Nowoczesny Bank Spółdzielczy | Technologie – WERDIT | Jak działać w świecie pełnym ryzyka?
Paweł Gula
Prezes zarządu VerdIT
W świecie IT dość często spotykamy się ze słowem „krytyczny”, służącym do priorytetyzacji działań i nadawania im określonego porządku. Zapewnienie odpowiedniego poziomu bezpieczeństwa, niezawodności i wydajności odnosi się do wielu dziedzin związanych z sektorem nowych technologii. Mówimy o krytyczności: systemów, aplikacji, dostawców, awarii, zgłoszeń oraz wielu innych elementów infrastruktury, procesów czy usług, które realizują nasze organizacje.
Ich zbadanie pozwala nam na tworzenie modeli analizy ryzyka, dzięki którym można minimalizować prawdopodobieństwo wystąpienia zagrożeń. Są one istotne, gdyż stoją na straży ciągłości działania usług, a także blokują drogę do realizacji najczarniejszego scenariusza każdej organizacji, czyli zagrożeń w ciągłości działania.
Czy są instytucje pozbawione elementów krytycznych? Jestem przekonany, że niewiele podmiotów mogłoby tak o sobie powiedzieć. Praktycznie każda usługa i wspierający ją system, dostarczający wartość klientowi, można, a często nawet trzeba, uznać za krytyczny. Na rynku finansowym dotyczy to wielu różnych systemów, np. księgowych, rozliczeniowych, kartowych czy bankowości elektronicznej. One wszystkie stają się systemami krytycznymi. Do tego należy pamiętać o wspierających je systemach istotnych, podstawowych itp.
Z ryzykiem na co dzień
Patrząc z tej perspektywy na organizacje, takie jak banki, okazuje się, że stałym elementem ich rzeczywistości staje się ciągłe badanie ryzyka i planowanie jego minimalizacji. O tych procesach nieustannie przypominają nam regulacje, takie jak: Ustawa o Krajowym Systemie Cyberbezpieczeństwa, rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) czy dyrektywa NIS2, a w latach wcześniejszych te kwestie były adresowane przez rekomendacje UKNF (w szczególności Rekomendację D).
Raporty i badania dotyczące cyberbezpieczeństwa, które pojawiają się regularnie, również skłaniają do większej czujności. Spójrzmy chociażby na badanie „Global Data Protection Index 2023”, przeprowadzone przez DELL Technologies. Wynika z niego, że w ub.r. ponad połowa firm (54%) padła ofiarą cyberataku lub incydentu, który uniemożliwił dostęp do danych. Według respondentów konsekwencje incydentów utraty danych w 2023 r. kosztowały średnio 2,61 mln USD, odpowiadały za 26 godzin nieplanowanego przestoju oraz spowodowały stratę 2,45 TB danych. Dwukrotnie wzrosły też koszty związane z cyberatakami i utratą zasobów – z 0,66 mln USD w 2022 r. do 1,41 mln USD w 2023 r.
Profilaktyka (cyber)zagrożeń
Kluczowe pytanie brzmi zatem, jak właściwie dbać o (nie tylko) krytyczne procesy i systemy, aby minimalizować ryzyko zagrożeń? Moim zdaniem, warto zwrócić uwagę na cztery kluczowe punkty związane z tematem cyberbezpieczeństwa:
1. Spełnić wymagania regulacyjne – wdrożyć procesy zarządzania ryzykiem i plany reagowania w przypadku cyberzagrożeń. Ilość regulacji, która dotyka sektor finansowy jest obecnie olbrzymia. Trudno jest je wszystkie wymienić jednym tchem, a jeszcze trudniej w pełni wdrożyć. Musimy położyć nacisk na standaryzację rozwiązań, jeszcze większą współpracę w sektorze finansowym, a co najważniejsze – konsekwentnie realizować zadania, jakie stawia przed nami otoczenie ustawodawcze.
Najlepsze, co możemy zrobić dla naszej firmy, to działać jednocześnie we wszystkich możliwych obszarach –samodzielnie oraz przy pomocy zaufanych partnerów.
2. Włączyć krytyczne myślenie – podobnie jak na drodze, tak w przypadku różnego rodzaju informacji należy korzystać z zasady ograniczonego zaufania. Szczególna czujność dotyczy wszelkich komunikatów nakłaniających do podjęcia natychmiastowych, nieplanowanych działań. Dotyczy to nie tylko firm i organizacji, ale wszystkich osób, które mają styczność z tego typu informacjami.
3. Poszerzać wiedzę z obszaru cyberzagrożeń – edukacja to jeden z kluczowych punktów, który ma ogromną moc w przeciwdziałaniu zagrożeniom bezpieczeństwa instytucji oraz osób prywatnych. To tak naprawdę ciągły proces pogłębiania i aktualizowania wiedzy na temat obszaru, który stosuje coraz bardziej wyrafinowane techniki manipulacji. Należy stale budować świadomość niebezpieczeństw, które mogą dotknąć każdego, np. czerpiąc informacje prasowe o różnego typu atakach czy incydentach.
4. Postawić na odpowiednie wsparcie technologiczne – minimalizowaniu ryzyka zagrożeń zawsze powinno towarzyszyć odpowiednie podejście do zarządzania całą infrastrukturą organizacji, którą możemy ująć w czterech krokach. Po pierwsze – audyt z identyfikacją kluczowych elementów infrastruktury; po drugie – raport stanu zabezpieczeń, dający pełny ogląd sytuacji. Takie rozeznanie pozwala na wdrożenie konkretnych rozwiązań (krok trzeci) i indywidualnej strategii profilaktycznej (krok czwarty). Te działania powinny nam pomóc w podjęciu ważnej decyzji i odpowiedzi na pytania – czy to wszystko chcemy robić samodzielnie, czy może warto poszukać partnera, dzięki któremu zidentyfikowane wyzwania będziemy mogli rozwiązać? To często trudne decyzje, ponieważ powodują znaczne zmiany w organizacjach. Należy właściwie zdefiniować role i odpowiedzialności, określić oczekiwany poziom usług, ale też jasno wskazać, jak będziemy się rozliczać ze wspólnych działań.
Każdemu z wymienionych punktów warto przyjrzeć się uważnie. Najlepsze, co możemy zrobić dla naszej firmy, to działać jednocześnie we wszystkich możliwych obszarach – samodzielnie oraz przy pomocy zaufanych partnerów. To są zadania, które wymagają współpracy dla osiągnięcia właściwego efektu.
