Raport Specjalny | Bezpieczeństwo Banków – Debata Redakcyjna | Brak zaufania czy ograniczone zaufanie? Wdrażanie zero trust w bankach

W kontekście obecnych doświadczeń, związanych z jednej strony z upowszechnianiem się zdalnych kanałów dystrybucji usług bankowych, z drugiej zaś z tak potężnymi wyzwaniami, jak pandemia COVID-19 czy rosyjska agresja na Ukrainę, cyberbezpieczeństwo staje się kwestią absolutnie priorytetową. Działania przestępcze niosą wszak ze sobą istotne ryzyka natury finansowej, jak i wizerunkowej, mogąc przyczyniać się do obniżenia zaufania wobec bankowości. Stąd też instytucje finansowe podejmują bezprecedensowe wysiłki i gotowe są ponosić olbrzymie nakłady na rzecz optymalizacji stosowanych systemów bezpieczeństwa i dostosowania dotychczasowych praktyk do wymagań zmieniającej się rzeczywistości. Coraz większą popularność zdobywa podejście zero trust, które zmienia dotychczas dominujący paradygmat w polityce bezpieczeństwa.

Jak efektywnie wdrażać nowy model w organizacji? Co zrobić, by zmniejszyć powierzchnię ewentualnego ataku, a gdy do niego dojdzie, zminimalizować poniesione straty? Wreszcie, czym jest mikrosegmentacja i dlaczego warto ją stosować w instytucjach finansowych? Wątki te były omawiane podczas debaty eksperckiej „Miesięcznika Finansowego BANK” zatytułowanej „Efektywna strategia zero trust na przykładach dużych instytucji finansowych”. Partnerem debaty była firma Akamai Technologies Poland.

Nie ufaj nikomu

Strategia zero trust staje się powszechnym rozwiązaniem. Badania, przeprowadzone jeszcze w roku 2020 wykazały, że około 40% organizacji wdrażało ten schemat, obecnie jest ich najpewniej zdecydowanie więcej – wskazywała Magdalena Opala-Wróbel. W tym kontekście należy postawić pytanie o właściwe rozumienie pojęcia zero trust; właśnie ono stanowiło punkt wyjścia do dyskusji. Artur Rudziński stwierdził, że jego istotę najlepiej oddaje dosłowne tłumaczenie angielskiego idiomu. – To jest brak zaufania do czegokolwiek, poczynając od ludzi, sprzętu, polityk, wszystkiego co może wpłynąć na bezpieczeństwo – zauważył reprezentant Alior Banku. I dodał, iż koncepcja ta pojawiła się już w latach 90. ubiegłego stulecia, a w kolejnych dekadach podlegała ustawicznej ewolucji. Zdarzało się, że organizacje wprowadzały w poszczególnych obszarach podejście zero trust, nie zdając sobie do końca z tego sprawy. – Wydaje się, że teraz już mamy stosowną świadomość i w pełni rozważnie rozwijamy tego typu zabezpieczenia – dodał Artur Rudziński.

Magdalena Opala-Wróbel
Major Account Executive Akamai Technologies Poland

Artur Rudziński
dyrektor Działu Ryzyka i Ciągłości Działania IT, Alior Bank

Krzysztof Słotwiński zdefiniował zero trust jako antytezę klasycznej formuły przedsiębiorstwa jako zamku, w której wszystko, co przychodzi z zewnątrz, podlega wzmożonej kontroli lub jest blokowane, natomiast osoby wewnątrz organizacji traktowane są jako zaufane. – Zero trust jest to taki model, który nie ufa nikomu. Każdy użytkownik czy urządzenie, które jest w sieci bądź próbuje się do niej zalogować, musi być odpowiednio zweryfikowane – przypomniał przedstawiciel BNP Paribas Banku Polska. Maciej Michalczak dodał, że owa kontrola powinna być przeprowadzana w sposób ciągły, a nie tylko przy pierwszym kontakcie. – Powinniśmy dbać o to, żeby wszelkie akcje, które użytkownik wykonuje, dodatkowo weryfikować, jeśli cokolwiek budzi niepokój już po zalogowaniu – zaproponował reprezentant Cinkciarz.pl.

Krzysztof Słotwiński
Chief Security Officer BNP Paribas Bank Polska

Maciej Michalczak
Information Security Officer, Cinkciarz.pl, Conotoxia

Strategia zero trust jest stosowana nie tylko w obszarze cyberbezpieczeństwa, o czym wspomniał Krzysztof Spirzewski. Jako przykład podał ostrożnościowe podejście do udzielania kredytów czy zawierania kontraktów, gdzie każdy szczebel decyzyjny jest objęty klauzulą zero trust, żeby ograniczyć ewentualne nieprawidłowości. Model ten zyskuje w ostatnim czasie na znaczeniu, także z uwagi na fakt, iż zasoby instytucji finansowych przechowywane są zarówno na własnych serwerach, jak i w chmurach obliczeniowych. – Zero trust to długa podróż, nie jedna technologia, ale różne podejścia. Dzięki home office ludzie mogą się łączyć z każdego rejonu, używając własnego sprzętu, taki dostęp trzeba mocno kontrolować – ocenił Martin Dombrowski. Obserwację tę potwierdził Jarosław Biegański (zastępca dyrektora Zespołu Bezpieczeństwa Banków ZBP), wskazując, że podczas wykonywania pracy online uwierzytelnianie pracownika musi być przeprowadzone w sposób dający pewność, że po drugiej stronie urządzenia mamy jego uprawnionego użytkownika. Dodatkowo warto pamiętać, że w przypadku pracowników zaufanie powinno iść w parze z kontrolą, po to, by uniknąć ewentualności fraudów wewnętrznych. W  kontekście skutecznych metod uwierzytelnienia szczególnego znaczenia nabiera biometria behawioralna, która pozwala wykryć podejrzane aktywności wykonywane przez osobę nieuprawnioną w czasie rzeczywistym.