Temat Numeru | Bezpieczeństwo Instytucji Finansowych | Nadzór i cyberprzestępstwa w sektorze finansowym

Do kluczowych składników systemu – nazywanego również mapą finansowej cyberodporności – zalicza się przygotowanie finansowych podmiotów do: prawidłowej identyfikacji cyberzagrożeń, wypracowania metod odpowiedzi na cyberatak oraz sporządzania całościowej koncepcji naprawy zaatakowanych elementów struktury.

Prawdopodobieństwo ataków, których liczba w ostatnich kilku latach systematycznie rośnie, jest proporcjonalne do stopnia zależności systemu finansowego od rozwijających się technologii informacyjnych i komunikacyjnych. Prawidłowa metoda ochrony przed cyberzagrożeniami jest szczególnie ważna np. w takich sytuacjach, jak globalna kwarantanna spowodowana COVID-19. Tymczasem z danych MFW wynika, że nie tylko w państwach rozwijających się, ale również w państwach rozwiniętych aż ok. 92,5% firm – w tym finansowych – nie ma odpowiednio rozwiniętej infrastruktury, umożliwiającej im odparcie ataków hakerskich (MFW 2019). Pole działania nadzoru finansowego w dziedzinie zachowania „cyberhigieny” jest w tej sytuacji zaskakująco szerokie.

Skala problemu

Zasadniczym źródłem problemów, z którymi musi zmierzyć się nadzór, jest – sic! – lekceważenie przez firmy możliwości pojawienia się cyberataków. W istocie, zagrożenia te są niewidzialne, a więc trudne do zidentyfikowania, dlatego wiele instytucji nie bierze ich pod uwagę. Tymczasem skala przestępstw w sferze cyfrowej rośnie w zawrotnym tempie. Tylko w 2019 r. takie incydenty dotyczyły 61% spośród badanych 1500 firm, dla porównania – w 2018 r. odsetek instytucji, które stały się ofiarami cyberataków wynosił 45% (ACCA 2019). Jednocześnie – co trudno zrozumieć – 54% tych samych badanych firm było zdania, że nie są lub nigdy nie będą celem hakerów. Wreszcie, tylko 57% spośród tych instytucji, które zalicza się przecież do podmiotów finansowych, sądzi, że brak procedur cyberbezpieczeństwa należy wliczyć do jednego z pięciu głównych ryzyk dla współczesnego biznesu (patrz wykres 1.).

Klasyfikacja ryzyk wg ACCA:

• Ryzyka główne -postrzegane przez firmy jako generalnie najważniejsze;
• Ryzyka 5G – 5 najważniejszych ryzyk dla współczesnego biznesu;
• Ryzyka 10G – 10 najważniejszych ryzyk dla współczesnego biznesu z pominięciem ryzyk 5G;
• Ryzyka ważne – ryzyka postrzegane przez firmy jako generalnie ważne.

Ten krótki przegląd stanowisk firm, zwłaszcza instytucji finansowych, wobec cyberzagrożeń przynosi kilka wniosków. Przede wszystkim, sieciowa przestępczość postrzegana jest wciąż jako zjawisko mało realne, jako temat, o którym należy mówić i pisać, ale nie musi on stanowić podstawy przygotowania i wdrażania kosztownych strategii. Problemem jest również fakt, że świadomość ryzyka zazwyczaj ogranicza się do zarządów firm finansowych. Ich „średni” personel nie przykłada należytej wagi do tego problemu. Ten specyficzny sposób podejścia do cyberzagrożeń przez firmy oraz instytucje finansowe jest źródłem poważnych ryzyk dla całego systemu, z możliwością jego krachu na skalę globalną włącznie.

Zyski cyberprzestępców, żerujących na tej zadziwiającej naiwności współczesnych firm finansowych, są niebotyczne. Według niedawno sporządzonych szacunków, w 2021 r. wyniosą one ok. 6 bln USD (Cybersecurity Ventures 2018), czyli podwoją ...