Safebank: DORA i cyberodporność banków
Gotowość sektora bankowego na wdrożenie DORA – wyniki badania EY i ZBP przedstawili Joanna Gałajda, Manager w EY Law i Wojciech Dańczyszyn, Senior Manager, Cyber Security w EY Technology Consulting.
DORA czeka na publikację w Dzienniku Urzędowym Unii Europejskiej
Jak ocenili prelegenci, będzie to regulacja, która pomoże zharmonizować przepisy w zakresie cyberbezpieczeństwa.
Jak wykazali, w obszarze cyberbezpieczeństwa panuje dość duży chaos regulacyjny. Badanie EY i ZBP przeprowadzono w 15 polskich bankach.
Znalazły się wśród nich podmioty zarówno prowadzone w formie spółek akcyjnych, jak i banki spółdzielcze oraz oddziały banków zagranicznych.
Dodatkowo sprawdzono, w jakim stopniu obowiązki DORA już dzisiaj obowiązują w polskim systemie prawa. Postawiono tezę, że faktycznie dla polskiego sektora bankowego jest to raczej ewolucja niż rewolucja.
Prelegenci zalecają przeprowadzenie w pierwszej kolejności analizy luk, tak żeby zweryfikować, w których elementach organizacja jest zgodna z nowymi przepisami, a gdzie faktycznie powinna ona wykonać jakieś prace dostosowawcze.
DORA w dużej mierze powiela np. wymogi wynikające z Rekomendacji D. Dlatego banki, które oceniały się w ramach badania, określiły swój poziom dojrzałości jako bardzo wysoki i gotowość do przyjęcia DORA również na dość wysokim poziomie.
Trzeba jednak pamiętać, że chodzi tu o rozporządzenie, czyli powszechnie obowiązujące prawo i organizacja musi dostosować się do tych wymogów. W zebranych ankietach często zwracano uwagę na wyzwania związane z koniecznością zapewnienia specjalistycznych kadr.
DORA jako rozporządzenie zostało zatwierdzone 10 listopada 2022 roku przez Parlament Europejski, a 28 listopada przez Radę. Wkrótce będzie opublikowane w Dzienniku Urzędowym Unii Europejskiej.
Po 20 dniach od tego momentu wchodzi w życie i na dostosowanie się do nowych wymogów banki będą miały 24 miesiące.
Problemy z hasłami
Co robić kiedy zapomnimy ostatnie hasło do systemu bankowego?
Na tak postawione pytanie szukali odpowiedzi Marcin Majchrzak, dyrektor handlowy w firmie Yubico i Krzysztof Góźdź, dyrektor handlowy w firmie Secfense.
Odpowiedź brzmi: jak najszybciej pozbyć się haseł, bo nie powinniśmy ich dalej używać i mamy technologię, która bardzo dobrze może je zastąpić.
Prelegenci twierdzili, że paradoksalnie, im bardziej złożony charakter haseł, tym większe ryzyko, bo trzeba je pamiętać, zmieniać i nimi zarządzać.
Hasła stają się też częstym celem ataków phishingowych. Wprowadzenie jakiegokolwiek MFA (multifactor authentication), czyli uwierzytelnienia wieloskładnikowego jest lepsze niż korzystanie z haseł. Jeśli nie ma wdrożonego MFA to jest 33% szans na to, że firma zostanie zhakowana w ciągu najbliższych dwu – trzech lat.
Obserwuje się wzrost liczby ataków nakierowanych na wyłudzenie haseł. Jak zauważyli prelegenci nie wszystkie technologie dwuskładnikowe są odporne na phishing. Można jednak zabezpieczyć aplikacje, dokładając jakiś bardziej skomplikowany, fizyczny składnik uwierzytelniania.
Secfense stworzyło oprogramowanie wykorzystujące tzw. User Access Security Broker. Pozwala ono na zabezpieczenie tysięcy aplikacji bez jakiejkolwiek konieczności ich modyfikacji.
Broker to element sieciowy, który pojawia się w ruchu pomiędzy użytkownikami a serwerami z tymi aplikacjami. W pierwszej kolejności uczy się on działania aplikacji i wzbogaca sekwencję logowania o drugi składnik uwierzytelniania.
Pokazano jak w praktyce wygląda sekwencja wdrożenia takiego oprogramowania. Pokazano jak można w kilka minut zabezpieczyć nieznany nam i niekontrolowany przez nas serwis internetowy, tak aby korzystał z klucza sprzętowego.
Tsunami regulacyjne w obszarze cyberbezpieczeństwa
Przemysław Kulesza, Group IT Security Manager i Marcin Szymczak, Senior Cloud Architect w GFT Poland przedstawili zagadnienia związane z bezpieczeństwem usług chmurowych przetwarzających dane stanowiące tajemnicę bankową w kontekście wymagań regulacyjnych.
Jak podali, firma zatrudnia w Polsce 1500 osób i 10 tys. na całym świecie. Firma wykorzystuje do świadczenia usług chmurowych usługę Google Cloud.
Jak stwierdzili, przybywa stron Parlamentu Europejskiego związanych z regulacjami dotyczącymi banków. W 2010 r. było ich 271, w 2014 r. 1294, w 2017 r. już ponad 2400 i można przypuszczać, że w 2022 r. będzie ich już ponad 3000.
Zwiększa się też liczba źródeł prawa. To już prawdziwe tsunami regulacyjne. Dlatego coraz trudniej zarządzać centralnie takimi wymaganiami. Jednocześnie mamy coraz więcej zagrożeń atakami.
Prelegenci powołali się na raport firmy City Netrix z Teksasu. Jak się okazuje, obecnie już nie mamy najczęściej do czynienia z atakami DDOS, czyli na dostępność i z atakami phishingowymi, ale na popularności zyskują ataki ransomware.
Phishing może być tylko pierwszym etapem do wejścia intrudera do sieci banku, wykradzenia tożsamości i do przeprowadzenia ataku ransomware.
Prelegenci zwrócili uwagę na skanowanie bezpieczeństwa przy wdrażaniu i rozbudowie usług związanych z przetwarzaniem w chmurze. Należy sobie zadać pytanie, czy i kiedy takie skanowanie było przeprowadzone i na jakich etapach wdrożenia – mówili.
Trzeba też chronić się przed zwykłymi błędami ludzkimi, nie tylko przed intencjonalnymi atakami.
Przedstawiciele GFT Poland omówili narzędzia, które pomagają sprawdzić, czy bank spełnia wymogi regulacji.
Czytaj także: Safebank 2022: jak szeroka współpraca sektora finansowego?>>>
Rozporządzenie DORA – na drodze budowania cyberodporności
Panel dyskusyjny „Rozporządzenie DORA – na drodze budowania cyberodporności” moderował dr Jarosław Biegański, zastępca dyrektora Zespołu Bezpieczeństwa Banków w ZBP.
Udział w debacie wzięli: Łukasz Pawlak, Chief Information Risk Officer w Santander Bank Polska, Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w ZBP, Daniel Krzywiec, dyrektor departamentu Strategii Projektów i Cyberbezpieczeństwa w SGB-Bank i Jakub Walarus, partner, Cyber Security w EY Technology Consulting.
Jak stwierdził dr Jarosław Biegański, czasem mówi się o DORA jako o budowaniu odporności, tak jak o budowaniu odporności w czasie pandemii.
Czyli mamy zagrożenie i sprawdzamy, czy jesteśmy na to zagrożenie podatni. Jeżeli tak, to próbujemy to zagrożenie zmitygować i przechodzimy do budowania odporności.
W sektorze bankowym jest już Rekomendacja D, ale DORA dotyczy również innych instytucji, które niekoniecznie są instytucjami finansowymi.
Jednak, jeśli świadczą one usługi finansowe, to pod DORA w jakimś stopniu podlegają. To może być dla nich wyzwaniem.
Jak stwierdził Jakub Walarus – wyzwaniem są też braki kadrowe i konieczność powołania nowych zespołów. Chodzi o specjalistów od testów penetracyjnych czy od zgodności.
Zwrócił uwagę, że muszą to być też zespoły multidyscyplinarne, ze specjalistami z obszaru cyberbezpieczeństwa i zgodności regulacyjnej.
Nakłada się szereg nowych wymogów na członków zarządu, którzy ostatecznie odpowiadają za bezpieczeństwo, a które nie są osobami merytorycznymi. Osoby te trzeba uczynić ekspertami w obszarze zarządzanie ryzykiem.
Szacuje się, że będzie nam brakować 300 tys. specjalistów od cyberbezpieczeństwa.
Dr Jarosław Biegański powołując się prezentowane badania przypomniał, że 46% ankietowanych banków w ciągu 12 miesięcy planuje zwiększyć zatrudnienie w zespołach cyberbezpieczeństwa.
Łukasz Pawlak ocenił, że współpraca wewnątrz sektora może wypełnić lukę między podażą i popytem na specjalistów od cyberbezpieczeństwa i np. ZBP może mieć w tym udział od strony organizacyjnej, tworząc odpowiednią platformę do współpracy.
Daniel Krzywiec stwierdził, że SGB musi zaopiekować się 180 bankami z Grupy. To dużo większe wyzwanie, bo placówki znajdują się w miejscowościach, w których dostęp do takiej kadry o jakiej mówi się podczas panelu, jest trudny.
Dlatego przyjęto strategię budowy centrum kompetencyjnego w Banku Zrzeszającym. To optymalizacja kosztów i zwiększenie efektywności działania, bo poszczególne banki spółdzielcze nie muszą same takich kompetencji budować.
Piotr Balcerzak zwrócił uwagę na problem, jakim jest międzysektorowa wymiana danych. Prawo bardzo nas dzisiaj ogranicza i trzeba dbać o to, żeby być zgodnym z obowiązującymi przepisami, a równocześnie efektywnym i osiągać założone cele. W tym mogą zainteresowanym pomagać prawnik i radca prawny, którzy są zatrudnieni w Zespole Bezpieczeństwa Banków.
Jakub Walarus stwierdził, że standardy branżowe to kierunek, który powinien być rozwijany. Mamy prawo bankowe, Rekomendację D, komunikat „chmurowy” itd.
Przypomniał, że zasada proporcjonalności obowiązuje, i nie każdy uczestnik rynku będzie z taką samą skrupulatnością prawnie zobowiązany stosować tak samo mocne mechanizmy zabezpieczeń.
W trakcie dyskusji mówiono o przepisach, które w sytuacjach tego wymagających mają ułatwić dostęp do informacji prawnie chronionych. Wskazano tu na przykład możliwości wymieniania się informacjami objętymi tajemnicą telekomunikacyjną.
Dyskutowano, kiedy warto budować kompetencje w ramach własnej organizacji, a kiedy trzeba taką usługę gdzieś pozyskać.
Budowanie odporności jest procesem ciągłym, więc nie możemy sobie powiedzieć, że jesteśmy gotowi, albo że osiągnęliśmy gotowość – mówili uczestnicy dyskusji. Ich zdaniem DORA spowoduje też przebudowanie rekomendacji, np. takich jak Rekomendacja D.
Zarządzanie poziomami uprawnień w systemach heterogenicznych sektora bankowego
O efektywnym zarządzaniu poziomami uprawnień w systemach heterogenicznych sektora bankowego mówił w swoim wystąpieniu Tomasz Joniak, Senior Sales Engineer w firme Delinea.
Klasyczny system zarządzania hasłami i tożsamościami czyli PAM (Privileged Access Management) nie jest już wystarczający w obecnych warunkach, bo nasze tożsamości się rozwijają oraz idą do IoT, chmury i do innych urządzeń.
Delinea rozwija systemy do zarządzania nimi, tak żeby wszystkie te tożsamości, nasze hasła i sekrety można było zabezpieczyć w ten sposób, żeby każdy miał do nich dostęp, kiedy tego potrzebuje.
Tożsamość jest bardzo ważna w każdym zabezpieczeniu, bo jak wiemy, haker poprzez dostęp do jednego hasła może przesuwać się z jednego systemu do drugiego.
Zero trust w środowiskach aplikacyjnych
Zero trust w środowiskach aplikacyjnych to temat prezentacji Marcina Kornafela, starszego inżyniera ds. bezpieczeństwa w firmie Sevenet i Tomka Jedynaka, specjalisty rozwiązań cyberbezpieczeństwa w firmie Cisco.
Przedstawili oni rozwiązanie Cisco Secure Workload. Jest to workflow, czyli fundament, który pomaga w środowiskach aplikacyjnych zrealizować skuteczną widoczność, zapewnić informację na temat tego, co będziemy widzieli w naszych aplikacjach, z czym się one komunikują i w jaki sposób mają wprowadzone zależności między swoimi komponentami.
Właściwie zaimplementowane rozwiązanie Cisco pozwala tworzyć polityki zgodne z polityką zero trust. Dzięki temu będą przepuszczane tylko te komponenty komunikacji aplikacji, które są niezbędne do jej funkcjonowania. A będą blokowane pozostałe.