Bezpieczeństwo w instytucji finansowej: Hybrydy i inżynieria w Cyber Security
Z Rafałem Jaczyńskim - liderem zespołu PwC Cyber Security i Adamem Wnękiem - dyrektorem Risk Assurance w PwC, rozmawia Konrad Żybort
Zacznijmy może od najnowszego raportu PwC „Globalny stan bezpieczeństwa informacji 2014”. Jaka jest pozycja polskich instytucji finansowych w tym ogólnym ujęciu?
Rafał Jaczyński: Są dwa parametry dotyczące polskiego rynku, które znacząco odbiegają od badań globalnych. Pierwszym z nich jest odsetek odpowiedzi twierdzących na proste skądinąd pytanie: „Czy są Państwo zadowoleni z poziomu bezpieczeństwa własnej organizacji?”. Ujęło mnie i zaskoczyło, że w Polsce jest odczuwalnie więcej osób oceniających ten parametr pozytywnie. Zaskoczyło przede wszystkim dlatego, że oceniając przez kilkanaście lat poziom bezpieczeństwa w różnych polskich firmach, jestem bardzo daleki od tak optymistycznych wniosków. To od razu kojarzy mi się z drugim parametrem: wydatki na bezpieczeństwo w Polsce mierzone procentem wydatków przeznaczonych na technologię informatyczną są wielokrotnie mniejsze niż na Zachodzie. Nie wspominam nawet o wartościach bezwzględnych – tu wiadomo, że budżety polskich firm są również dużo niższe.
Skąd więc to zadowolenie?
Adam Wnęk: W Polsce wiedza o spektakularnych wpadkach bezpieczeństwa jest znacznie mniejsza niż w Europie Zachodniej i USA. To zadowolenie może przypominać reakcję kapitana na „Titanicu” – skoro nie przydarzyła mi się nigdy katastrofa, to moim pasażerom nic nie może się stać…
RJ: Mamy również drugie badanie dotyczące przestępczości gospodarczej, z którego wynika, że co piąta polska firma miała do czynienia z cyberprzestępczością. Odnosząc to do wcześniej wspomnianej ankiety – okazuje się, że 22 proc. respondentów nawet nie wie, czy doświadczyło jakichkolwiek incydentów związanych z bezpieczeństwem, a 42 proc. nie planuje jakichkolwiek wydatków na narzędzia pozwalające to śledzić. Rzeczywiście, informacji dotyczących bezpieczeństwa informatycznego w polskich firmach jest mało.
AW: Przykład z ostatnich dni – luka w powszechnie wykorzystywanym protokole OpenSSL (tzw. Heartbleed). Jeśli zaś chodzi o sektor bankowy, to są dwa czynniki, które mogą wiązać się z dobrym samopoczuciem ankietowanych. Systemy bankowe w Polsce są często technologicznie dużo bardziej zaawansowane niż na Zachodzie, gdzie następuje teraz wymiana rozwiązań z lat 90. Z drugiej strony Polska, podobnie jak Turcja, jest swoistym poligonem doświadczalnym dla nowych technologii, co zwiększa ryzyko wpadki. Nowe jest z reguły mniej zbadane, bardziej otwarte dla klienta, a to są zawsze czynniki ryzyka.
Jednak bezpieczeństwo to nie tylko technologia…
RJ: Można przyjąć za pewnik, że bezpieczeństwo to zarówno technologia, jak i procesy i ludzie. Kiedy przygotowujemy się na atak ze strony cyberprzestępców i budujemy naszą ochronę, to nie wiem dlaczego wszyscy zakładają, że atakujący będzie wybierał jedną z tych trzech kategorii. Rzeczywistość jest zupełnie inna – skuteczne ataki na instytucje finansowe wykorzystują wiedzę i techniki z każdej z tych dziedzin. Zasadnym pytaniem jest to, czy nasze banki są przygotowane na tego typu hybrydowe zagroż...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI