Nakłady na cyberbezpieczeństwo to nie koszt, to inwestycja w bezpieczną przyszłość

Nowe technologie stanowią pożywkę nie tylko dla twórców aplikacji czy systemów bankowych, ale również dla świata przestępczego. W odpowiedzi na nowe zagrożenia ustawodawca unijny zdecydował się zmienić paradygmat, coraz częściej regulacje(DORA, NIS2) wprowadzają zasadę security by design. Jak moglibyśmy w największym skrócie podsumować główne filary tej koncepcji?

– Na wstępie warto zaznaczyć, że faktycznie postęp technologiczny od zawsze był zjawiskiem ambiwalentnym – z jednej strony wspierał rozwój społeczeństw i gospodarki, z drugiej był wykorzystywany również przez środowiska przestępcze. Problem w tym, że tempo tworzenia nowych schematów przestępczych w ostatnim czasie znacząco wzrosło. Zapewne wpływa na to zarówno sytuacja geopolityczna, jak i ogólne przyspieszenie innowacyjności w sferze cyfrowej. Rozwój chmury, sztucznej inteligencji czy internetu rzeczy wygenerował zupełnie nowe wektory ataku. Sprawcy działają dziś na tyle profesjonalnie i transgranicznie, że legalnie funkcjonujące podmioty nie powinny pytać, „czy” zostaną zaatakowane, lecz potencjalnie „kiedy” to się stanie.

Jedną z metod ochrony wpisującą się w obecny stan rzeczy jest wymieniona koncepcja security by design. W skrócie jej idea polega na traktowaniu bezpieczeństwa jako fundamentu, obecnego na każdym etapie życia systemu: od projektowania architektury, przez pisanie kodu, testy, aż po utrzymanie. Uzupełniającą koncepcją jest – security by functionality, która polega na wzbogacaniu już istniejących systemów o dodatkowe funkcje ochronne, jak np. logowanie zdarzeń czy szyfrowanie danych. W praktyce obie koncepcje są konieczne, by minimalizować ryzyko powstawania luk bezpieczeństwa.

W tym kontekście godzi się zadać pytanie, czy security by design (a w jakiejś mierze również security by functionality) ma charakter przełomowy, a może mamy po prostu do czynienia z ujęciem w ramy prawne rozwiązań stosowanych przez instytucje finansowe i ich partnerów technologicznych już od dłuższego czasu?

– Nie są to koncepcje przełomowe. Wiele firm technologicznych już od kilkudziesięciu lat projektowało systemy w oparciu o bezpieczne praktyki: stosowały zasady secure coding, testy penetracyjne czy rozwiązania typu DevSecOps. Dla nich regulacje takie jak np. DORA czy NIS2 stanowią raczej formalizację stosowanych dotychczas praktyk. W przypadku młodych firm, w tym software house’ów, startupów czy fintechów, które chciałyby zaistnieć w sektorze bankowym, nowe prawo europejskie rzeczywiście może skutkować koniecznością przebudowy procesów oraz wzmocnienia kompetencji zespołów odpowiedzialnych za cyberbezpieczeństwo. Generalnie ja osobiście wolałbym mówić o ewolucji niż rewolucji, mamy wszak do czynienia z ujednoliceniem dobrych praktyk i przekształceniem ich w standard.

Kolejną koncepcją, która towarzyszy tworzeniu regulacji dla współczesnej branży finansowej jest neutralność technologiczna. Jeśli wziąć pod uwagę tak gwałtowne przyspieszenie prac nad generatywną sztuczną inteligencją, która w czasie, gdy wypracowywano zapisy DORA czy NIS2 była jeszcze w fazie eksperymentalnej, czy można powiedzieć, że idea neutralności technologicznej przyjęła się w praktyce, a może mamy do czynienia jedynie z ciekawą, ale nierealną utopią?

– Obawiam się, że to pytanie dotyka jednego z najciekawszych sporów we współczesnym prawie technologicznym i regulacjach dla sektora finansowego. Od wielu lat można zaobserwować, że neutralność technologiczna była swoistym drogowskazem europejskiego prawodawstwa. Ustawodawca starał się pisać przepisy w sposób nie odnoszący się do konkretnych rozwiązań technicznych, tylko do efektów, jakie mają one zapewniać (np. bezpieczeństwo, odporność, proporcjonalność). Zapewne miało to gwarantować trwałość regulacji mimo dynamicznego rozwoju innowacji. Jednak w praktyce coraz częściej widać, że neutralność technologiczna staje się trudna do utrzymania. Powód jest dość oczywisty: tempo zmian, szczególnie w obszarze generatywnej AI czy technologii chmurowych jest znacznie szybsze niż proces legislacyjny. Dla przykładu, gdy powstawała DORA, generatywna sztuczna inteligencja była na etapie zainteresowania fascynatów, a dziś realnie wpływa na funkcjonowanie wielu branż. Myślę zatem, że neutralność technologiczna nie jest utopią, ale raczej kierunkową ideą, do której warto dążyć, pamiętając jednocześnie o jej ograniczeniach.

Dużo mówi się dziś o cyberzagrożeniach. Jak więc w praktyce pogodzić wygodę użytkowania aplikacji z bezpieczeństwem?

– Użyteczność i bezpieczeństwo muszą rozwijać się równolegle – bez tej synergii nawet najbardziej innowacyjne rozwiązania, np. w zakresie personalizacji usług czy intuicyjności interfejsu, mogą stać się źródłem ryzyka. Klient oczekuje prostych i wygodnych rozwiązań, ale rośnie pokusa, by mniejsi gracze, jak startupy czy fintechy, traktowali bezpieczeństwo drugoplanowo, tłumacząc to często presją czasu i chęcią szybkiego wejścia na rynek, czy zwyczajnie budżetem projektu.

Trzeba pamiętać, że projektowanie bezpiecznych systemów niemal zawsze wiąże się z dodatkowymi kosztami, ale rezygnacja z tego podejścia generuje znacznie poważniejsze ryzyka. Ten sam błąd lub podatność wykryta na etapie projektowania może zostać usunięta nieporównanie taniej niż po wdrożeniu. W przeciwnym razie dochodzi nie tylko do kumulacji ryzyk technicznych, lecz także reputacyjnych, regulacyjnych oraz finansowych. Choć pozornie w IT wygoda i bezpieczeństwo bywają w sprzeczności, właściwe podejście zakłada ich komplementarność – tylko wtedy możliwe jest tworzenie usług praktycznych i zaufanych.

Mówimy o podatnościach technologicznych, tymczasem z reguły najsłabszym ogniwem okazuje się człowiek. Statystyki jednoznacznie wskazują, że większość ataków opiera się na phishingu. Czy stosując zasadę security by design, jesteśmy w stanie w taki sposób zabezpieczyć system, by uwzględniał jak najszerszy zakres możliwych, nieprzemyślanych zachowań po stronie klienta?

– Człowiek zawsze był i niestety nadal pozostaje najsłabszym ogniwem. Nawet projektując najdoskonalsze systemy, nie jesteśmy w stanie przewidzieć wszystkich okoliczności. Luki i podatności będą istnieć zawsze – kluczowe jest to, w jaki sposób zareagujemy na incydenty, gdy już się pojawią.

Idea przewidywania błędów użytkownika i minimalizowania ich konsekwencji nie jest nowa. Wywodzi się chociażby z filozofii Kaizen, rozwijanej m.in. w Toyocie, gdzie nacisk kładziono na ciągłe doskonalenie procesów. Z tego nurtu wyrosła koncepcja poka-yoke – projektowanie systemów w taki sposób, aby uniemożliwiały błędne działania użytkownika. Przykłady znamy z codzienności, często sprzed epoki cyfrowej: sygnał przypominający o niezapiętych ­pasach bezpieczeństwa czy blokada w pralce uniemożliwiająca otwarcie drzwi, dopóki bęben się obraca.

Podobne mechanizmy coraz częściej stosuje się również w usługach cyfrowych – systemy próbują „myśleć” za użytkownika, podpowiadając właściwe działania lub automatycznie korygując błędy. W tym sensie neutralność technologiczna i zasada security by design idą w parze z projektowaniem rozwiązań, które uwzględniają nie tylko zagrożenia techniczne, ale także słabości samego człowieka.

Rzecz w tym, że automatyzacja niekiedy eliminuje podatności ludzkie, wprowadzając całkiem nowe. Wspomnę tylko słynne lodówki podłączone do internetu rzeczy, które zamiast zadbać o zaopatrzenie na czas wyłudzały pieniądze z kont bankowych swych właścicieli…

– Można powiedzieć, że jest to walka dobra ze złem. Niestety świat przestępczy zawsze podąża za rozwojem technologii i często doskonale wie, gdzie szukać słabości. Nierzadko te dwa światy – twórców i przestępców – przenikają się. Znamy przykłady osób, które pracując dla dużych koncernów nad rozwojem urządzeń czy usług, równocześnie współpracowały ze środowiskiem przestępczym, wykorzystując wiedzę o lukach bezpieczeństwa. Dlatego pełnej ochrony nigdy nie osiągniemy. Nie zwalnia to jednak nas z obowiązku dbania o jak najwyższy standard bezpieczeństwa w celu minimalizowania potencjalnych strat.

Tempo zmian, szczególnie w obszarze generatywnej AI czy technologii chmurowych, jest znacznie szybsze niż proces legislacyjny. Dla przykładu, gdy powstawała DORA, generatywna sztuczna inteligencja była na etapie zainteresowania fascynatów, a dziś realnie wpływa na funkcjonowanie wielu branż. Myślę zatem, że neutralność technologiczna nie jest utopią, ale raczej kierunkową ideą, do której warto dążyć, pamiętając jednocześnie o jej ograniczeniach.

Nowe wymogi w zakresie cyberbezpieczeństwa pozostają szczególnym wyzwaniem dla lokalnego sektora bankowego. To niewielkie, lokalne instytucje, które w zakresie bezpieczeństwa i ochrony użytkownika muszą dochować analogicznych standardów jak największe podmioty z branży finansowej. Czy w dobie narzędzi low-code i GenAI bankom spółdzielczym łatwiej jest budować bezpieczne aplikacje niż 5-10 lat temu, czy wręcz przeciwnie?

– Nowe wymogi w zakresie cyberbezpieczeństwa rzeczywiście stanowią szczególne wyzwanie dla banków spółdzielczych. To niewielkie instytucje, które muszą spełniać takie same standardy ochrony jak największe podmioty z sektora finansowego, mimo że ich możliwości kadrowe i finansowe są nieporównanie mniejsze. W ostatnich latach widać wyraźną poprawę jakości działań w tym obszarze. Banki spółdzielcze, zrzeszające oraz dostawcy systemów inwestują coraz więcej – może nie na poziomie największych instytucji komercyjnych, ale w sposób konsekwentny i świadomy. Trzeba jednak jasno podkreślić: nie da się zbudować systemu bezpieczeństwa, który byłby jednocześnie tani i skuteczny.

Czy narzędzia low-code i GenAI ułatwiają budowę bezpiecznych aplikacji? Odpowiedź nie jest jednoznaczna. Z jednej strony technologie te znacząco przyspieszają proces projektowania i wdrażania rozwiązań. Z drugiej – niosą ze sobą istotne ryzyka: w przypadku środowisk low-code wszystko zależy od jakości platformy, a generatywna AI ma skłonność do halucynacji, co wymusza stosowanie zasady ograniczonego zaufania. Źle użyte mogą stać się źródłem poważnych luk bezpieczeństwa. Powiedziałbym, że bezpieczeństwo w świecie cyfrowym to nieustanny wyścig zbrojeń – rozwiązania, które kilka lat temu wydawały się bezpieczne, dziś mogą być narażone na ataki. Dlatego nie powiedziałbym, że obecnie łatwiej jest budować bezpieczne aplikacje niż 5-10 lat temu. Kluczowe pozostaje świadome korzystanie z nowych narzędzi, rozumienie ich ograniczeń oraz inwestowanie w solidne procesy bezpieczeństwa.

Czy przy tak ogromnych nakładach inwestowanie w bezpieczeństwo zawsze jest opłacalne? Wiadomo, że w przypadku instytucji finansowych mamy określone wymogi regulacyjne…

– W przypadku instytucji finansowych istnieją oczywiście ścisłe wymogi regulacyjne, ale niezależnie od prawa każda firma musi się liczyć z koniecznością inwestowania w ochronę. Właściwe pytanie nie brzmi więc, czy to się opłaca, lecz jak wydatki na bezpieczeństwo przekładają się na redukcję ryzyka i uniknięcie kosztów, jakie mogłyby powstać w wyniku incydentu. Model idealny nie istnieje, dlatego trzeba szukać optymalnych rozwiązań, które pozwolą zabezpieczyć kluczowe obszary w ramach dostępnych środków.

Na koniec zwróciłbym uwagę na jeszcze jeden, równie istotny aspekt – inwestowanie w wiedzę i kształcenie specjalistów. Dziś kompetencje w obszarze cyberbezpieczeństwa są na wagę złota, a ich dramatyczny niedobór odczuwalny jest w całej Europie. Panaceum powinno stanowić systemowe kształcenie przyszłych ekspertów, rozpoczynane już na poziomie szkół średnich. Uważam, że będzie to inwestycja w przyszłość, która pozwoli budować kadry przygotowane do ochrony obywateli w cyfrowym świecie.