Raport Specjalny | IT@BANK 2024 – ApexIT | Plany ciągłości działania muszą być gotowe na nieprzewidywalne wyzwania

Bezpieczeństwo systemów teleinformatycznych to bardzo wielowątkowy obszar. Które z tych wątków mają charakter priorytetowy dla ochrony danych w sektorze bankowym i szerzej, finansowym?

Justyna Rychłowska: Dla nas, jako integratora rozwiązań IT z zakresu zabezpieczania danych i systemów IT, priorytetem jest wspieranie naszych klientów w dążeniu do osiągnięcia bezpieczeństwa danych oraz zgodności z obowiązującymi wymaganiami prawnymi dla rynku finansowego. Skupiamy się na systemach zapewniających ochronę przetwarzanych danych zarówno w środowiskach chmurowych, jak i lokalnych.

Artur Kamiński: Priorytetem jest dostosowanie planów ciągłości działania do aktualnych wyzwań. Kiedyś plany te miały charakter statyczny, przygotowywaliśmy się na zdarzenia kryzysowe, w rodzaju klęsk żywiołowych, pożarów czy awarii. Dziś ryzyka w zakresie cyberbezpieczeństwa permanentnie się zmieniają, zatem i plan ciągłości działania musi ewoluować. Liczy się gotowość na wystąpienie zdarzenia, którego nie potrafimy dokładnie przewidzieć. Dotychczas, tworząc systemy, główny nacisk kładziono na minimalizację ryzyka utraty danych, a nie na sposób ich odtwarzania.

Justyna Rychłowska: Wróćmy do dynamicznie zmieniającego się otoczenia regulacyjnego. Myślę tu o przepisach europejskich, jak NIS2 czy DORA, ale i rekomendacjach UKNF. Regulacje bywają traktowane sceptycznie jako dodatkowe obciążenie, należy jednak dostrzec w nich szansę na udoskonalenie strategii bezpieczeństwa teleinformatycznego w instytucjach finansowych.

Artur Kamiński: Dzięki regulacjom klienci instytucji finansowych mogą czuć się bezpieczniej, bo podmioty ich obsługujące funkcjonują w bardziej przewidywalnym środowisku i muszą spełniać standardy w zakresie cyberodporności. Wymogi prawne obligują wszystkich reprezentantów danej branży do wdrażania określonych rekomendacji, czyli ponoszenia na nie wydatków. Daje to równe szanse tym, którzy dużo inwestują w technologię, co na nieregulowanym rynku nie zawsze jest doceniane.

W jakim stopniu upowszechnienie nowoczesnych technologii w rodzaju AI może zmienić mapę cyfrowych zagrożeń dla rynku finansowego?

Justyna Rychłowska: Rozwój technologiczny stwarza nowe możliwości zarówno dla przestępców, jak i broniących się przed nimi organizacji. Ci pierwsi są w stanie przeprowadzać coraz doskonalsze ataki, np. ransomware czy DDoS, łatwiej im też podszywać się pod osoby trzecie, używając deepfake czy innych narzędzi AI. Z kolei instytucje rynku finansowego skuteczniej neutralizują incydenty, dysponując zaawansowanymi systemami cyberochrony, także tymi bazującymi na AI. Kluczowa jest świadomość zagrożeń, która pozwala organizacjom przygotować się na ewentualne zakłócenia spowodowane aktywnością przestępczą.

Artur Kamiński: Praktycy z obszaru bezpieczeństwa cyfrowego identyfikują AI jako zmianę rewolucyjną. Przykładowo – kampanie phishingowe bywały prymitywne, bazowały na masowej wysyłce korespondencji do różnych instytucji z nadzieją, że któryś z pracowników popełni błąd i kliknie w link. AI umożliwia przeprowadzanie na dużą skalę spersonalizowanych ataków, co wcześniej nie wchodziło w grę, choćby z uwagi na koszty. W przypadku takich przestępstw, jak m.in. DDoS czy ransomware, AI jest inteligentnym hakerem, 24 godziny na dobę poszukującym luk w zabezpieczeniach. Z drugiej strony, dostawcy technologii oferują rozwiązania wykorzystujące AI i wspierające zespoły SOC w identyfikowaniu anomalii wskazujących na penetrację systemów informatycznych.

Jeśli już czarny scenariusz się zmaterializuje, dojdzie do zaszyfrowania bądź usunięcia danych, jakie kroki należy podjąć, by jak najszybciej przywrócić sprawność systemów?

Justyna Rychłowska: Scenariusze odtworzenia i niezbędny zestaw procedur muszą być wcześniej przygotowane, wdrożone i regularnie testowane. W sytuacji kryzysowej nie ma miejsca na improwizację. Reakcja zależy również od przyczyny utraty danych. Przypadek usunięcia jest mniej wymagający, to typowy proces odzyskania danych. Atak ransomware’owy stawia poprzeczkę znacznie wyżej. Konieczna jest pewność, że posiadane kopie nie zostały zainfekowane, a środowisko, do którego będziemy je odtwarzać, nie znajduje się pod kontrolą atakujących.

Artur Kamiński: Podstawowy paradygmat brzmi: bądź przygotowanym na nieprzewidywalne. Sprawdza się tu metodyka zaproponowana przez National Institute of Standards and Technology: identify, protect, detect, respond, recover. Funkcjonujące zgodnie z nią zespoły bezpieczeństwa dysponują regularnie testowanymi procedurami. Zabezpieczane dane są analizowane, w celu wykrycia ewentualnych modyfikacji wskazujących na ryzyko ataku. Do tego dochodzą technologie zapewniające niezmienialność przechowywanej kopii: software’owe, sprzętowe bądź też izolujące środowisko, w którym przechowujemy dane. Atakujący zdają sobie sprawę, że firmy wykonują i przechowują kopię danych, i biorą to pod uwagę, planując atak. Dlatego incydenty ransomware nie są jednorazowym strzałem, sprawca przebywa w infrastrukturze klienta nawet 6–7 miesięcy przed zaszyfrowaniem danych, przez ten czas poznając środowisko.

Justyna Rychłowska: Organizacje muszą śledzić kierunki rozwoju cyberzagrożeń. Zmieniają się one dynamicznie, a strategie bezpieczeństwa muszą za nimi nadążać. Implementacja w posiadanych systemach kopii zapasowych znanych zasad, jak 3-2-1 czy Zero Trust, zapewnia przywrócenie funkcjonowania aplikacji biznesowych po wystąpieniu incydentu. Gotowość stawienia czoła zagrożeniom bazuje na trzech komponentach: procesach, planie oraz sprawnym zespole, który będzie wdrażał pozostałe elementy. Bez zespołu, który wie, jak się zachować w sytuacji zagrożenia, nie poradzimy sobie, zwłaszcza wobec zagrożeń hybrydowych.

Artur Kamiński: Przy testowaniu planów odtworzenia zachęcamy klientów, żeby podejmowali nietypowe decyzje, w rodzaju wyłączenia z uczestnictwa jednej bądź dwóch osób. Chodzi o zweryfikowanie sprawności zespołu w sytuacji, kiedy nie będziemy dysponować jego pełnym składem. Kolejny czynnik to presja czasu generowana np. przez biznes. Świadomość ograniczenia zasobów też jest elementem planu.

Czy wejście w życie DORA i NIS2 spowoduje przewrót w zarządzaniu bezpieczeństwem instytucji bankowych, a może ten sektor od dawna respektuje tak wyśrubowane standardy, że nowe regulacje będą tylko pewną korektą?

Justyna Rychłowska: Obserwując polskie instytucje finansowe należy stwierdzić, że bezpieczeństwo mają wpisane w swoje DNA. W przypadku Polski mamy zatem do czynienia z doszlifowywaniem i sukcesywnym wzmacnianiem strategii bezpieczeństwa, nie rewolucją sensu stricte. Istotna zmiana to nowe podejście do bezpieczeństwa danych bazujące na weryfikacji. Nie wystarczy powiedzieć, że mamy kopię, albo potrafimy odtworzyć dane po incydencie, należy to udowodnić. Regularnie wykonywane są testy, które potwierdzają ową umiejętność odtworzenia. W tym aspekcie wszyscy uczestnicy rynku mogą skorzystać po wdrożeniu nowych regulacji. Chodzi o to, by nie były to tylko deklaratywne działania, ale żeby ich skuteczność można było wykazać w testach.

Technologia rozwija się niezwykle dynamicznie i nierzadko nieprzewidywalnie, ale czy moglibyśmy się pokusić o wskazanie przyszłych trendów w sferze technologii zabezpieczeń?

Justyna Rychłowska: Systemy kopii zapasowych nie pozostają poza wpływem rozwoju technologii, takich jak uczenie maszynowe czy sztuczna inteligencja. Obszary, w których je odnajdujemy to np. wykrywanie anomalii i analiza trendów. Zmianie ulegają nie tylko technologie. Zagadnienie bezpieczeństwa danych zyskuje na randze w strategiach organizacji.

Artur Kamiński: Rośnie rola automatyzacji w coraz bardziej złożonych środowiskach zabezpieczania danych. Testy odtwarzania, nadzór nad poprawnością zakończenia sesji backup’owej to przykładowe obszary implementacji tej technologii. Przyszłość przyniesie nam też rosnące znaczenie świadomości zagrożeń. Pojawia się nowa przestrzeń konfrontacji z przestępcami, nie zmieniają się nasze zachowania tylko otoczenie, w którym funkcjonujemy.