących regulacji bankowych stale wzrasta: od 271 stron w 2010 r. do aż 2431 w roku 2017 (dane z monitora prawniczego „Głos prawa”). Do ciągle zwiększającej się liczby aktów prawnych czy standardów, dołączyły i wciąż dołączają regulacje związane bezpośrednio lub pośrednio z usługami świadczonymi w chmurze: Komunikat chmurowy UKNF, PSD2, NIS2, ustawa KSC, ISO/IEC 27017, DORA.

Szczególną uwagę warto zwrócić na przyjęty w listopadzie ub.r. akt dotyczący operacyjnej odporności cyfrowej sektora finansowego, tzw. DORA (Digital Operational Resilience Act). Jego celem jest harmonizacja przepisów w obszarze bezpieczeństwa informatycznego podmiotów finansowych, takich jak banki, zakłady ubezpieczeń, pośrednicy finansowi czy firmy inwestycyjne. W ramach DORA UE przewiduje jednolite wymogi dotyczące obsługi incydentów, współpracy z nadzorcami w tym zakresie, bezpieczeństwa sieci i systemów informatycznych firm sektora finansowego oraz podmiotów trzecich, które świadczą dla nich usługi ICT (Information Communication Technologies).

DORA jest próbą ujednolicenia wielu regulacji, zarówno europejskich, jak i krajowych oraz sposobów raportowania i testowania wdrażanych rozwiązań. Firmy sektora finansowego powinny się tym zainteresować już dzisiaj, by być dobrze przygotowanymi na wdrożenie, które obejmie wszystkie państwa członkowskie UE.

Jak dotrzymać kroku stale zmieniającym się regulacjom i wymogom wzmacniania cyfrowej odporności przed cyberzagrożeniami, szczególnie we wdrożeniach chmurowych?

Instytucje finansowe nie są w stanie manualnie dostosowywać swojej infrastruktury, jej konfiguracji i rozwiązań do ciągłych zmian w prawie oraz do rosnącej presji zagrożeń cyberatakami. Muszą one poszukiwać platform oferujących inteligentne wykrywanie słabości i zagrożeń, ich mapowanie na wymogi regulacyjne i analizę stanu zgodności z przepisami prawa. Jednym z przykładów, jak sprostać tym wyzwaniom, jest platforma usługowa Security Command Center oferowana w Google Cloud.

Sektor finansowy mierzy się nieustannie z rosnącą liczbą nowych źródeł prawa, regulacji czy wytycznych. Źródła regulacji i standardów (w tym Parlament UE, Rada UE, EBA, KNF, organizacje branżowe), mimo dobrych intencji, wprowadzają często wykluczające się lub powielające wymagania, w tym dotyczące cyberbezpieczeństwa. Dane Parlamentu UE pokazują, że liczba stron obowiązujących regulacji bankowych stale wzrasta: od 271 stron w 2010 r. do aż 2431 w roku 2017.

– Rozwiązania, takie jak Google Security Command Center (SCC), pozwalają w czasie rzeczywistym wykrywać niezgodności z przepisami z zakresu bezpieczeństwa IT oraz popularnymi standardami branżowymi. SCC oferuje m.in. stałe prowadzenie testów bezpieczeństwa aplikacji webowych, wykrywanie aktywnych zagrożeń oraz identyfikację podatności i błędnych konfiguracji w naszej infrastrukturze. W razie pojawienia się nieprawidłowości, zespół odpowiedzialny za bezpieczeństwo może natychmiast otrzymać powiadomienie z informacją o szczegółach problemu. Co więcej, część alertów i rekomendacji może zostać od razu poddana tzw. autoremediacji, a więc procesowi samodzielnej naprawy, bez konieczności angażowania pracowników banku. To znacznie ułatwia i przyśpiesza pracę instytucji finansowych w zakresie monitorowania bezpieczeństwa infrastruktury i zachowywania zgodności regulacyjnych – mówi Przemysław Kulesza, Head of Global Security Practice w GFT Poland.

Automatyczne weryfikowanie niezgodności z regulacjami i standardami

W czym SCC pomaga w praktyce? Korzystanie z platformy umożliwia:

  • Detekcję i zarządzanie błędami konfiguracyjnymi we wdrożeniach chmurowych;
  • Monitoring niezgodności z regulacjami (np. PCI-DSS);
  • Monitoring niezgodności ze standardami branżowymi (m.in. ISO27001, NIST, OWASP, CIS);
  • Przeglądanie rezultatów w raportach compliance oraz eksportowanie ich do zewnętrznych narzędzi w celu dalszej automatyzacji (np. SIEM/SOAR);
  • Priorytetyzowanie i kategoryzację podatności znalezionych niezgodności i wykrytych błędnych konfiguracji dla ułatwienia dalszych procesów decyzyjnych;
  • Usuwanie wykrytych zagrożeń i niezgodności compliance.

– SCC obsługiwane przez doświadczonego partnera pozwala mapować i łączyć wiele różnych źródeł o niezgodnościach, zagrożeniach i podatnościach w jednym miejscu. W praktyce zespół ds. bezpieczeństwa czy compliance nie analizuje setek regulacji finansowych i ich znaczenia w danej instytucji, a otrzymuje gotowe rozwiązanie problemu. Narzędzie nie tylko wyświetla wszystkie monity w jednym panelu (idea „single pane of glass”), dając globalny i natychmiastowy pogląd na bezpieczeństwo procesów działających w Google Cloud, ale także, w wielu przypadkach, potrafi naprawić wykryte niezgodności samodzielnie i zaraportować skutki ich wdrożenia – wylicza Marcin Szymczak, Senior Cloud Architect w GFT Poland.

Platforma SCC wykorzystywana przez GFT dostępna jest w dwóch wariantach. W wersji standardowej znajdują się stałe pentesty oraz wykrywanie zagrożeń. Wersja premium jest dużo bogatsza i zawiera dodatkowo:

  • Security posture management – analizę konfiguracji usług pod kątem identyfikacji niebezpiecznych lub niezalecanych konfiguracji.
  • Threat detection – ciągłe monitorowanie wszystkich komponentów infrastruktury IT firmy w Google Cloud pod kątem podatności i zagrożeń zaistniałych w świecie cyfrowym. Monitorowanie i wykrywanie przebiega w czasie rzeczywistym (near-real time), a reguły detekcyjne są aktualizowane przez zespół Google na bieżąco.
  • Threat prevention – zidentyfikowane podatności oraz aktywne zagrożenia mogą być automatycznie lub półautomatycznie naprawiane lub blokowane. W szczególności jest możliwe aplikowanie ochrony wobec słabości zidentyfikowanych przez Web Security Scanner (zgodnie z OWASP Top 10).
  • Compliance monitoring – monitorowanie wszystkich komponentów infrastruktury IT firmy w Google Cloud pod kątem zgodności z PCI-DSS 3.2.1, OWASP Top 10, NIST 800-53, ISO 27001, CIS benchmark dla GCP (v1.0-v1.2) oraz raportowanie o ewentualnych niezgodnościach. Google ma także w planach poszerzanie listy mapowanych regulacji i standardów, w tym adresowanie wymagań pochodzących z rozporządzenia DORA.
  • Real-time notifications – wszystkie wykryte błędne konfiguracje, podatności, aktywne zagrożenia i niezgodności z regulacjami czy standardami są komunikowane do właściwych osób w czasie rzeczywistym (near-real time). Notyfikacje mają postać raportów, informacji zebranych na dashboardzie, a także mogą być to dosłownie dowolne powiadomienia, jakie użytkownicy sobie zażyczą, jak mailing czy wiadomość SMS.

– Stanie na straży przepisów UE z zakresu bezpieczeństwa IT oraz norm obowiązujących w branży, a także troska o cyberodporność instytucji bankowej to nie lada wyzwanie. Platforma SCC, zwłaszcza w wersji rozszerzonej, wyraźnie pokazuje, że inwestycja w takie rozwiązanie będzie się opłacać na wielu płaszczyznach – podsumowuje Jacek Kudłacz, Senior Business Development Manager w GFT Poland.
Zbudowanie mechanizmów detekcji, kontroli, remediacji i strategii zmniejszających wpływ cyberzagrożeń na stabilne działanie usług bankowych, jest w równym stopniu kwestią konieczności spełnienia wymogów legislacyjnych, kwestią kultury danej organizacji, ale także siłą napędową dla dalszego rozwoju nowoczesnych, i dostosowanych do potrzeb klientów, usług bazujących na chmurze. Należy więc zauważyć, iż obecnie bezpieczeństwo jest dla banków fundamentalnym business-enablerem i wartością konieczną dla budowania przewagi konkurencyjnej. Dlatego natywne usługi dostawców chmurowych, służące ciągłemu wzmacnianiu bezpieczeństwa aplikacji i systemów bankowych działających w chmurze, powinny być rozpatrywane już na samym początku migracji czy natywnych wdrożeń chmurowych. W przypadku Google Cloud, SCC jest niemal obowiązkową pozycją do rozważenia, bez względu na wielkość i zakres wdrożenia, choćby chodziło wyłącznie o pierwsze podjęte działania czy ustanowienie Landing Zone.

Więcej o rozwiązaniach informatycznych dla sektora bankowego na stronie: www.gft.com

Źródło: Miesięcznik Finansowy BANK