FTBS 2022: transformacja cyfrowa i bankowość relacyjna
Karol Mórawski: Czy rosyjska agresja na Ukrainę wygenerowała dodatkowe wyzwania w zakresie cyberbezpieczeństwa, które miałyby przełożenie także na funkcjonowanie bankowości spółdzielczej? Jak w tych uwarunkowaniach skutecznie budować odporność cyfrową?
Dariusz Kołodziejski: Nowych wyzwań nie ma, nie zmieniło tu się nic od czasu przyspieszonej cyfryzacji spowodowanej pandemią, a później w efekcie wojny. Jeszcze dwadzieścia lat temu przestój banku mógł być wywołany praktycznie wyłącznie klęską żywiołową.
Przypomina mi się rok 1997, kiedy na jednym ze szkoleń informatycy opowiadali jak z zalewanego Wrocławia „downowali” serwery usytuowane w dolnych partiach budynku, bądź piwnicach i przenosili na wyższe kondygnacje. Dziś oprócz klęski żywiołowej tj. powodzi, huraganu bądź silnego wiatru wystarczy atak hakerski.
Efekt pandemii spowodował, że banki musiały przyspieszyć proces przechodzenia do świata wirtualnego w relacjach z klientem i w procesach wewnętrznych
Przyczyn podatności można też szukać w samej naturze ludzkiej, ale bardzo mocno przyczyniają się do niej niedostatki założeń oraz realizacja polityki bezpieczeństwa w bankach.
Praktycznie problemy są w ograniczeniach budżetowych, bo tam tkwi przyczyna, że wiele banków spółdzielczych nie dysponuje narzędziami, które mogłyby znacząco obniżać skutki ataku oraz jego prawdopodobieństwo.
Efekt pandemii spowodował, że banki musiały przyspieszyć proces przechodzenia do świata wirtualnego w relacjach z klientem i w procesach wewnętrznych. Jeśli wcześniej sukcesywnie nie zabezpieczało się swojej cyfrowej infrastruktury, nie robiło zgodnie z wytycznymi regulatorów (KNF, UOKIK oraz regulacji NIS, PSD2, RODO) ‒ to mamy kosztowny problem i długotrwały okres wdrożenia.
Przygotowanie wdrożeń i zaimplementowanie ich w swojej cyfrowej infrastrukturze to tygodnie spotkań i rozmów, miesiące uzgodnień po to tylko, aby efekt końcowy był zadowalający obie strony. Czasami trwa to kilkanaście miesięcy, a nawet kilkadziesiąt, ze względu na niejasny proces, rozproszenie przepisów, które powodują, że skupiamy się na regulacyjnej zgodności zamiast na bezpiecznej ochronie działalności banku.
Drugim dość poważnym elementem jest brak nacisku na cykliczne szkolenie pracowników w obszarze cyberbezpieczeństwa.
Czytaj także: FTBS 2022, razem znaczy bezpieczniej
Zabezpieczenie instytucji finansowych i ich klientów w dobie pracy hybrydowej i zdalnych kanałów kontaktu z klientem stanowiło jedno z istotniejszych zadań. Jak sobie z tym wyzwaniem radzą spółdzielcy?
‒ Banki już od dłuższego czasu nieuchronnie zmierzają w kierunku coraz większej cyfryzacji procesów. Transakcje przeprowadzane w obszarze sektora finansowego głównie opierają się na digitalizacji procesów z dużym zachowaniem, jak to występuje w przypadku spółdzielczości, tak cennego atutu, jakim jest pozostawienie relacyjności „twarzą w twarz”.
Nowe technologie mają swój udział w szeregu dziedzinach działalności banku, ale ich wprowadzanie na wielu różnych obszarach wiąże się ze zwiększonymi zagrożeniami
I tego elementu na chwilę obecną nie jesteśmy w stanie zmienić cyfryzacją, ze względu na posiadany wolumen klientów. Jednocześnie ten sam klient również wymaga od nas nowych technologii, zaspokajania rosnących oczekiwań.
Ta nagła zmiana przysporzyła mnóstwo problemów zespołom ds. bezpieczeństwa, aby jednocześnie dostarczyć usługę i odpowiednio chronić najważniejsze aktywa banku przed wirtualnymi atakami i zagrożeniami.
Nowe technologie mają swój udział w szeregu dziedzinach działalności banku, ale ich wprowadzanie na wielu różnych obszarach wiąże się ze zwiększonymi zagrożeniami. Gwałtowne zmiany w sferze IT i rosnący stopień skomplikowania ‒ to najważniejsze wyzwania w zakresie kontroli bezpieczeństwa cybernetycznego.
Drugim największym wyzwaniem okazała się niedostępność wykwalifikowanych specjalistów w dziedzinie cyberbezpieczeństwa, którzy byliby w stanie zabezpieczyć systemy w szybko zmieniającym się środowisku informatycznym.
Natomiast praca hybrydowa w bankach spółdzielczych całkowicie nie sprawdziła się w okresie, kiedy trzeba było ją zastosować. Pewne czynności można było oddelegować zdalnie, ale dobrze, że mamy to już za sobą.
Oczywiście, zagwarantowanie ciągłości i utrzymanie jakości świadczonych usług w obliczu zakłóceń wywołanych przede wszystkim pandemią ‒ trzeba było zapewnić.
W naszym przypadku wpływ pandemii na technologie informacyjne i telekomunikacyjne oraz na dostęp do usług nie sprawił kłopotu.
Czytaj także: FTBS 2022: nagrody i wyróżnienia dla wiodących banków spółdzielczych i firm obsługujących sektor spółdzielczy
Jaka rola w budowie architektury bezpieczeństwa banku spółdzielczego, funkcjonującego w ramach zrzeszenia, powinna przypaść bankowi zrzeszającemu, a za co powinny odpowiadać poszczególne podmioty?
‒ W sumie to pytanie powinno być skierowanie do banku zrzeszającego. Nauczyliśmy się radzić sobie sami w tym obszarze poprzez chronienie kluczowych serwerów i aplikacji na bardzo zaawansowanym poziomie.
Najpierw zabezpieczyliśmy obszar komunikacji z klientem detalicznym, analizując wykrywanie, zapobieganie oraz łagodzenie skutków ataków szkodliwego oprogramowania oraz oszustw internetowych.
Lista zagrożeń może być bardzo długa i różna, ale wieloletnia strategia, cykliczny przegląd i modernizacje infrastruktury informatycznej dają doskonałe rezultaty oraz wyższy poziom bezpieczeństwa
Szczególnym nadzorem objęliśmy obszar, mający na celu wykradanie danych dostępowych i innych poufnych informacji przy użyciu przeglądarki internetowej.
Klienta korporacyjnego zabezpieczyliśmy zapewniając granularny, oparty na politykach, świadomy kontekstu dostęp zdalny i mobilny ze wszystkich sieci i urządzeń.
Poczta elektroniczna jest zabezpieczona poprzez blokowanie zaawansowanych ataków malware, ataków zero-day oraz ukierunkowanych ataków APT. Przed wyciekiem danych z zasobów Banku stosujemy skuteczną zaporę aplikacyjną wyszukującą anomalie w ruchu WEB.
Ciekawym rozwiązaniem, jakie zastosowaliśmy w Banku było wprowadzenie architektury technologii PROXY, za pomocą której uzyskaliśmy lepszą kontrolę ruchu przy połączeniu z Internetem.
Chronimy konta uprzywilejowane wrażliwych systemów, rozliczamy, weryfikujemy użytkowników tych kont oraz egzekwujemy politykę zmiany haseł.
Lista zagrożeń może być bardzo długa i różna, ale wieloletnia strategia, cykliczny przegląd i modernizacje infrastruktury informatycznej dają doskonałe rezultaty oraz wyższy poziom bezpieczeństwa.
Czytaj także: FTBS 2022: Rozwiązania chmurowe na rzecz biznesu