Rozwój technologiczny i rosnąca skala cyberzagrożeń powoduje, że kwestie efektywnej ochrony systemów bankowych i środków klientów stały się priorytetem dla zarządzających firmami sektora finansowego. Nadal jednak tylko co dziesiąta z nich wprowadziła jednocześnie wszystkie podstawowe narzędzia bezpieczeństwa informatycznego. Jak wynika z badania Financial Cyber Survey, przygotowanego przez firmę doradczą Deloitte, za największe zagrożenie ankietowani uznają phishing i złośliwe oprogramowanie. Niezbędnym elementem obrony przed cyberatakami, skutecznie poprawiającym odporność organizacji są właściwie wyszkoleni pracownicy oraz strategiczny plan reagowania.

– Sektor finansowy ze swej natury jest bardzo podatny na wszelkiej maści zagrożenia, wśród których do rangi najważniejszego urosły w ostatnich latach cyberataki. To powoduje, że branża znana jest z wysokiego poziomu dojrzałości w zakresie bezpieczeństwa informatycznego. Musimy stale testować nowe rozwiązania i badać potencjalne luki, wprowadzać efektywne strategie reagowania na zagrożenia i bacznie przyglądać się regulacjom prawnym; poczucie samozadowolenia i brak aktywności w tym obszarze będą zgubne – mówi Przemysław Szczygielski, partner, lider sektora finansowego w Polsce, lider zarządzania ryzykiem oraz doradztwa regulacyjnego, Deloitte.

Zobacz również:

• Stan cyberbezpieczeństwa w Polsce w 2023 roku
• Idealne miejsce dla rozwoju pracowników
• Do 2030 r. 24 banki centralne będą posiadać waluty cyfrowe

Zagrożenie cybernetyczne jest nieustanne…

Badanie Deloitte wskazuje, że w 42 proc. przypadków tematyka cyvberzagrożeń jest analizowana przez zarządzających instytucjami finansowymi raz w miesiącu; 35 proc. z nich omawia cyberbezpieczeństwo raz na kwartał, podczas gdy 23 proc. dwa razy w roku lub rzadziej.

Zagrożenie cybernetyczne stale rośnie – 72 proc. respondentów ocenia, że w ciągu ostatnich dwóch lat jego poziom wzrósł lub znacząco wzrósł. Ponad jedna trzecia uznaje, że do tego wzrostu przyczynił się czas pandemii Covid-19. Zdaniem ekspertów Deloitte w ostatnim czasie zmienił się jednak kształt zagrożeń – dziś chodzi nie tylko i nie zawsze o kradzież pieniędzy czy danych osobowych, ale czasami także o wyrządzenie szkód tylko dla samej szkody.

Głównym sposobem penetracji organizacji sektora finansowego pozostaje phishing i złośliwe oprogramowanie, np. wykorzystujące rozmaite narzędzia socjotechniczne. Za największe zagrożenie uważa je ponad połowa respondentów.

– Nie jest niespodzianką, że phishing jest uważany przez przedsiębiorstwa finansowe za największe zagrożenie dla cyberbezpieczeństwa. Badania pokazują, że 91 proc. udanych ataków kradzieży danych rozpoczęło się od celowanego ataku – poprzez spreparowany email lub spear phishing. Jednocześnie prawie 30 proc. pracowników instytucji statystycznie ulega takim atakom podczas wykonywanych testów phishingowych – mówi Adam Rafajeński, dyrektor, lider usług cyber, Deloitte.

Ekspert podkreśla, że w ciągu miesiąca notuje się powstawanie średnio aż 1,5 mln stron phishingowych.

…a mimo to instytucje finansowe często lekceważą zagrożenia

Z racji wieloletniej ekspozycji na potencjalne zagrożenia wiele przedsiębiorstw sektora finansowego ma całkiem pozytywny obraz własnej polityki bezpieczeństwa w tym zakresie. Zdaniem ekspertów Deloitte, to poczucie może być jednak fałszywe. Szczególnie, że jak wynika z badania tylko jedna na dziesięć firm w pełni i jednocześnie wdrożyła wszystkie cztery elementy, które są powszechnie uważane za podstawowe narzędzia bezpieczeństwa cybernetycznego. Najczęściej instytucje finansowe koncentrują się na: planach samoobrony (53 proc.), strategiach reagowania (44 proc.), regularnie przeprowadzanych szkoleniach w zakresie świadomości grożących niebezpieczeństw (43 proc.) i tzw. cyberhigienie (37 proc.), czyli umiejętności odpowiedzialnego i efektywnego korzystania z nowych technologii.

W ciągu ostatnich 10 lat zagrożenia cyfrowe przestały być niedostrzegane i są powszechnie uznawane za integralną część procesów rozwoju produktów i systemów instytucji finansowych. Ta kompleksowość oznacza proaktywne podejście i uwzględnianie zagadnień cyberbezpieczeństwa już na najwcześniejszych etapach projektowania i budowania jakichkolwiek rozwiązań czy narzędzi. Ich brak już w początkowych fazach działania jest kosztowny, nieefektywny i stawia firmę w trudnej sytuacji. Dążenie do wysokiego poziomu dojrzałości cybernetycznej oznacza jednak konieczność niezależnej weryfikacji poziomu i zakresu przyjętych rozwiązań, aby skutecznie unikać luk i nieścisłości wynikających ze zbyt wysokiej samooceny firm.

– Niezależnie od przyjętych rozwiązań systemowych czy technicznych, najważniejszym ogniwem w procesie ochrony przed cyfrowymi zagrożeniami są pracownicy banków. To właściwie przeszkolony i świadomy personel ma na tym polu fundamentalne i elementarne znaczenie. Ponadto, konieczne jest posiadanie zarówno planu strategicznego, jak i planu operacyjnego, w jaki sposób należy bronić się przed niebezpieczeństwami, których aktualnie doświadcza lub w przyszłości może doświadczać organizacja – mówi Adam Rafajeński.

Lepiej być o krok przed regulacjami

Firmy sektora finansowego muszą przestrzegać wielu przepisów i brać pod uwagę wiele organów regulacyjnych, których rozstrzygnięcia nie zawsze są ze sobą w pełni zgodne. To z pewnością nie ułatwia codziennego funkcjonowania i powoduje, że także podejście do zagadnień cyberbezpieczeństwa jest złożonym zadaniem.

Niemal połowa (47 proc.) badanych wskazuje, że jest w stanie w wysokim stopniu przestrzegać rządowych przepisów w zakresie prywatności IT i cyberbezpieczeństwa (np. RODO, prywatność danych w cyberprzestrzeni, outsourcing), a 41 proc. uważa może to robić w pewnym stopniu. Co istotne, jedna trzecia uznaje, że przestrzeganie tych przepisów jest dla nich trudne, a przeciwnego zdania jest niewiele mniej, bo 29 proc. respondentów. Najwięcej, 37 proc., odpowiadających nie uważa tego ani za trudne, ani za łatwe.

– W takiej sytuacji najlepszym rozwiązaniem jest nie tyle nadążanie za istniejącym prawem, ale stałe wyprzedzanie regulacji. Wprowadzanie innowacyjnych rozwiązań nie tylko daje przewagę w zakresie cyberbezpieczeństwa, ale jest także znacznie mniej kosztowne. Zgodność zaczyna mieć bardzo istotnie znaczenie w kontekście pojawiających się w Polsce coraz bardziej restrykcyjnych regulacji, które wysoko podnoszą stawkę zarówno w zakresie odpowiedzialności zarządu za cyberbezpieczeństwo, jak i ustalają potencjalne kary za utratę danych na poziomie zbliżonym do kar RODO – mówi Przemysław Szczygielski. Nowe regulacje obejmują m.in. nową wersję Ustawy o Krajowym Systemie Cyberbezpieczeństwa, przygotowaną regulację DORA (Digital Operational Resilience Act) oraz ostatnie zmiany w dyrektywie NIS 2.0.

Raport z badania można pobrać tutaj.

Oprac. AŁ