Raport specjalny | SZTUCZNA INTELIGENCJA W FINANSACH – IT SOLUTION FACTOR | AI w bezpieczeństwie banków

Jakie wyzwania stoją przed branżą IT ze względu na panujący „rynek pracownika”?

– Bezpieczeństwo IT komplikuje się z czasem. Narzędzia ochrony danych stają się coraz bardziej zaawansowane, a liczba ich rodzajów i typów stale rośnie. Na wszystko to należy nałożyć mniejszą dostępność kadry – czy to wyszkolonej, czy to możliwej do wyszkolenia – na rynku pracy. W projektach security znaczącą pozycją kosztową jest wymagany czas obsługi, zajętość liczona w roboczogodzinach czy roboczodniach. Istotne stają się możliwości obsługi danego narzędzia, chociaż w części, przez siły zewnętrzne.

Oczywiście nikt nie załamuje rąk – narzędzia dostarczają dużo możliwości integracji. Pełną parą wkracza automatyzacja reakcji systemów zabezpieczeń. Rozbudowane raportowanie i prezentowanie informacji przyspiesza zrozumienie problemów i lepsze planowanie rozwoju, polityk bezpieczeństwa i procedur.

Jak ocenia pan obecny stan zespołów chroniących w instytucjach finansowych?

– Na podstawie obserwacji, prowadzonych w trakcie realizowania kontraktów dla naszych klientów, muszę przyznać, iż stopień zaawansowania merytorycznego naszych rodzimych pracowników z zakresu ochrony cybernetycznej jest co najmniej taki sam, jak zachodnioeuropejskich kolegów. Mimo że czasem nie możemy sobie pozwolić na podobny zakres pozyskiwania i implementacji narzędzi, jak w instytucjach działających w warunkach korzystniejszych ekonomicznie, różnice zdecydowanie niwelujemy wyższym zaangażowaniem w dążeniu do rozwoju.

Jak, pana zdaniem, wygląda sytuacja z zaawansowaniem technologicznym narzędzi ochrony cybernetycznej?

– W zdecydowanej większości stosujemy narzędzia znane i sprawdzone na świecie. Jednym z naszych kluczowych partnerów w tym zakresie jest światowy lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberbezpieczeństwa – firma Fortinet. Zawsze musimy dbać o niskie koszty i wysoki stopień utylizacji, jednak generalnie nie jest to wagon hamulcowy rozwoju systemów ochrony. Mamy bardzo dobrze rozwinięte systemy reakcji na próby ataków oraz optymalizujemy działanie systemów firmowych dla zminimalizowania ryzyka operacyjnego. Współpraca zespołów bezpieczeństwa i operacyjnych pozwala na wprowadzanie poprawek do systemów, aplikacji i urządzeń.

Tak więc generalnie mamy co najmniej dobrą ochronę reaktywną oraz wdrożone systemy kontroli powierzchni ataku, takie jak: skanery podatności, audyty konfiguracji, standardy ustawień. W mojej ocenie, należałoby więcej energii poświęcić na weryfikację działania systemów zabezpieczeń. Dobrą praktyką jest wykonywanie testów penetracyjnych, które mają na celu głównie weryfikację aplikacji i słabości systemów w momencie przeprowadzania audytu. Scenariusze ataków ciągle jednak ewoluują, zatem rekomenduję również implementację narzędzi, które w sposób ciągły będą monitorowały przełamanie systemów. W reaktywności znajduje się dużo znanych narzędzi i funkcji, np.: analiza behawioralna jako funkcje systemów SIEM, lub dedykowane narzędzia uczenia maszynowego dla wykrywania anomalii, ale też systemy przygotowane do bycia atakowanymi z rodziny Honey Pot. Doskonałym przykładem są tu produkty z portfolio Fortinet – FortiSIEM, FortiAnalyzer czy też FortiDeceptor. Gotowe systemy możemy wdrażać szybko i skutecznie, dostarczając wiarygodnego źródła monitorowania udanych przełamań zabezpieczeń lub detekcji wczesnej fazy rozpoznania po udanym włamaniu. Analogią może tu być zastawianie pułapek przez myśliwych – jeśli zwierzę grasuje w naszym lesie, to wcześniej czy później powinno się złapać w przygotowane sidła.

Jak można jeszcze lepiej wykorzystać dostępne zasoby w dziedzinie cyberbezpieczeństwa?

– W dobie zwiększonej rotacji kadr oraz ograniczenia dostępności pracowników z powodów rosnących oczekiwań finansowych, jak też ze względu na duże zapotrzebowanie branży, dokonałem kilku spostrzeżeń:

• Utrzymywanie aktualnej bazy wiedzy staje się kluczowym elementem pracy IT. Wiedza w postaci procedur operacyjnych, rozwiązywania typowych problemów, dokumentowania zmian konfiguracji i architektury powinna być dostępna i podana w łatwy sposób, zbliżony do codziennego działania w popularnych wyszukiwarkach internetowych.
• Integracja pomiędzy systemami różnego rodzaju powinna doprowadzić do minimalizacji działań administratorów i operatorów. Integracje powinny dotyczyć maksymalnej liczby rodzajów broni w naszym arsenale, np. systemy antywirusowe, sandboxy, NGFW, SIEM, anty DDOS, ochrony poczty, czy też wyników analizy zespołu SOC.
• Stosowanie narzędzi ochrony możliwie blisko zagrożenia, np. bezpośrednio na systemach operacyjnych, wirtualizacji.
• Automatyzowanie procesów bezpieczeństwa. Następnym poziomem zaawansowania jest obecnie narzędzie klasy SOAR, gdzie centralizujemy oraz automatyzujemy nasze działania obsługi. Cenimy tu klasę rozwiązania FortiSOAR, platformy do standaryzacji i automatyzacji obsługi zdarzeń SOC (Security Operations Center).
• Audyty konfiguracji zabezpieczeń również powinny być prowadzone pod kątem stopnia wykorzystania dostępnych funkcji. Często kolejne aktualizacje oprogramowania przynoszą nowe możliwości integracji oraz ochrony.
• Szkolenie pracowników z podstaw bezpieczeństwa i praktycznego wykorzystania polityki bezpieczeństwa organizacji może być zarówno zautomatyzowane (portale e-learning), jak i stanowić reakcję na ryzykowne zachowania.

Na koniec zwracam uwagę na wykorzystanie chmury publicznej, lub prywatnej w naszych zasobach. Ich ochrona powinna być realizowana w takim samym stopniu, jak w przypadku zasobów wewnętrznych. Przy projektowaniu rozwoju czy migracji zalecam szczególnie poważne podejście do podziału obowiązków, weryfikacji monitorowania bezpieczeństwa i samych zabezpieczeń. Często nie jest zasadne dokładne kopiowanie struktury wewnętrznej. Lepszym rozwiązaniem może być stosowanie nowych i przystosowanych narzędzi powstałych od początku w środowisku operatorów chmury.