Cyfrowe czasy, nie do końca cyfrowe wyzwania, cyberbezpieczeństwo z perspektywy sektora finansowego

Cyfrowe czasy, nie do końca cyfrowe wyzwania, cyberbezpieczeństwo z perspektywy sektora finansowego
Fot. stock.adobe.com / Elnur
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Przechodzimy do wirtualnego środowiska. To są fakty. Coraz częściej robimy zakupy z użyciem platform eCommerce, korzystamy z usług finansowych czy e-administracji za pośrednictwem Internetu. Pojawia się też coraz więcej różnych inicjatyw edukacyjnych czy przekonujących do przejścia na bardziej cyfrowe kanały, które z pewnością - choć nie dla wszystkich - są bardziej user friendly, a przede wszystkim dostępne "tu i teraz". Nie ma wątpliwości jednak, że tęsknimy za kontaktem face-to-face z drugim człowiekiem i to z pewnością się nie zmieni. Kiedy tylko będzie to możliwe, wrócimy do realnego świata ‒ pisze w swoim komentarzu Michał Nowakowski, Finregtech.Pl.

Usługi cyfrowe z nami jednak pozostaną. Sektor finansowy intensywnie pracuje nad tym, aby dostarczać nowe usługi czy digitalizować dotychczasowe kanały. Jedni twierdzą, że to tylko „łatanie”, a nie prawdziwa rewolucja ‒ inni rozumieją, jak złożone są stosowane systemy oraz jakie występują zależności pomiędzy różnymi uczestnikami systemów.

W niedługiej perspektywie z pewnością uchwalone zostanie rozporządzenie w sprawie cyfrowej odporności operacyjnej (DORA) czy nowa dyrektywa w sprawie cyberbezpieczeństwa – NIS2

Nie jest to zadanie łatwe i szybkie do realizacji, ale przez ostatni rok wiele udało się osiągnąć. Przekonanie klientów, aby korzystali z e-usług jest jednym z zadań tych podmiotów, ale nie możemy zapominać, że równolegle do rozwijania produktów sektor finansowy oraz sami użytkownicy muszą dbać o bezpieczeństwo, danych i środków finansowych.

Cyberbezpieczeństwo – nowe regulacje

Na tę kwestię uwagę zwraca chociażby ostatni list Przewodniczącego KNF skierowany do banków, choć oczywiście jest do zastosowania i w odniesieniu do pozostałych podmiotów rynku finansowego.

W niedługiej perspektywie z pewnością uchwalone zostanie rozporządzenie w sprawie cyfrowej odporności operacyjnej (DORA) czy nowa dyrektywa w sprawie cyberbezpieczeństwa – NIS2 (a w kolejce czeka też znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa).

Tematyka CyberSec pojawia się w aktach czy regulacjach dotyczących danych czy wykorzystania sztucznej inteligencji

Na początku marca ENISA, czyli unijna agencja odpowiedzialna za cyberbezpieczeństwo opublikowała bardzo ciekawy dokument – EU Cybersecurity Initiatives in the Finance Sector, który pozwala na poszerzenie perspektywy co do tego, jak wygląda cały „landscape” dla szeroko rozumianego obszaru zarządzania ryzykami ICT.

A nie możemy też zapominać, że Komisja Europejska zaproponowała nowe obszary do standaryzacji w swoim Rolling Plan for ICT standarisation czy strategii cyberbezpieczeństwa, która niewątpliwie będzie realizowana (pytanie – jak?).

Patrząc jednak szerzej, tematyka CyberSec pojawia się w aktach czy regulacjach dotyczących danych czy wykorzystania sztucznej inteligencji, a więc i te obszary wymagają szczególnej uwagi,

Czytaj także: Jak zwiększyć dostęp kobiet i osób starszych do usług finansowych?

Incydenty bezpieczeństwa, fraudy a socjotechnika

Rośnie też liczba fraudów czy incydentów bezpieczeństwa – szczególnie w kontekście sektora finansowego. Jest to oczywiście pochodną wspomnianej cyfryzacji, która umożliwia dotarcie do nieprawdopodobnie dużej grupy potencjalnych ofiar. Wymusza to na instytucjach finansowych, organach nadzoru oraz użytkownikach podejmowanie inicjatyw w wielu obszarach. Ja chciałbym się jednak skupić na perspektywie podmiotu sektora finansowego, bo ta jest mi oczywiście najbliższa.

Zmiany, które mają zajść w najbliższych latach spowodują, że znaczna część kosztów (rozumianych też jako czas zaangażowanych osób) będzie musiała być przesuwana na te obszary, które dotyczą cyberbezpieczeństwa. To nie podlega dyskusji.

Jest to związane nie tylko z rosnącymi wymogami prawno-regulacyjnymi, którymi można zarządzać, ale coraz większą aktywnością nieuczciwych osób trzecich oraz wchodzeniem na rynek cyfrowy mniej wyedukowanych klientów (osoby starsze, ale i najmłodsi bez dostatecznego rozeznania i doświadczenia życiowego).

Ewentualne szkody, które użytkownik mógłby ponieść, najczęściej będą obciążały instytucje finansowe, a pamiętajmy także o ryzyku reputacyjnym. Jeden większy fraud może „położyć” reputację budowaną przez lata. A wszystko dzięki social mediom.

To zresztą drugi obszar, który powinien być w centrum uwagi instytucji finansowych. Wiele ze wspomnianych oszustw nie wymaga wcale fizycznego czy softowego „włamu” do systemów IT instytucji. Często wystarczy odpowiednio dopracowana socjotechnika, bazująca nieco na ludzkiej naiwności i zaufaniu. Tak jak można obejść systemy, tak można „obejść” człowieka. A gdy w grę wchodzą emocje ‒ jest to dużo łatwiejsze. Ten aspekt nie może być więc pomijany przez instytucje. Istotna będzie tutaj także edukacja, ale edukacja nie w skali mikro, a globalna.

Rośnie liczba fraudów czy incydentów bezpieczeństwa – szczególnie w kontekście sektora finansowego. Jest to oczywiście pochodną cyfryzacji, która umożliwia dotarcie do nieprawdopodobnie dużej grupy potencjalnych ofiar

Edukacja, choć kluczowa, nie będzie jedynym wyzwaniem dla sektora. W dalszym ciągu jesteśmy narażeni na potencjalne ataki, które mogą wyłączyć systemy z normalnego funkcjonowania. I choć stawiam tezę, że większość fraudów będzie opierać się – w sektorze finansowym – o wspomnianą ludzką naiwność, to nie można wykluczyć, że w którymś momencie pojawią się informacje o znaczących incydentach bezpieczeństwa, które będą miały związek z działaniem osób trzecich. Coraz częściej słyszymy o tym w kontekście np. kryptowalut.

Jednocześnie musimy pamiętać, że wprowadzanie nowych rozwiązań w zakresie cybersecurity nie powinno być rozpoznawane tylko jako koszt. To po prostu absolutnie kluczowy obszar działalności każdego podmiotu funkcjonującego w sieci, bo w dzisiejszych czasach nie tylko pieniądze są istotne, ale także dane (np. naszych klientów). A jak pisałem już – kto ma dane, ten ma władzę.

Czytaj także: Światowy Dzień Konsumenta: jak każdy z nas może ustrzec się przed wyłudzeniami?

Edukacja, szkolenie i normy etyczne

Nie możemy jednak zapominać o jednym istotnym fakcie. Możemy wdrażać najbardziej rozbudowane i skuteczne rozwiązania w zakresie zarządzania ryzykami ICT. Mieć super strategie w tym zakresie, a procedury takie, że „mucha nie siada”, a i tak możemy być ofiarą fraudu.

A wszystko przez jeden słaby punkt – człowieka. To człowieka zarządza technologią i ją wykorzystuje. To on odpowiada za uwierzytelnianie, autoryzację i podejmowanie określonych decyzji. Zarówno w kontekście klientów, jak i zatrudnionych pracowników instytucji.

To właśnie człowiek jest tym słabym punktem, a nie systemy IT (co do zasady, bo oczywiście ataki na systemy do rzadkich nie należą). Istotne jest więc odpowiednie edukowanie, wpajanie norm etycznych i szkolenie.

Nie mam jednocześnie złudzeń, że uda nam się całkowicie zabezpieczyć przed różnymi atakami na integralność systemów. To niewykonalne.

To właśnie człowiek jest tym słabym punktem, a nie systemy IT

Ważne jest jednak, aby – szczególnie wobec pomysł uszczelnienia systemu koordynacji cybersecurity – prowadzić działalność w sposób skoordynowany, zaplanowany i efektywny.

Procedury, strategie i polityki będą tutaj grały istotną rolę, ale i podejście do zarządzania tymi obszarami.

Michał Nowakowski
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.
Źródło: aleBank.pl