Polskie banki sprawdziły swoją gotowość na cyberzagrożenia
Cyberzagrożenia stanowią jedno z największych ryzyk dla sektora bankowego. Dlatego od lat branża finansowa stara się przygotować na różne ewentualności i budować procedury pozwalające zapobiegać i ograniczać skutki ewentualnych wirtualnych naruszeń.
W naszym kraju realizuje się to m.in. poprzez ćwiczenia Cyber-EXE Polska, które od 2012 roku pomagają firmom oraz instytucjom z kluczowych sektorów gospodarki zwiększać poziom swojej cyfrowej odporności.
17 stycznia 2025 roku rozpoczęło się stosowanie przepisów Rozporządzenia UE DORA, czyli przepisów w sprawie operacyjnej odporności cyfrowej sektora finansowego. Dodatkowe regulacje wprowadza również dyrektywa NIS2, która nie została jeszcze zaimplementowana do krajowych przepisów. Jej implementacja planowana jest poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.
Oba akty prawne stanowią duże wyzwanie dla sektora finansowego, ponieważ wymuszają dostosowanie swoich procedur i procesów w obszarze cyberbezpieczeństwa. Ćwiczenia Cyber-EXE Polska 2024 miały umożliwić podmiotom bankowym przetestowanie gotowości do spełnienia wymagań nowych regulacji. W ćwiczeniach wzięło udział w sumie 18 instytucji, w tym przedstawiciele największych polskich banków.
Czytaj także: Standard DORA dla sektora bankowego przygotowany przez ZBP i EY
Cyber-EXE Polska 2024 – jak przygotowuje się branża?
W ramach CEP24 rozegrano dwa scenariusze symulujące ataki na sektor finansowy, wzorowane na rzeczywistych działaniach grup hakerskich APT (Advanced Persistent Threat).
Wśród nich znalazł się m.in. scenariusz działań organizacji przestępczych znanych z atakowania platform kryptowalut. Celem było stworzenie sytuacji, w której użytkownicy muszą zarządzać narastającym incydentem w warunkach przełamania mechanizmów obronnych oraz reagować na zagrożenia zakwalifikowane jako poważne zgodnie z definicją rozporządzenia DORA.
To z kolei oznaczało jednoczesną konieczność koordynacji działań naprawczych, współpracy z organami administracji publicznej i minimalizacji skutków incydentu.
– Ćwiczenia składały się z dwóch faz. W pierwszej poprzez dedykowaną platformę uczestnicy musieli zaprojektować i wdrożyć wirtualne systemy zabezpieczeń z kategorii takich jak infrastruktura fizyczna, zabezpieczenia urządzeń końcowych czy bezpieczeństwo sieci wewnętrznej.
W drugiej zaczęły być odwzorowywane działania atakujących, a zadaniem zespołów było monitorowanie tych systemów pod kątem podejrzanych aktywności, co pozwoliłoby zidentyfikować ich rodzaj i skalę.
W fazie reagowania ćwiczono też współpracę z zespołami technicznymi, komunikację z CSIRT-ami krajowymi i sektorowym, innymi zewnętrznymi organami oraz analizę wpływu włamania na organizację – mówi Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń – organizatora ćwiczeń.
Czytaj także: Jak skutecznie bronić się przed potencjalnymi cyberatakami?
Cyber-EXE Polska 2024 – najważniejsze wnioski płynące z ćwiczeń
Najważniejszym elementem ćwiczeń było zebranie wniosków i wystosowanie rekomendacji, które oceniają stan przygotowania sektora finansowego nie tylko do nowych regulacji, ale też – do sytuacji, w której muszą poradzić sobie z incydentem bezpieczeństwa.
Do najważniejszych wniosków płynących z ćwiczeń Cyber-EXE Polska 2024 należy zaliczyć:
kluczowe znaczenie współpracy: podczas warsztatów testowano dwa tryby reagowania. W jednym z nich banki musiały działać samodzielnie, a w drugim – mogły współpracować i wymieniać się informacjami.
Jak pokazały ćwiczenia, możliwość wymiany informacji pozwoliło sprawniej weryfikować zgromadzone dane, co zmniejszyło liczbę fałszywie pozytywnych zgłoszeń. W przypadku współpracy czas zgłoszenia wstępnego spadł z 38 do 30 minut, śródokresowego – ze 107 do 70 minut, a odsetek formularzy z pełnymi informacjami o IOC (Indicator of Compromise) wzrósł z 51 do 71 procent;
banki są przygotowane na nadchodzące zmiany: ćwiczenia wskazały, że instytucje dysponują odpowiednimi narzędziami umożliwiającymi klasyfikację incydentu jako poważny wg RTS (Regulacyjnych Standardów Technicznych) oraz że dysponowały wystarczającymi kompetencjami do analizy artefaktów związanych z ćwiczonym incydentem i do zebrania wszystkich niezbędnych informacji technicznych do zgłoszenia incydentu poważnego;
rekomendacja dotycząca złożoności ćwiczeń: scenariusze przedstawiały rzeczywiste metody ataków, z którymi banki poradziły sobie bardzo dobrze.
Dlatego powstała rekomendacja, aby w kolejnych latach zastosować scenariusze o jeszcze większej złożoności, żeby przygotować branże na jeszcze szersze spektrum potencjalnych zagrożeń.
– Najważniejszym wnioskiem płynącym z ćwiczeń, oprócz faktu dobrego przygotowania banków i ich gotowości na rzeczywiste zagrożenia, jest pokazanie kluczowej roli kooperacji w przypadku tak trudnych sytuacji.
Pamiętajmy, że podczas poważnego ataku na szali są przede wszystkim środki zgromadzone na kontach klientów i ich zaufanie do sektora bankowego. Dlatego świadomość, że branża potrafi współpracować i że przynosi to realne efekty, jest bardzo budująca – mówi Jakub Teska, Partner EY i lider Zespołu Bezpieczeństwa Chmury.
Główne wnioski z badania:
- Sektor bankowy pozostaje daleki od obojętności w zakresie rozwoju nowych cyfrowych narzędzi. 45% badanych instytucji finansowych już inwestuje w rozwiązania oparte o GenAI, a 52% planuje ten krok.
- Głównymi motywatorami są poprawa produktywności (78%) i jakości obsługi klienta (60%), natomiast największy wpływ oczekiwany jest w obszarze sprzedaży w związku z automatyzacją procesów ofertowania (66%). Jedynie 13% badanych wskazuje na możliwy spadek interakcji międzyludzkich (13%).
- Banki najchętniej wprowadzają narzędzia wspierające działania marketingowe (69%), poprawiające działanie chatbotów (68%) lub wspierające wykrywanie prania brudnych pieniędzy (57%).
- Efekty podejmowanych działań będą jednak rozciągnięte w czasie – 64% firm przewiduje że ich narzędzia wykorzystujące GenAI pojawią się w 2024 roku, a 9% nawet 12 miesięcy później.
Czytaj także: SafeBank 2024 o wyzwaniach bezpieczeństwa gospodarki cyfrowej
***
O ćwiczeniach Cyber-EXE Polska
Cyber-EXE Polska 2024 to 8. edycja ćwiczeń organizowanych przez Fundację Bezpieczna Cyberprzestrzeń i 4. skupiająca się na sektorze bankowym.
Ćwiczenia realizowane były w warstwie technicznej, informacyjnej oraz procesowej.
Punktacja i ocena wyników w ćwiczeniach CEP24 zostały opracowane zgodnie z wytycznymi zapisami DORA, RTS oraz wytycznymi KNF.