Rafał Jaczyński: Weryfikacja tożsamości kanonem bezpieczeństwa

Rafał Jaczyński: Zakładamy, że jeżeli ktoś jest na facebooku to jest dokładnie ta osoba, którą znamy, a tak być po prostu nie musi. W związku z czym dobrą praktyką jest nie ufać, a sprawdzać. Jakiś czas temu wysłałem staremu koledze z dawnych czasów – bezpiecznik z krwi i kości – zaproszenie na LinkedIn. Na początku trochę się zdziwiłem, że zamiast zaakceptować on zadał szereg pytań: Jak w życiu? Co się ostatnio działo? Później przyszła refleksja – człowiek zrobił dokładnie to, co powinien zrobić każdy – usiłował się upewnić czy ten, który się przedstawia jako Rafał Jaczyński jest tym, którego on znał parę lat temu. Taką zasadę ograniczonego zaufania polecałbym każdemu pracownikowi, użytkownikowi internetu. Pamiętajmy, że wszystkie rozwiązania technologiczne, których nam dostarcza internet nie gwarantują, że nawiązujemy relację zaufania z serwisem, stroną, człowiekiem z którym chcielibyśmy nawiązać.

Maciej Małek: Co to w sferze praktyki powinno oznaczać dla instytucji finansowych, szczególnie dla banków?

RJ: Odpowiem przewrotnie. Jesteśmy z Warszawy. Zadam pytanie – w jaki sposób w Warszawie można się dostać do Filharmonii?

MM: W zależności od punktu, z którego ruszamy. Niektórzy piechotą…

RJ: Ćwiczyć, ćwiczyć i jeszcze raz ćwiczyć. I tę samą radę dam każdej organizacji – w szczególności bankowi. Reakcje pracowników i współpracowników banku są tym bardziej niebezpieczne im mniej są przećwiczone. Jeżeli w kontrolowanych warunkach pokażemy współpracownikom co się dzieje kiedy bez sensu klikną w jakiś link, co się dzieje, jeśli otworzą jakiś załącznik, wpiszą hasło w wyskakujące okienko to zwiększamy szansę, że nie popełnią tego błędu podczas rzeczywistego ataku. Takie ćwiczenia nie służą temu, aby kogoś zwolnić, żeby poddać kogoś publicznemu osądowi. Chodzi o to, aby zbudować wiedzę i doświadczenie w sposób inny niż pokazywanie slajdów. Bardziej zbliżony do rzeczywistości.

MM: Kto powinien ponosić niezbędne koszty w obszarze informacji, edukacji ale i Stress-testów?

RJ: W tym temacie stoję na dość ortodoksyjnym stanowisku. Są dwie metody realizowania odpowiedzialności za bezpieczeństwo firmy. Jedna metoda jest taka, że nominalnie za to odpowiadam, ale wszystkie regulacje staram się skonstruować w ten sposób, aby tak naprawdę odpowiedzialność nie spoczywała na mnie. Niestety w większości przypadków skończy się to tak, że nie będę także dysponował środkami, budżetem. Zarządy niechętnie przyznają budżet osobom, które nie są w stanie ponieść odpowiedzialności. Dlatego na pana pytanie odpowiem wprost – powinien te środki budżetować i wydawać ten, który przyjmie na siebie odpowiedzialność za zarządzanie bezpieczeństwem, czyli szef bezpieczeństwa informacji, informatyki, w zależności od tego, jak to jest w firmie zorganizowane. Ja jestem zdania, że budżet na bezpieczeństwo powinien być w dużym stopniu scentralizowany po to, aby można go było policzyć i decydować czy wydajemy zbyt mało, czy zbyt dużo.

MM: Czy ład regulacyjny na poziomie krajowym i europejskim odpowiada dojrzałości organizacji, technicznemu wsparciu oraz coraz bardziej wyrafinowanym fraudom?

RJ: Rekomendacja D, z którą mieliśmy ostatnio sporo do czynienia na polskim rynku jest dobrym dokumentem. To jest bardzo dobra regulacja. Powiem przewrotnie – nie w regulacji tkwi problem. Problem tkwi w tym, w jaki sposób zostanie zastosowana i czy zostanie zastosowana. Czy podejdziemy do tego w ten sposób aby, mówiąc kolokwialnie, obronić się przed nadzorem, czy też wykorzystamy tę rekomendację jako wskazówkę, co należy rzeczywiście poprawić. Zawsze byłem zdania, że szef bezpieczeństwa powinien korzystać z każdej nadarzającej się pomocy, aby przekonać organizację do tego, że warto. Bezpieczeństwo jest jednak trudno przeliczalne na pieniądze. Dlatego uważam, że lekceważenie wsparcia regulacyjnego jest z punktu widzenia osoby odpowiedzialnej za bezpieczeństwo niewybaczalnym błędem. Jeżeli potraktujemy to w ten sposób, że rzeczywiście staramy się zrobić to, co taki czy inny regulator nam sugeruje – jeżeli ma to sens – to wtedy się okazuje, że ład regulacyjny jest w dużym stopniu wystarczający. Tam jest tak naprawdę mowa o tym, co powinniśmy robić. Pytanie tylko: Czy robimy? I to jest moje pierwsze pytanie z listy kończącej prezentację. Trzeba sobie odpowiedzieć na pytanie: Czy wydajemy na bezpieczeństwo więcej niż na kawę…?

aleBank.pl

Zobacz rozmowę w wersji wideo: „Rafał Jaczyński: Weryfikacja tożsamości kanonem bezpieczeństwa”