Badanie pokazujące znaczenie cyberbezpieczeństwa w usługach finansowych zostało przeprowadzone w czerwcu 2023 roku pośród 61 organizacji. Eksperci wyłonili 3 kluczowe trendy dominujące w branży. Pierwszym z nich są ograniczone budżety organizacji, co wpływa również na środki wydatkowane na bezpieczeństwo w zakresie IT. Drugim jest transformacja cyfrowa, która jest głównym czynnikiem biznesowym zapewniającym cyberbezpieczeństwo, przy jednoczesnym wzroście presji regulacyjnej, również w zakresie zarządzania tym ryzykiem. Trzecim trendem branżowym jest zmiana modelu biznesowego organizacji zajmujących się cyberbezpieczeństwem. Te zmiany odzwierciedlają rosnącą, strategiczną rolę tego aspektu dla firmy.

Badanie Deloitte Reshaping the Cybersecurity Landscape z 2020 r. jasno wykazało, że najważniejszą kwestią w uświadomieniu strategicznego znaczenia cyberbezpieczeństwa jest spojrzenie poza technologię informatyczną i uwzględnienia jej wpływu na strategię biznesową. „Nasza najnowsza analiza pokazuje, że wiele firm wzięło sobie do serca przesłanie sprzed 3 lat. Aż 61 proc. instytucji finansowych zadeklarowało, że ich organizacja stosuje globalny, scentralizowany i skonsolidowany model operacyjny. Skupia się on między innymi na świadczeniu usług w ramach wszystkich obszarów biznesowych przedsiębiorstwa czy określaniu standardów służących jako dobre praktyki. Co istotne, w ramach tego modelu instytucja koncentruje się na wszystkich aspektach cyberbezpieczeństwa nie tylko w zakresie technologii i IT, lecz również kładzie nacisk na ryzyko biznesowe oraz talenty” – mówi Przemysław Szczygielski, lider usług dla sektora finansowego w Polsce, partner zarządzający działem Risk Advisory w Polsce i krajach bałtyckich, Deloitte.

Zobacz również:

• Blaski i cienie AI
• Card Cracking - niebezpieczne zjawisko w sektorze finansowym
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

Drugim najpopularniejszym modelem operacyjnym (wśród 24 proc. firm) jest model globalnie scentralizowany i skoncentrowany na IT. Pozostawia on do zagospodarowania niektóre aspekty cyberbezpieczeństwa organizacji biznesowej nie rozdzielając ich na poszczególne jednostki. Z kolei trzecim najczęściej stosowanym podejściem jest skupienie się na operacjach cybernetycznych (12 proc. badanych). Jedynie 2 proc. instytucji reprezentuje model opierający się na rozwiązaniach cybernetycznych oraz dopasowaniu ich do konkretnej jednostki.

Autorzy raportu wskazują, że niemal 80 proc. instytucji finansowych część swojego budżetu w zakresie bezpieczeństwa sieci przeznacza na usługi świadczone przez podwykonawców, podczas gdy 21 proc. ankietowanych nie zleca żadnej operacji związanej z cyberbezpieczeństwem na zewnątrz. Pozostała grupa korzysta z outsourcingu – 42 proc. spośród tych respondentów deklaruje, że ponad jedną czwartą swojego budżetu na cyberbezpieczeństwo przeznacza na zlecanie działań do zewnętrznych podwykonawców. Co ciekawe, najliczniejszą grupę (58 proc.) stanowią badani, którzy na outsourcing przeznaczają nie więcej niż jedną czwartą swojego budżetu.

Obszarem, w którym outsourcing stosowany jest najczęściej, są centra bezpieczeństwa operacyjnego (43 proc.), a następnie wykrywanie i reagowanie na incydenty oraz „red teaming” (32 proc.), czyli ofensywna technika polegająca na symulacji ataku wymierzonego w pracownika. 15 proc. badanych wskazywało również outsourcing operacji związanych z bezpieczeństwem sieci, szkolenia i cyber świadomość oraz bezpieczeństwo fizyczne. Niemal wszystkie instytucje świadczące usługi finansowe wolą zabezpieczać chmurę we własnym zakresie – jedynie 4 proc. się na to nie decyduje.

„W ciągu ostatnich pięciu lat szeroko pojęta chmura pozostaje głównym priorytetem w trakcie cyfrowej transformacji instytucji świadczących usługi finansowe. Podobna sytuacja dotyczy analizy danych, która zajmuje drugie miejsce w rankingu. Ostanie trzy lata, a w szczególności ostatni rok, to widoczny wzrost zainteresowania sztuczną inteligencją. O ile dwa pierwsze tematy są już dość znane w przedsiębiorstwach, wraz z coraz szerszym stosowaniem AI w procesach firmy zwiększy się liczba wyzwań, z którymi będą mierzyć się dyrektorzy zajmujący się bezpieczeństwem informacji” – zauważa Ścibor Łąpieś, partner, lider zespołu Technology, IT, M&A, Deloitte.

Jednym z problemów dyrektorów ds. bezpieczeństwa sieci jest presja budżetowa. Segment bankowości i rynków kapitałowych w 2021 r. zabezpieczał 0,88 proc. na takie działania, a w 2023 r. już 0,80 proc. Widoczny spadek odnotowano w branży ubezpieczeniowej, w której z 0,41 proc. budżetu, wydatki na cyberbezpieczeństwo spadły do 0,20 proc. Jedyny wzrost zaobserwowano w sektorze zarządzania inwestycjami – z 0,40 proc. utrzymujących się w 2020 r. i 2021 r. odnotowano 0,49 proc. w bieżącym roku.

Największą część wydatków w 2023 roku stanowią: strategia, talent i zarządzanie (24 proc.), bezpieczeństwo infrastruktury i sieci (20 proc.), wykrywanie zagrożeń i reagowanie na nie (16 proc.).