Bez technologii i przestrzegania procedur nie ma cyberbezpieczeństwa
aleBank.pl: Czy można osiągnąć w świecie wirtualnym taki sam poziom bezpieczeństwa jak w świecie fizycznym?
Patrick Grillo, Senior Director, Solutions Marketing: Zasadniczo możemy osiągnąć podobny poziom bezpieczeństwa. Natomiast trzeba pamiętać, że nie istnieje pojedynczy sposób, żeby to bezpieczeństwo osiągnąć niezależnie od tego, czy to sieć wirtualna, czy rzeczywista infrastruktura.
Dobrą wiadomością jest to, że technologie są podobne, często te same i najważniejsza jest dobra integracja. I skuteczna integracja.
Bardzo ważną sprawą jest, aby rozważyć różne opcje zabezpieczenia, żeby unikać najprostszych dróg. I zwracać uwagę na to, co jest oferowane przez wyspecjalizowane rozwiązania, poza tym, co oferują operatorzy.
Używamy różnych urządzeń, różnych programów od różnych firm, także korzystamy z różnych chmur – jak w tej sytuacji wybrać technologię, która będzie nas skutecznie chroniła?
− Użytkownicy muszą być świadomi, jaki poziom bezpieczeństwa zapewniają poszczególne technologie. Czy te znajdujące się w call center klienta, czy te w chmurze.
Trzeba patrzeć poza te mechanizmy, które oferują operatorzy, czy też poza urządzenia „prosto z półki”. Należy też zrozumieć jakie są zagrożenia dla naszych danych. I jakie są nasze cele w kontekście osiągnięcia poziomu bezpieczeństwa.
Od 14 września 2019 r. banki w Europie zrobiły kolejny krok w kierunku otwartej bankowości. Czy ma Pan jakieś rady dla europejskich banków, które w nowej sytuacji muszą skutecznie chronić zasoby swoich klientów?
− Można tu wskazać analogię pomiędzy sektorem bankowym a szeroko pojętym sektorem sprzedażowym. Parę lat temu, w Stanach Zjednoczonych miały miejsce sytuacje, w których utracono dane, były też naruszenia bezpieczeństwa, związane właśnie ze współpracą z partnerami technologicznymi, partnerami biznesowymi. Lekcja jest taka: najważniejsze jest trzymanie się standardów, i ustanawianie tych standardów odpowiednio wcześniej.
Przykładem może być wykorzystywanie przez bank w Bangladeszu systemu SWIFT, gdzie urządzenia klasy konsumenckiej doprowadziły do poważnych naruszeń bezpieczeństwa. Dlatego, że zostały bezpośrednio podłączone do sieci, do infrastruktury.
Musimy pilnować tych standardów i tak zaimplementować ścieżkę bezpieczeństwa, aby odpowiednio często przeprowadzać audyty, badać podatność oraz mieć ciągły nadzór w poszukiwaniu ewentualnych anomalii i podejrzanych wzorców.
Który Pana zdaniem system ochrony danych jest lepszy – amerykański czy europejski?
− Odpowiedź jest dosyć technologiczna. Obojętnie czy jest to standard europejski czy amerykański – musimy korzystać z najnowszych osiągnięć technologii. Takim przykładem jest TELES w wersji 1.3, który znacznie podnosi bezpieczeństwo komunikacji i znacznie zmniejsza możliwość naruszenia poufności, integralności danych.
Te zalecenia można podsumować jako szerokie spojrzenie na bezpieczeństwo. To nie tylko zapewnienie bezpiecznej komunikacji, ale także zapewnienie bezpiecznej identyfikacji, autoryzacji użytkowników.
Cały ten system musi być odpowiednio zaprojektowany, musi być zgodny z zaplanowanymi standardami. I trzeba skutecznie pilnować ich przestrzegania.
