Raport Specjalny. Bezpieczeństwo Banków: Czy w dobie transformacji cyfrowej można zapomnieć o bezpieczeństwie?
Nie tylko lepiej od banków radzą sobie w świecie cyfrowym, ale posiadają też dużą bazę klientów. W ciągu ostatnich pięciu lat aktywność konsumentów wykorzystujących kanały cyfrowe w bankowości wzrosła o kilkaset procent. Dlatego coraz więcej z nich dochodzi do wniosku, że tradycyjną bankowość można zastąpić fintechami, które z powodzeniem wykorzystują potencjał nowych technologii, umożliwiając klientom korzystanie z usług finansowych o dowolnej porze, z dowolnego miejsca i to bez zbędnych formalności czy wizyt w oddziale.
Nowe trendy w bankowości
Banki, pragnąc pozostać instytucjami zaufania publicznego i fundamentem systemu gospodarczego, muszą mieć na uwadze te dynamicznie zachodzące zmiany. Powinny szybko i elastycznie reagować na bieżące trendy – zarówno w obszarze bankowości, jak i nowych technologii. Nowe technologie to ogromne możliwości dla instytucji finansowych – szansa na rozwój, zwiększenie konkurencyjności oraz zysków. Ale transformacja cyfrowa to jednocześnie zagrożenia związane z zapewnieniem bezpieczeństwa danych, utratą klientów czy dotychczasowych źródeł dochodów. Według raportu Capgemini[1] to, co stanowi dzisiaj zagrożenie dla banków, może okazać się ich szansą na rozwój i finalne zwiększenie zysków.
Analitycy prognozują, że w bieżącym roku najważniejsze zjawiska dotyczące bankowości to:
- konkurencja ze strony dużych firm technologicznych, np. Google, Amazon, Facebook, Alibaba;
- wzrost popularności open bankingu i wdrożenie dyrektywy regulującej rynek płatności – Payment Services Directive 2 (PSD2);
- wdrażanie przez banki rozwiązań opartych na chmurze;
- przyspieszenie cyfrowej transformacji;
- wpływ Distributed Ledger Technology (DLT, blockchain) na bankowość;
- zastosowanie asystentów głosowych;
- wykorzystanie sztucznej inteligencji dla optymalizacji usług oferowanych klientom;
- „niewidzialna bankowość” – płynne włączanie usług finansowych w codzienne życie klientów;
- nowe technologie i modele biznesowe zapewniające bezpieczeństwo danych i zgodność prawną;
- zmiana dynamiki przychodów – popyt na nowe usługi i modele biznesowe.
Cyberbezpieczeństwo
Nowoczesność i sprawność działania muszą łączyć się z efektywnością i bezpieczeństwem. Zarówno banki, jak i nowe firmy czy instytucje na rynku usług finansowych muszą zmierzyć się z tym samym niebezpieczeństwem – cyberzagrożeniami, których liczba i skala stale rośnie. Dlatego banki muszą inwestować w technologie proaktywnie zabezpieczające przed zagrożeniami zarówno ze strony hakerów, pracowników, jak i klientów. Odpowiednia strategia zarządzania ochroną danych i cyberryzykiem jest jednym z najistotniejszych elementów, które będą decydować o przewadze konkurencyjnej banków w niełatwym, ale też pełnym nowych możliwości świecie cyfrowym.
W cyfrowej rzeczywistości banki powinny skoncentrować uwagę na czterech najważniejszych obszarach zapewniających ich bezpieczeństwo. Są to:
1.Sprawna i bezpieczna komunikacja
Współpraca technologiczna i biznesowa w bankach wymaga sprawnego i bezpiecznego przekazywania dokumentów – zarówno ad hoc, jak i w ramach stałej współpracy. Aby to osiągnąć, konieczne jest zapewnienie możliwości nawiązywania bezpiecznej komunikacji bezpośrednio użytkownikom biznesowym (zarządy, biura projektów, działy zakupów, marketingu) oraz zintegrowanie tych procesów z systemami operacyjnymi firmy.
Jednym z najbardziej zaawansowanych rozwiązań, które wspiera to zadanie, jest korporacyjna platforma szyfrująca firmy InfoBay. Pozwala ona na zabezpieczenie procesu przesyłania wrażliwych informacji w różnych kanałach komunikacji oraz do ochrony organizacji przed cyberzagrożeniami. Rozwiązanie to płynnie integruje się z wykorzystywanymi w bankach systemami bezpieczeństwa, np.: zapobiegającymi utracie danych (DLP), zabezpieczającymi przed złośliwym oprogramowaniem (anti-malware) czy usługą podpisu cyfrowego.
2.Eliminacja zagrożeń technologicznych
Wzmożona wymiana danych między podmiotami może być nośnikiem wprowadzającym do organizacji tzw. bomby logiczne, które mogą zatrzymać pracę nie tylko pojedynczych firm, ale całej sieci „kooperantów”. Stosowane systemy antywirusowe, antymalware czy rozwiązania „sandbox” już nie wystarczają. Hakerzy coraz częściej atakują zaufane kanały organizacji – ponad 90% złośliwego oprogramowania malware pochodzi z wiadomości e-mail, przeglądania stron www, przenośnych nośników i przesyłania plików B2B. Aby zapobiec skutkom rosnącej liczbie cyberataków, konieczne jest zastosowanie tzw. sanityzacji danych w sposób, który nie spowoduje opóźnień w biznesie oraz nie będzie blokował współpracy.
Rozwiązaniami, które skutecznie przeciwdziałają szkodliwemu oprogramowaniu są produkty firmy Sasa Software. Wielokrotnie nagradzane w niezależnych testach, zapewniają ochronę m.in. organizacji rządowych i instytucji finansowych. Jednym z najbardziej innowacyjnych produktów bezpieczeństwa cybernetycznego jest Gate Scanner, który, wykorzystując technologię Content Disarm and Reconstruction (CDR), zapobiega wyrafinowanym, nieznanym i często niewykrywalnym zagrożeniom, w tym APT i ransomware, przy zachowaniu pełnej widoczności, użyteczności i funkcjonalności plików. Ponadto oferowana dioda logiczna umożliwia separacje sieci o różnym poziomie bezpieczeństwa. Gate Scanner zatrzymuje wszystkie zagrożenia w bezpiecznej strefie, ograniczając ryzyko związane również z zaniedbaniami pracowników. Z punktu widzenia bezpieczeństwa całej organizacji takie proaktywne podejście jest bardzo skuteczne, ponieważ wszystkie „zanieczyszczenia” są wcześnie eliminowane.[1] Capgemini, „Retail Banking Trends 2019”, 10.2018. Badanie Capgemini wśród 10 000 klientów w około 20 krajach na temat sposobu korzystania z usług bankowych.
3. Zarządzanie bezpieczeństwem dostępu
Pomimo rozwoju i wdrażania nowych technologii, najsłabszym ogniwem w każdej organizacji nadal pozostaje człowiek, który jest uczestnikiem coraz bardziej złożonych procesów. Raporty potwierdzają, że większość odnotowanych w wyniku działań hakerów naruszeń bezpieczeństwa była powiązana ze skradzionymi hasłami. Nowe technologie wpływają na wzrost efektywności organizacyjnej, ale także wystawiają banki na nowe zagrożenia związane z nieodpowiednim zarządzaniem uprawnieniami i dostępem użytkowników.
Rozwiązaniem, które automatyzuje i usprawnia proces zarządzania tożsamością, pozwalając użytkownikom biznesowym (a nie tylko pracownikom IT) zarządzać uprawnieniami, jest One Identity Manager. Wykorzystując nowoczesne metody i narzędzia, pozwala na nadawanie uprawnień dostępu, które wynikają z roli danej osoby, korzystającej z systemów teleinformatycznych, a dzięki połączeniu z Data Governance Edition także kontrolę dostępu do danych nieustrukturyzowanych. Rozwiązanie umożliwia włączenie biznesu w proces nadawania i odbierania uprawnień oraz sprawne wykrywanie potencjalnych zagrożeń, błędów konfiguracji oraz naruszeń polityki bezpieczeństwa.
4.Zarządzanie zgodnością
W erze transformacji cyfrowej dużym wyzwaniem dla banków jest dostosowanie do wymogów regulacyjnych. Niezależnie od operacji biznesowych konieczne jest sprawne nadzorowanie zgodności stosowanych w bankach zasad bezpieczeństwa z ich polityką wewnętrzną i rekomendacjami nadzoru bankowego. Stąd proaktywne i niezależne od IT monitorowanie zmian w systemach i procesach przez działy zajmujące się zarządzaniem zgodnością i bezpieczeństwem. Aby nadzór nie ograniczał biznesu, a reagowanie na naruszenia było adekwatne do zagrożenia, konieczne jest automatyczne zbieranie informacji o zdarzeniach pochodzących z różnych źródeł, ich korelacja oraz właściwe klasyfikowanie incydentów przy użyciu sztucznej inteligencji.
Rozwiązaniem, które automatyzuje nadzór nad systemami i oferuje unikalne podejście do wykrywania zagrożeń pochodzących ze strony użytkowników jest Quest Change Auditor firmy Quest z modułem Threat Detection. Narzędzie pozwala na wykrywanie rzeczywistych zagrożeń (m.in. poprzez modelowanie indywidualnych wzorców zachowań użytkowników), powiadamianie, a także unikanie fałszywych alarmów. Jest to niezależna platforma audytu środowisk IT umożliwiająca ochronę kluczowych obiektów w czasie rzeczywistym. W kwestii kontroli uprawnień niezawodnym narzędziem jest Enterprise Reporter. Pozwala gromadzić, przechowywać i raportować dane, które są potrzebne do oceny bezpieczeństwa, analizy usług Active Directory lub przeprowadzania audytu z uwzględnieniem historycznych zmian w konfiguracji. Efektywne zarządzanie uprawnieniami w środowisku Microsoft jest jednym z największych wyzwań dla organizacji i ma kluczowe znaczenie dla zapewnienia bezpieczeństwa oraz zgodności z wewnętrznymi politykami i zewnętrznymi regulacjami. Dlatego w tym zakresie pomocne może być rozwiązanie Security Explorer, które automatyzuje zarządzanie uprawnieniami, dostępem i bezpieczeństwem na platformach Microsoft. Dodatkowo możliwość tworzenia kopii zapasowych i szybkiego przywrócenia uprawnień wpływa na zapewnienie ciągłości biznesowej organizacji w przypadku awarii i utraty danych.
Połączyć technologię z biznesem
Zachowanie bezpieczeństwa i utrzymanie statusu organizacji zaufania publicznego wymaga od banków wzmożonej czujności i specjalistycznych systemów oraz wdrażania procedur dostosowanych do zmieniających się realiów. Koncentrując swoje działania na strategicznym wykorzystaniu danych oraz nowych źródłach przychodów, banki nie powinny tracić z pola uwagi swoich zadań biznesowych. Poprawa obsługi klienta, sprawność biznesowa i bezpieczeństwo powinny być połączone ze sobą. Banki muszą dostosowywać systemy bezpieczeństwa do dynamicznie zmieniającej się rzeczywistości, nowych technologii i cyberzagrożeń. Bo transformacja cyfrowa to nieustający proces – to raczej podróż a nie cel sam w sobie. Bez wsparcia ze strony nowych technologii i zastosowania odpowiednich rozwiązań informatycznych sprostanie wyzwaniom ery cyfrowej nie jest możliwe.
Dlatego banki i instytucje finansowe powinny skorzystać z pomocy doświadczonych ekspertów – takich, jak firma Quest-Dystrybucja, która oferuje pełne wsparcie, doradztwo i innowacyjne rozwiązania informatyczne Quest, One Identity, Sasa Software czy InfoBay. Produkty te automatyzują zadania i wspierają prace działów zajmujących się zarządzaniem zgodnością i bezpieczeństwem oraz zarządzają operacjami IT. Tylko połączenie innowacji technologicznych i biznesowych z odpowiedzialnością społeczną pozwoli sprostać wyzwaniom cyfrowej rzeczywistości i będzie decydować o przewadze konkurencyjnej banków w przyszłości.