Polski sektor bankowy, zdaniem analityków Deloitte, jest jednym z najbardziej innowacyjnych w Europie Środkowej. Odpowiada za to m.in. dynamicznie rosnące wśród klientów zainteresowanie bankowością elektroniczną, co sprawia, że to właśnie cyfryzacja jest kluczem do dalszego rozwoju instytucji finansowych. Niemniej po drugiej stronie mamy cyberprzestępczość, która jest coraz większym zagrożeniem, a banki zajmują wysokie miejsca na liście celów hakerów. Czy instytucje finansowe robią wystarczająco dużo, aby chronić siebie i swoich klientów? A jeśli nie, jakie środki mogą podjąć, aby utrzymać hakerów na dystans?
Wyzwania sektora bankowego związane z cyberbezpieczeństwem
Uczestnicy XXV edycji Forum Bankowego organizowanego przez Związek Banków Polskich (ZBP) wskazali wiele zasadniczych wniosków dotyczących sektora bankowego i jego rozwoju. Wśród nich poruszono również kwestie cyberbezpieczeństwa jako kluczowego elementu w dobie digitalizacji. Jest to niezwykle istotne, ponieważ zgodnie z danymi Polskiego Instytutu Ekonomicznego liczba klientów bankowości internetowej jest już niemal równa liczbie mieszkańców Polski. Tym samym sukcesywnie rośnie liczba danych, które trzeba przetwarzać i odpowiednio zabezpieczyć. Co więcej, rodzi to kolejne wymogi dotyczące bezpiecznego korzystania z Internetu, zarówno w bankowych systemach transakcyjnych, jak i w biznesie w ogóle.
Należy zaznaczyć, że rynek instytucji finansowych będzie się dalej rozwijać, niemniej wraz z coraz szerszym wykorzystaniem innowacji w równym stopniu muszą postępować wymogi związane z zachowaniem bezpieczeństwa. Dotyczy to szczególnie odpowiedniego zabezpieczenia danych, w tym tożsamości konsumentów w systemach bankowych oraz ochrony transakcji i aktywów klientów.
Elementy wymagające uwagi
Współcześnie kwestie cyberbezpieczeństwa to jeden z kluczowych obszarów nie tylko na poziomie technicznym, ale też strategicznym i biznesowym dla wielu instytucji finansowych. Właśnie dlatego działania w zakresie bezpieczeństwa cyfrowego powinny być częścią wszystkich procesów na poszczególnych szczeblach organizacji. Wymaga to odpowiednich środków oraz wdrożenia rozwiązań technologicznych, monitoringu zagrożeń oraz podatności w systemach banków, rozwiązań proceduralno-organizacyjnych oraz zaangażowania ekspertów.
Mówiąc o tych obszarach, nie można też nie wspomnieć o kompleksowym zarządzaniu incydentami bezpieczeństwa w trybie ciągłym, ochronie przed sprofilowanymi atakami i szkodliwym oprogramowaniem oraz ochronie organizacji przed socjoatakami. Lista jak widać jest długa, podobnie jednak jak lista pomysłów cyberprzestępców na kolejne typy ataków.
Cyberbezpieczeństwo vs rozwój biznesu
Konsumenci nie wrócą już raczej do transakcji gotówkowych – instytucje finansowe są więc świadome znaczenia bezpieczeństwa cybernetycznego i chyba nie ma już banku, który nie inwestowałby znacznej części środków w budowanie szczelnych strategii w obszarze security. Z drugiej strony cyberprzestępcy cechują się niezwykłą prokatywnością i szybkością reakcji. W efekcie działań hakerów, zmieniającego się otoczenia biznesowego oraz konieczności coraz szybszego dostarczania gotowych produktów finansowych na rynek, wiele banków rozważa zmianę swoich strategii w stronę bardziej „zwinnych” i elastycznych rozwiązań oraz proinnowacyjnego podejścia w działaniu.
W zachodnich instytucjach finansowych w tym celu wykorzystuje się rozwiązania chmurowe. W Polsce zasady korzystania z cloud computingu reguluje Rekomendacja D. Odnosi się ona zarówno do norm i certyfikacji, które powinien spełniać dostawca chmury (np. ISO 27001 oraz 9001), oceny ryzyk, stopnia zabezpieczenia informacji, jak i zarządzania incydentami bezpieczeństwa. Warto też podkreślić, że przewodniczący KNF zapowiedział utworzenie stanowiska doradcy do spraw bezpieczeństwa danych w chmurze. Celem tego przedsięwzięcia ma być opracowanie odpowiedniego materiału dla sektora finansowego związanego z przenoszeniem wybranych procesów do chmury.
Najcenniejsze dla rynku są bowiem rozwiązania pozwalające na szybkie dostosowanie technologii do wymagań zarówno pod kątem bezpieczeństwa, strategii biznesowych oraz regulacji prawnych takich jak np. PSD2 czy RODO, które przy tym nie niosą za sobą zbytniego ryzyka inwestycyjnego. To samo dotyczy sprawnego reagowania na konkurencję ze strony fintechów oraz start-upów.
Warto też zwrócić uwagę na wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu. EBA wskazuje, że w przypadku, gdy dostawcy usług zlokalizowani są poza Europejskim Obszarem Gospodarczym, istnieje ryzyko utrudnionej kontroli nad powierzanymi danymi. Właśnie dlatego europejskie banki często patrzą w stronę lokalnych dostawców usług chmurowych, którzy mają odpowiednie doświadczenie oraz spełniają wymagania regulatorów rynku finansowego.
W chmurze bezpiecznie jak w banku
Za potencjałem chmury w zakresie bezpieczeństwa przemawiają także rynkowe case study. Koncentracja profesjonalnego dostawcy usług cloudowych na tym obszarze jest nieporównywalnie wyższa, aniżeli jest to sobie w stanie zapewnić pojedynczy podmiot. Wyspecjalizowane data center jest w stanie zapewnić nie tylko odpowiednią jakość połączenia sieciowego, ale przede wszystkim odpowiedni poziom zabezpieczeń.
O możliwościach i poziomie zabezpieczeń chmury może świadczyć przykład Departamentu Obrony USA, który podał do publicznej wiadomości, że w ciągu 10 lat chce swoją infrastrukturę IT umieścić w chmurze. Pentagon na ten cel planuje przeznaczyć 10 mld USD. Co ciekawe, w chmurze od pewnego czasu swoje dane przechowuje już amerykańska Centralna Agencja Wywiadowcza (CIA) . Zapewnienie więc odpowiedniego poziomu bezpieczeństwa informatycznego jest dla banków priorytetem.
Edukacja
Wszystkie powyższe środki mogą zwiększyć bezpieczeństwo cybernetyczne w sektorze bankowym.
I choć co jakiś czas pojawiają się informacje o atakach na instytucje finansowe, to należy zauważyć, że większość banków jest dobrze zabezpieczona przed zagrożeniami zewnętrznymi. Jednak nie o wszystkie obszary może zadbać sam bank. Często bowiem cyberprzestępcy atakują najsłabszy element, tzn. samym klientów i urządzenia, z których korzystają. Dlatego tak ważna jest edukacja w zakresie bezpieczeństwa informatycznego i kształtowanie świadomości na temat możliwych zagrożeń, zarówno wśród klientów, jak i pracowników banków na wszystkich szczeblach.