Inwestycje muszą być (cyber)bezpieczne

W obecnej sytuacji rynkowej bezpieczeństwo cyfrowe przedsiębiorstw jest poddawane ciągłym próbom.  Dane firm i ich klientów są szczególnie wrażliwe w obszarze finansów, gdzie zabezpieczenia musza być największe. Chodzi o firmy z obszaru powszechnych towarzystw emerytalnych, zakładów ubezpieczeń i reasekuracji, towarzystw funduszy inwestycyjnych, innych podmiotów infrastruktury rynku kapitałowego oraz firm inwestycyjnych. Sposób zarządzania ich obszarami technologii informacyjnej Komisja Nadzoru Finansowego (KNF) uregulowała 16 grudnia 2014 roku wydając aż 22 wytyczne, które różnią się w zależności od specyfiki danego podmiotu rynku finansowego. Główne  wymogi to stosowanie właściwej kontroli dostępu do systemu, konieczność zapewnienia bezpieczeństwa przesyłanych danych, zastosowanie właściwych rozwiązań pozwalających na monitorowanie obciążenia sieci oraz zapór sieciowych na styku z sieciami zewnętrznymi. Niezmiennym elementem wytycznych jest ochrona informacji, w tym także danych osobowych. 

Konsekwencją upowszechnienia cyfrowych metod dystrybucji usług bankowości inwestycyjnej jest konieczność wprowadzenia nowych rozwiązań zapewniających bezpieczeństwo zdeponowanych środków. Renomowana firma doradcza Deloitte opublikowała niedawno raport zatytułowany „Reshaping the cybersecurity landscape”, analizujący zwiększające się potrzeby instytucji finansowych w dziedzinie bezpieczeństwa cyfrowego. Okazuje się, że ankietowane przedsiębiorstwa corocznie zwiększają swoje wydatki w tej dziedzinie. W roku 2020 wzrosły one aż o 11%. Dodatkowo, 95% respondentów przyznało, że coraz bardziej interesuje się tematyką cyberbezpieczeństwa. Najważniejszym trendem pozostaje dynamiczny wzrost zainteresowania usługami chmurowymi, spośród których szczególną rolę będzie prawdopodobnie odgrywało zlokalizowane w Polsce centrum obliczeniowe Google Cloud.

– Rok 2020 i początek roku 2021 to okres dynamicznego wzrostu inwestycji w rozwiązania służące cyfrowej dystrybucji usług bankowości inwestycyjnej. Zerowe oprocentowanie lokat bankowych przekłada się na zwiększone zainteresowanie klientów ofertami funduszy i banków inwestycyjnych – mówi Dariusz Chmielewski, prezes zarządu firmy Aegis Security, firmy oferującej rozwiązania z zakresu cyberbezpieczeństwa. ¬– W efekcie branża, która do tej pory w dużym stopniu była oparta na bezpośrednich metodach kontaktu z klientami musiała pójść w ślady bankowości detalicznej i zacząć  stosować rozwiązania cyfrowe. Obecnie usługi związane z cyfrowym bezpieczeństwem banków i funduszy inwestycyjnych stają się jednym z najszybciej rosnących segmentów rynku cybersecurity – dodaje Dariusz Chmielewski.  

Dla instytucji finansowych szczególnie istotne jest dostosowanie systemów komputerowych do obowiązujących przepisów. Rekomendacja KNF jest tak obszerna i szczegółowa, że w zasadzie cała infrastruktura informatyczna podmiotu finansowego powinna spełniać wszystkie wymagania regulacyjne. Chodzi między innymi o zapewnienie bezpieczeństwa przekazywanych danych, konieczność stosowania odpowiednich łączy telekomunikacyjnych, przystosowanie infrastruktury do reakcji na nagłą awarię, zabezpieczenie styków sieci wewnętrznej z sieciami zewnętrznymi poprzez zapory sieciowe, czy wykonanie odpowiedniej analizy ryzyka przed podłączeniem urządzeń końcowych. Należy również stworzyć elektroniczne repozytorium kopii zastosowanej konfiguracji.

Kolejnym zagadnieniem jest ochrona przedsiębiorstwa przed szkodliwymi działaniami. Konieczne są właściwe mechanizmy kontroli dostępu, odpowiednia polityka haseł, która w razie potrzeby powinna być połączona z innymi mechanizmami weryfikacji tożsamości użytkownika. Systemy informatyczne wymagają również regularnych przeglądów nadanych uprawnień oraz dostosowania profili dostępu dla określonych grup pracowników lub stanowisk pracy. Konieczne może być wprowadzenie kontroli fizycznego dostępu do pomieszczeń, w których znajdują się z serwery lub inne kluczowe elementy infrastruktury teleinformatycznej. Zapewnienie właściwej kontroli dostępu do systemów nie jest możliwe bez wprowadzenia kultury bezpieczeństwa informacji – oznacza to konieczność systematycznego szkolenia użytkowników systemu, a w szczególności zwiększenia odporności użytkowników na ewentualne ataki socjotechniczne. 

Z punktu widzenia instytucji finansowych szczególnie istotne jest utrzymanie ciągłości działania środowiska teleinformatycznego. Konieczna jest zatem bieżąca weryfikacja aktualności dokumentacji systemu, wprowadzenie skutecznego trybu komunikacji z usługodawcami w przypadku wystąpienia sytuacji awaryjnej, tworzenie lokalizacji zapasowych dla systemu oraz zapewnienie fizycznego bezpieczeństwa urządzeń. Należy również stworzyć odpowiednie procedury postępowania w przypadku naruszenia bezpieczeństwa środowiska informatycznego, w tym rejestr incydentów oraz sformalizowane procedury podejmowania środków naprawczych. Zdaniem Dariusza Chmielewskiego, prezesa zarządu firmy Aegis Security, skuteczność mechanizmów kontrolnych w obszarach infrastruktury teleinformatycznej oraz poziom bezpieczeństwa systemu powinien być systematycznie weryfikowany poprzez audyty bezpieczeństwa prowadzone przez zewnętrznych ekspertów. Konfiguracja komponentów infrastruktury teleinformatycznej również powinna podlegać okresowej kontroli pod kątem ujawnianych luk bezpieczeństwa poprzez stosowanie testów penetracyjnych.

Realizując wdrożenie wytycznych KNF trzeba również pamiętać o zapewnieniu ścisłej integracji systemu zarządzania obszarami technologii informacyjnej i bezpieczeństwem środowiska teleinformatycznego z systemem ochrony danych osobowych (wymogi RODO).