Temat numeru: Nikt nie będzie mistrzem, ale możemy być w czołówce…

Bezpieczeństwo systemów teleinformatycznych w instytucjach finansowych to nieustająca linia frontu, na której ścierają się specjaliści od zabezpieczeń z cybernetycznymi przestępcami. Kto wygrywa?

– Mam nadzieję, że ci w białych kapeluszach, ale w życiu bywa różnie. Kiedy atakujący widzi swoją nieefektywność, to zmienia taktykę, dlatego jest to nieustająca przepychanka. Dużo się mówi i pisze o tym, kiedy przegrywają banki, ale patrząc z zewnątrz, zupełnie nie wiemy, ile razy przegrali przestępcy. Generalnie sam fakt, że bankowość elektroniczna w Polsce ma się dobrze, dowodzi, że w zdecydowanej większości jednak wygrywają banki.

Czy jest to kwestia lepszych narzędzi? Najlepsze systemy ochrony i najnowsze oprogramowanie aktualizowane na bieżąco czyni bank bezpiecznym?

– Narzędzia są bardzo ważne – bez nich nie bylibyśmy w stanie ogarnąć ogromnej ilości zdarzeń dotyczących bezpieczeństwa czy poradzić sobie z obróbką związanych z nimi danych. Słabością narzędzi jest jednak ich statyczność – przestępcy ciągle zmieniają sposób działania, więc może się okazać, że narzędzie, które dzisiaj pomogło, jutro nie będzie już tak skuteczne. Tak bywa na froncie, że przeciwnik szuka słabych stron, a te słabe strony wymagają często nowego sposobu na odparcie ataku. Trzeba się więc ustawicznie dozbrajać.

A jeżeli będzie mnie stać na dozbrajanie się non stop, to zagwarantuję sobie bezpieczeństwo?

– Niestety nie. Odwołam się w tym miejscu do klasyka – Kevin Mitnick w książce Sztuka podstępu wyraźnie wskazał coś, co moim zdaniem wciąż jest powodem wyzwań dla bezpieczeństwa. Atakujący w pierwszym rzędzie wykorzystuje słabość… człowieka. To właśnie człowiek bywa najsłabszym punktem całego systemu ochrony, dlatego wciąż jest atrakcyjnym celem ataku i właśnie z tego względu poruszanie się wyłącznie w warstwie narzędzi jest nieskuteczne. Jednym z pierwszych zadań bezpieczeństwa powinna być analiza organizacji i jej procesó...