Na ile chmura obliczeniowa może wspierać cyberodporność sektora finansowego?

Bank Rozliczeń Międzynarodowych opublikował raport „The Drivers of Cyber Risks”, który stanowi bardzo ciekawą kompilację dot. różnych incydentów IT.

Autorzy oparli swoje badania o dane dotyczące ok. 100 tys. incydentów operacyjnych, co niewątpliwie budzi respekt. Przyjrzyjmy się konkluzjom raportu, który został przygotowany „pod” sektor finansowy.

Nie będę tutaj rozwodził się zbytnio na kwestiami definicyjnymi. W rozumieniu ekspertów BIS cyber-ryzykiem będzie ryzyko straty finansowej, zakłócenia (działania) czy utraty reputacji wynikające z niewłaściwego działania systemów teleinformatycznych.

W praktyce będą to najczęściej więc ryzyka związane niewłaściwym zabezpieczeniem oprogramowania i „włamami”, ale również działania osób wewnątrz instytucji.

W tym kontekście warto przypomnieć obowiązki dla operatorów usług kluczowych oraz rekomendacje grupy ds. PolishAPI w kontekście bezpieczeństwa.

Znaczenie cyber-risks dla sektora finansowego i nie tylko

To, na co zwraca uwagę raport, to systemowe znaczenie tego typu ryzyk dla sektora finansowego, stabilności finansowej i między innymi dlatego cyberzagrożenia są przedmiotem zainteresowania państw, a nie tylko sektora prywatnego. Dowodem tego może być chociażby „nasza” Strategia Cyberbezpieczeństwa. Jednocześnie trudno, zdaniem autorów raportu, oszacować koszty związane z utrzymaniem cyberbezpieczeństwa, ale również eliminacji ich skutków.

I od razu ważna informacja. Sektor finansowy jest jednym z tych, które są najbardziej narażone na cyberataki, co oczywiście powiązać można z jego – jak to nazwali autorzy dokumentu – „lukratywnością”.

Czytaj także: Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?

Typy incydentów

Interesujące są dane dotyczące typów incydentów. Najczęściej pojawiają się te dotyczące naruszenia prywatności, incydenty bezpieczeństwa czy ataki phisingowe i skimmingowe.

Mamy też inne incydenty jak np. ujawnienie danych, błędy w oprogramowaniu i podobne, ale niesklasyfikowane w powyższych kategoriach. Widać więc wyraźnie, że nadal najsłabszym ogniwem jest po prostu człowiek, a nie zawodność systemów IT.

Warto zwrócić uwagę na to, że przestępcy coraz częściej wykorzystują te kanały, które dotąd były uznawane za bardzo bezpieczne, jak np. komunikaty SWIFT. Nie oznacza, że tracą one swoją wartość, natomiast pokazuje to skalę problemu i coraz większą „świadomość” cyberprzestępców.

Czytaj także: Bez edukacji finansowej ryzyko korzystania z nowych usług będzie rosło

Ważne jest więc nieustanne edukowanie użytkowników i zwiększanie świadomości odnośnie cyberzagrożeń. Warto pomyśleć także o bardziej rozbudowanych rozwiązaniach w zakresie wykrywania fraudów, np. o ciekawym pomyśle wykorzystania uczenia maszynowego i metod behawioralnych.

Wpływ chmury obliczeniowej?

Coraz częściej mówi (pisze) się o potencjale chmury obliczeniowej i tym jak może przyśpieszyć transformację sektora finansowego. Czy jednak szersze wykorzystanie cloud computing przyczyni się do wzrostu (nie)bezpieczeństwa sektora finansowego?

Po pierwsze, chmura to szansa dla środowiska ze względu na niższe zużycie energii czy mniejszy ślad węglowy. Jest to więc niewątpliwie korzyść wykraczająca poza sektor finansowy. Nie to jednak jest tutaj najważniejsze.

Chmura niesie za sobą pewne ryzyka. Poczynając od asymetrii pomiędzy dostawcą usługi chmurowej ‒ brak pewności co do tego „gdzie” przetwarzane i przechowywane są dane, poprzez dużą zależność od tych dostawców ‒ również w zakresie zarządzania ryzykami cyberbezpieczeństwa, aż do zwiększonego zainteresowania przestępców dostępem do chmury.

Czytaj także: Bank z umową na chmurę obliczeniową w egzotycznym kraju? Co na to komunikat KNF?

Szczególnie ważne jest tutaj ryzyko koncentracji, na które wskazuje też Strategia Komisji (UE) w sprawie danych. Fakt, że na rynku znaczących dostawców chmury jest tylko kilku powoduje, że „wywalenie się” infrastruktury dużego gracza w tym zakresie może wywołać efekt domina i wpłynąć na funkcjonowanie wielu instytucji finansowych.

Z drugiej strony, analiza przeprowadzona przez autorów raportu wykazuje, że zwiększenie zależności od chmury przy jednoczesnym inwestowaniu w te rozwiązania na poziomie organizacji powoduje, że ewentualne cyberataki wywołują mniejsze szkody dla użytkowników, i mniejsze koszty po stronie instytucji.

Czytaj także: Będziemy mieć unijną chmurę obliczeniową? Strategia KE ws. danych osobowych

Od razu uwaga – pod warunkiem, że mówimy o małych atakach, które jest w stanie „wyłapać” system cyberbezpieczeństwa dostawcy chmurowego. Jeżeli więc będziemy mieli do czynienia ze złożonym atakiem, który może przełamać te zabezpieczenia, to możemy mieć duży problem…

Ostatnia uwaga

Nie wyczerpałem wszystkich zagadnień, ale chciałbym wskazać na jeszcze jeden obszar opisany w raporcie. Generalnie fakt, że poszczególne instytucje finansowe są ze sobą połączone może stanowić zagrożenie ze względu na wspomniany już efekt domina. Z drugiej strony, niekiedy takie współzależności mogą przyczynić się do ogólnej odporności systemu.

Jednocześnie autorzy raportu wskazali na słaby punkt całej infrastruktury, tj. coraz częstsze wykorzystanie pośredników w procesach płatności czy rozliczeń. Ci „pośrednicy” mogą nie być już tak odporni na cyberzagrożenia jak banki, a to już może być poważny problem. Jest to więc obszar to zaadresowania na poziomie systemowym.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.