Bezpieczeństwo danych we współczesnym banku to odpowiednie technologie i kompetentny personel
O tym, jak potężną przewagą we współczesnej cyberprzestrzeni dysponują zorganizowane grupy przestępcze, świadczą doniesienia z ostatnich kilkunastu miesięcy. Ofiarą przestępców padły takie giganty jak serwis LinkedIn, z którego serwerów latem 2023 r. wykradziono dane ponad 500 mln użytkowników, Adobe, a z branży bankowej – Citibank. W tym ostatnim przypadku cyberatak, przeprowadzony w marcu 2023 r. doprowadził do wycieku wrażliwych informacji o milionach klientów, łącznie z numerami rachunków i historią przeprowadzonych na nich operacji.
Incydentów bezpieczeństwa teleinformatycznego nie uniknęły nawet instytucje publiczne, przykładem może być amerykańska służba zdrowia, z której wyciekły dane pacjentów, obejmujące m.in. informacje o ich polisach ubezpieczeniowych.
A przecież to tylko niektóre przypadki włamań na serwery instytucji o zasięgu globalnym, przeprowadzonych zaledwie na przestrzeni minionego roku. Skoro przestępczy świat jest w stanie skuteczne łamać zabezpieczenia największych graczy na rynku, tym bardziej muszą się mieć na baczności instytucje o mniejszym potencjale finansowym, czy też prowadzące działalność na mniejszą skalę.
We współczesnym świecie, kiedy cybergangi wymieniają się między sobą danymi w skali globalnej, a ostatnio również korzystają z narzędzi typu cybercrime as a service, zagrożenie dotyczy zarówno niewielkiego banku spółdzielczego o lokalnym zasięgu, jak i grupy kapitałowej, posiadającej w swych strukturach bank, zakład ubezpieczeń i podmioty rynku kapitałowego. I co najważniejsze, przedstawiciele sektora doskonale zdają sobie z tego sprawę.
Czytaj także: Wiceminister cyfryzacji o AI i o odporności cyfrowej państwa
Bezpieczeństwo danych i cyberochrona dla banków
– Dane są skarbem XXI wieku i podobnie traktujemy wszelkie informacje, które dotyczą naszych klientów. Sektor bankowy musi być wyjątkowo wrażliwy na ich przetwarzanie – podkreśla Marek Gach, wiceprezes Banku Spółdzielczego w Mszanie Dolnej, nadzorujący obszar IT.
Jego zdaniem, wystąpienie błędu ludzkiego jest czynnikiem, którego nigdy nie da się w całości wyeliminować.
– Świadomość takiego ryzyka motywuje nas do wprowadzania ciągłego procesu nadzoru i zmian organizacyjnych i technicznych – dodaje Marek Gach.
Dlatego Bank zdecydował się na implementację w organizacji rozwiązania DLP.
– Wdrożenie marki Safetica w naszym banku było przemyślaną decyzją. Podczas testów zauważyliśmy, że analiza działań użytkowników z danymi jest w Safetica niezwykle dokładna, a to dla nas kluczowa zaleta – ocena wiceprezes BS w Mszanie Dolnej.
Stwierdzenie wycieku danych to zaledwie początek problemów. W wielu przypadkach sprawcy żądają haraczu w zamian za odstąpienie od upublicznienia chronionych informacji o klientach. Rzecz w tym, że pójście na układy z przestępcami wcale nie oznacza, iż nie spełnią oni swej groźby, a można być wręcz pewnym, że wykorzystają przechwycone dane do niecnych celów.
Wyciek danych, a zwłaszcza niewykrycie incydentu niezwłocznie po jego zaistnieniu i brak adekwatnej reakcji, wiąże się również z postępowaniem ze strony organu ochrony danych osobowych, a w przypadku podmiotów rynku finansowego również KNF.
Konsekwencją mogą być gigantyczne kary pieniężne, które w obecnej sytuacji sektora bankowego mogą się negatywnie odbić na rentowności poszczególnych podmiotów. Do tego dochodzą roszczenia cywilnoprawne, wysuwane ze strony osób, których dane dotyczą, czy wreszcie uszczerbek wizerunkowy – tym bardziej dotkliwy, że w obecnym świeci to właśnie zaufanie i bezpieczeństwo stanowi główną przewagę sektora bankowego nad fintechami i bigtechami.
Warto podkreślić, że wśród szczególnie chronionych danych klienta znajdują się takie informacje jak numery kont bankowych i kart płatniczych/kredytowych, historia przeprowadzonych transakcji i dane o poszczególnych operacjach oraz oczywiście wszelkie dane osobowe.
Przedstawiciele Krakowskiego Banku Spółdzielczego doskonale zdają sobie sprawę, że wszelkie dane spośród powyżej wymienionych są danymi wrażliwymi, to zaś oznacza potrzebę ich szczególnej ochrony przez bank. Instytucja musi m.in. zawsze mieć świadomość dokładnie kto, kiedy i gdzie korzysta z tych informacji.
– Wiele raportów branżowych, odnoszących się do tematyki cyberbezpieczeństwa zwraca uwagę na bardzo istotny problem wycieku danych, którego źródłem są sami pracownicy – podkreśla ekspert ds. cyberbezpieczeństwa tej instytucji finansowej.
Jak zapewnić należytą ochronę tak olbrzymim zasobom danych, zwłaszcza w obliczu stopniowego otwierania rynku finansowego przez unijnego regulatora? Przede wszystkim, należy zapewnić holistyczne podejście do kwestii bezpieczeństwa danych. Najbardziej zaawansowane systemy teleinformatyczne nie na wiele się zdadzą wobec niewystarczającej świadomości pracowników odnośnie zagrożeń. Podobnie zresztą zespół o wysokich kompetencjach w zakresie cyberbezpieczeństwa musi dysponować odpowiednimi narzędziami softwarowymi, jak oprogramowanie DLP, które działają w tle całego środowiska, chroniąc je przed wyciekiem danych.
– Poza funkcjonującymi w banku w tym zakresie politykami bezpieczeństwa, które zawierają m.in. normy postępowania pracowników z dokumentami oraz sprzętem komputerowym, istotne jest wprowadzanie zautomatyzowanych, profesjonalnych rozwiązań zabezpieczających – rekomenduje specjalista zespołu ds. cyberbezpieczeństwa w Krakowskim Banku Spółdzielczym, który zdecydował się na aktywacje rozwiązania DLP dostarczanego przez Safetica.
Decyzja o wyborze partnera technologicznego była w pełni świadoma i poparta wieloletnim doświadczeniem po stronie Banku.
– Zanim ostatecznie zdecydowaliśmy się na wybór Safetica, testowaliśmy jej próbną wersję. Poza samym DLP i chronieniem plików, przekonała nas możliwość dokładnej analizy działań podejmowanych przez użytkownika. Analiza ta dostarcza wiedzy jakieoperacje wykonuje pracownik, jakie strony odwiedza i co robi z dokumentami – zauważył reprezentant KBS.
Już pierwsze doświadczenia z nowym systemem potwierdziły jego znacznie większą skuteczność i wygodę obsługi.
– Wcześniej również monitorowaliśmy ruch w sieci, ale teraz nie tylko przebiega to w łatwiejszy sposób, ale i wszystkie informacje zgromadzone są w jednym miejscu, co ułatwia ich monitoring i analizę. Konsola administracyjna jest przejrzysta i intuicyjna – podkreślają bankowcy.
Równie wysokie noty wystawił swemu partnerowi technologicznemu drugi z banków lokalnych.
– Safetica ma bardzo intuicyjny panel administracyjny. Wszystkie istotne dla nas informacje gromadzone są w jednym miejscu, a więc możemy je łatwo obserwować i analizować. To znacząco ułatwia nam codzienną pracę – twierdzi Marek Gach.
Czytaj także: Technologia w bankowości spółdzielczej powinna wspierać relacyjność
Dekalog zasad cyberbezpieczeństwa
Warto podkreślić edukacyjną rolę narzędzi, dostarczanych przez Safetica. Pracownik, który chciałby przeprowadzić ryzykowną dla firmy operację na plikach, w rodzaju skopiowania ich na zewnętrzny nośnik czy wysyłki mailem, otrzyma odpowiedni komunikat, powiadamiający o incydencie bezpieczeństwa, dzięki czemu ma możliwość anulować działanie lub je zatwierdzić, jeśli okazałoby się, że jest ono zgodne z polityką bezpieczeństwa banku.
Równocześnie w systemie pozostaje ślad po tym działaniu, umożliwiając weryfikację poszczególnych czynności. Firma dzięki temu jest chroniona przed wyciekiem danych od wewnątrz, ponieważ Safetica zabezpiecza większość możliwych kanałów dystrybucji danych (USB, chmura, www, e-mail itd.).
Jak już wspomnieliśmy, wdrożeniu systemów bezpieczeństwa powinno towarzyszyć budowanie właściwych postaw i zachowań wśród pracowników. W tym celu warto posłużyć się poniższym dekalogiem cyberbezpieczeństwa.
Zalecenia te mają charakter uniwersalny, można i należy je stosować również w instytucjach spoza branży bankowej czy szerzej – finansowej:
1. Wykonaj audyt i znajdź wszystkie swoje wrażliwe dane. Dobrze wiedzieć z jakimi danymi działa Twoja firma, gdzie dane są przechowywane, kto ma dostęp do pracy z nimi i może je edytować.
2. Wdrażaj zasady, które określają w jaki sposób można postępować z danymi wrażliwymi, kto może uzyskać do nich dostęp i w jakim celu. Upewnij się, że zasady są łatwe do zrozumienia.
3. Edukuj pracowników i wyjaśniaj im, jak ważne jest bezpieczeństwo danych. Powinni być świadomi, z jakimi danymi działa firma i jakie są konsekwencje ich niewłaściwego wykorzystania.
4. Zaszyfruj najważniejsze dane i upewnij się, że nawet jeśli sprzęt zostanie zgubiony lub ukradziony, dane pozostaną bezpieczne.
5. Monitoruj nowych i odchodzących pracowników – sprawdzaj przeszłość nowych pracowników. Stwórz bezpieczny proces opuszczania firmy, aby mieć pewność, że odchodzący pracownicy nie zabiorą ze sobą żadnych danych. Jeśli podejrzewasz możliwość naruszeń, miej ich na oku i kontroluj, do jakich danych mają dostęp i czy jest im potrzebny.
6. Dopuszczaj tylko autoryzowane urządzenia – miej kontrolę na tym jakie nośniki danych są podpinane do firmowego sprzętu. W połączeniu z odpowiednia klasyfikacją plików, utrudni to kopiowanie wrażliwych danych poza organizację.
7. Strony do udostępniania plików, media społecznościowe i komunikatory – blokuj przesyłanie danych lub powiadamiaj pracowników o ryzykownych operacjach.
8. E-mail – ogranicz wysyłanie danych na nieznane zewnętrzne adresy e-mail, powiadamiaj pracowników o potencjalnym naruszeniu.
9. Internet, chmura, O365 – Ogranicz przesyłanie danych do nieoficjalnych kanałów poza firmą i powiadom o tym pracowników.
10. Drukarki – Sprawdzaj na podstawie informacji kontekstowych, jakie dokumenty drukują Twoi pracownicy. Odkryjesz potencjalne naruszenia bezpieczeństwa danych i ograniczysz możliwość drukowania dokumentów z wrażliwymi danymi.
