Polskie banki sprawdziły swoją gotowość na cyberzagrożenia

Polskie banki sprawdziły swoją gotowość na cyberzagrożenia
Fot. stock.adobe.com / Focus
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Skrócenie czasu raportowania wstępnego, poprawna reakcja na występujące w rzeczywistości zagrożenia i efektywna współpraca wewnątrz branży – to tylko niektóre wnioski, które płyną z przeprowadzonych ćwiczeń Cyber-EXE Polska 2024 organizowanych przez Fundację Bezpieczna Cyberprzestrzeń przy wsparciu m.in. EY Polska. Polskie banki badały m.in. swoją gotowość na nowe rozporządzenie Parlamentu Europejskiego i Rady UE w zakresie odporności cyfrowej, poinformowała firma EY.

Cyberzagrożenia stanowią jedno z największych ryzyk dla sektora bankowego. Dlatego od lat branża finansowa stara się przygotować na różne ewentualności i budować procedury pozwalające zapobiegać i ograniczać skutki ewentualnych wirtualnych naruszeń.

W naszym kraju realizuje się to m.in. poprzez ćwiczenia Cyber-EXE Polska, które od 2012 roku pomagają firmom oraz instytucjom z kluczowych sektorów gospodarki zwiększać poziom swojej cyfrowej odporności.

17 stycznia 2025 roku rozpoczęło  się stosowanie przepisów Rozporządzenia UE DORA, czyli przepisów w sprawie operacyjnej odporności cyfrowej sektora finansowego. Dodatkowe regulacje wprowadza również dyrektywa NIS2, która nie została jeszcze zaimplementowana do krajowych przepisów. Jej implementacja planowana jest poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.

Oba akty prawne stanowią duże wyzwanie dla sektora finansowego, ponieważ wymuszają dostosowanie swoich procedur i procesów w obszarze cyberbezpieczeństwa. Ćwiczenia Cyber-EXE Polska 2024 miały umożliwić podmiotom bankowym przetestowanie gotowości do spełnienia wymagań nowych regulacji. W ćwiczeniach wzięło udział w sumie 18 instytucji, w tym przedstawiciele największych polskich banków.

Czytaj także: Standard DORA dla sektora bankowego przygotowany przez ZBP i EY

Cyber-EXE Polska 2024 – jak przygotowuje się branża?

W ramach CEP24 rozegrano dwa scenariusze symulujące ataki na sektor finansowy, wzorowane na rzeczywistych działaniach grup hakerskich APT (Advanced Persistent Threat).

Wśród nich znalazł się m.in. scenariusz działań organizacji przestępczych znanych z atakowania platform kryptowalut. Celem było stworzenie sytuacji, w której użytkownicy muszą zarządzać narastającym incydentem w warunkach przełamania mechanizmów obronnych oraz reagować na zagrożenia zakwalifikowane jako poważne zgodnie z definicją rozporządzenia DORA.

To z kolei oznaczało jednoczesną konieczność koordynacji działań naprawczych, współpracy z organami administracji publicznej i minimalizacji skutków incydentu.

– Ćwiczenia składały się z dwóch faz. W pierwszej poprzez dedykowaną platformę uczestnicy musieli zaprojektować i wdrożyć wirtualne systemy zabezpieczeń z kategorii takich jak infrastruktura fizyczna, zabezpieczenia urządzeń końcowych czy bezpieczeństwo sieci wewnętrznej.

W drugiej zaczęły być odwzorowywane działania atakujących, a zadaniem zespołów było monitorowanie tych systemów pod kątem podejrzanych aktywności, co pozwoliłoby zidentyfikować ich rodzaj i skalę.

W fazie reagowania ćwiczono też współpracę z zespołami technicznymi, komunikację z CSIRT-ami krajowymi i sektorowym, innymi zewnętrznymi organami oraz analizę wpływu włamania na organizację – mówi Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń – organizatora ćwiczeń.

Czytaj także: Jak skutecznie bronić się przed potencjalnymi cyberatakami?

Cyber-EXE Polska 2024 – najważniejsze wnioski płynące z ćwiczeń

Najważniejszym elementem ćwiczeń było zebranie wniosków i wystosowanie rekomendacji, które oceniają stan przygotowania sektora finansowego nie tylko do nowych regulacji, ale też – do sytuacji, w której muszą poradzić sobie z incydentem bezpieczeństwa.

Do najważniejszych wniosków płynących z ćwiczeń Cyber-EXE Polska 2024 należy zaliczyć:

kluczowe znaczenie współpracy: podczas warsztatów testowano dwa tryby reagowania. W jednym z nich banki musiały działać samodzielnie, a w drugim – mogły współpracować i wymieniać się informacjami.

Jak pokazały ćwiczenia, możliwość wymiany informacji pozwoliło sprawniej weryfikować zgromadzone dane, co zmniejszyło liczbę fałszywie pozytywnych zgłoszeń.  W przypadku współpracy czas zgłoszenia wstępnego spadł z 38 do 30 minut, śródokresowego – ze 107 do 70 minut, a odsetek formularzy z pełnymi informacjami o IOC (Indicator of Compromise) wzrósł z 51 do 71 procent;

banki są przygotowane na nadchodzące zmiany: ćwiczenia wskazały, że instytucje dysponują odpowiednimi narzędziami umożliwiającymi klasyfikację incydentu jako poważny wg RTS (Regulacyjnych Standardów Technicznych) oraz że dysponowały wystarczającymi kompetencjami do analizy artefaktów związanych z ćwiczonym incydentem i do zebrania wszystkich niezbędnych informacji technicznych do zgłoszenia incydentu poważnego;

rekomendacja dotycząca złożoności ćwiczeń: scenariusze przedstawiały rzeczywiste metody ataków, z którymi banki poradziły sobie bardzo dobrze.

Dlatego powstała rekomendacja, aby w kolejnych latach zastosować scenariusze o jeszcze większej złożoności, żeby przygotować branże na jeszcze szersze spektrum potencjalnych zagrożeń.

– Najważniejszym wnioskiem płynącym z ćwiczeń, oprócz faktu dobrego przygotowania banków i ich gotowości na rzeczywiste zagrożenia, jest pokazanie kluczowej roli kooperacji w przypadku tak trudnych sytuacji.

Pamiętajmy, że podczas poważnego ataku na szali są przede wszystkim środki zgromadzone na kontach klientów i ich zaufanie do sektora bankowego. Dlatego świadomość, że branża potrafi współpracować i że przynosi to realne efekty, jest bardzo budująca mówi Jakub Teska, Partner EY i lider Zespołu Bezpieczeństwa Chmury.

Główne wnioski z badania:

  • Sektor bankowy pozostaje daleki od obojętności w zakresie rozwoju nowych cyfrowych narzędzi. 45% badanych instytucji finansowych już inwestuje w rozwiązania oparte o GenAI, a 52% planuje ten krok.
  • Głównymi motywatorami są poprawa produktywności (78%) i jakości obsługi klienta (60%), natomiast największy wpływ oczekiwany jest w obszarze sprzedaży w związku z automatyzacją procesów ofertowania (66%). Jedynie 13% badanych wskazuje na możliwy spadek interakcji międzyludzkich (13%).
  • Banki najchętniej wprowadzają narzędzia wspierające działania marketingowe (69%), poprawiające działanie chatbotów (68%) lub wspierające wykrywanie prania brudnych pieniędzy (57%).
  • Efekty podejmowanych działań będą jednak rozciągnięte w czasie – 64% firm przewiduje że ich narzędzia wykorzystujące GenAI pojawią się w 2024 roku, a 9% nawet 12 miesięcy później.

Czytaj także: SafeBank 2024 o wyzwaniach bezpieczeństwa gospodarki cyfrowej

***

O ćwiczeniach Cyber-EXE Polska

Cyber-EXE Polska 2024 to 8. edycja ćwiczeń organizowanych przez Fundację Bezpieczna Cyberprzestrzeń i 4. skupiająca się na sektorze bankowym.

Ćwiczenia realizowane były w warstwie technicznej, informacyjnej oraz procesowej.

Punktacja i ocena wyników w ćwiczeniach CEP24 zostały opracowane zgodnie z wytycznymi zapisami DORA, RTS oraz wytycznymi KNF.

Źródło: EY Polska