Temat numeru: Nikt nie będzie mistrzem, ale możemy być w czołówce…

BANK 2015/04

Z Arturem Józefiakiem z firmy Accenture Polska, managerem w dziale IT Strategy, Infrastructure and Security, rozmawiał Sławomir Dolecki.

Z Arturem Józefiakiem z firmy Accenture Polska, managerem w dziale IT Strategy, Infrastructure and Security, rozmawiał Sławomir Dolecki.

Bezpieczeństwo systemów teleinformatycznych w instytucjach finansowych to nieustająca linia frontu, na której ścierają się specjaliści od zabezpieczeń z cybernetycznymi przestępcami. Kto wygrywa?

- Mam nadzieję, że ci w białych kapeluszach, ale w życiu bywa różnie. Kiedy atakujący widzi swoją nieefektywność, to zmienia taktykę, dlatego jest to nieustająca przepychanka. Dużo się mówi i pisze o tym, kiedy przegrywają banki, ale patrząc z zewnątrz, zupełnie nie wiemy, ile razy przegrali przestępcy. Generalnie sam fakt, że bankowość elektroniczna w Polsce ma się dobrze, dowodzi, że w zdecydowanej większości jednak wygrywają banki.

Czy jest to kwestia lepszych narzędzi? Najlepsze systemy ochrony i najnowsze oprogramowanie aktualizowane na bieżąco czyni bank bezpiecznym?

- Narzędzia są bardzo ważne - bez nich nie bylibyśmy w stanie ogarnąć ogromnej ilości zdarzeń dotyczących bezpieczeństwa czy poradzić sobie z obróbką związanych z nimi danych. Słabością narzędzi jest jednak ich statyczność - przestępcy ciągle zmieniają sposób działania, więc może się okazać, że narzędzie, które dzisiaj pomogło, jutro nie będzie już tak skuteczne. Tak bywa na froncie, że przeciwnik szuka słabych stron, a te słabe strony wymagają często nowego sposobu na odparcie ataku. Trzeba się więc ustawicznie dozbrajać.

A jeżeli będzie mnie stać na dozbrajanie się non stop, to zagwarantuję sobie bezpieczeństwo?

- Niestety nie. Odwołam się w tym miejscu do klasyka - Kevin Mitnick w książce Sztuka podstępu wyraźnie wskazał coś, co moim zdaniem wciąż jest powodem wyzwań dla bezpieczeństwa. Atakujący w pierwszym rzędzie wykorzystuje słabość... człowieka. To właśnie człowiek bywa najsłabszym punktem całego systemu ochrony, dlatego wciąż jest atrakcyjnym celem ataku i właśnie z tego względu poruszanie się wyłącznie w warstwie narzędzi jest nieskuteczne. Jednym z pierwszych zadań bezpieczeństwa powinna być analiza organizacji i jej procesów, słowem - ludzi. Pracując nad tymi zagadnieniami, możemy zminimalizować nawet 50 proc. zagrożeń i ryzyk do poziomu akceptowalnego. Technologia pomoże zadbać o resztę.

Ale gdzie są ci ludzie? Dzisiaj wszystko jest oparte na komputerach i oprogramowaniu. Kiedy załatwiam większość spraw w banku, wcale nie muszę mieć kontaktu z jego pracownikami. Nie ma ludzi, są systemy...

- Po pierwsze - przez ludzi jest tworzone oprogramowanie, więc już tu pojawiają się pierwsze słabości. Po drugie - obsługa systemu to też ludzie, którzy są podatni na socjotechniki. A poza tym ludzie realizują wszystkie procesy biznesowe. Tak więc nawet jeżeli system odpowiada za większą część procesu, to jednak w kluczowych punktach decyzję podejmuje człowiek. I wreszcie są klienci. Przestępcy coraz częściej wykorzystują ich niewiedzę i nieświadomość. Można postawić tezę, że w skrajnym przypadku cały sektor bankowy będzie zagrożony niskim poziomem świadomości klientów.

Czyli mimo tak rozwiniętych systemów bezpieczeństwa i kontroli wciąż kluczowym elementem bezpieczeństwa jest świadomy i przeszkolony człowiek?

- Tak było zawsze i tak jest do dzisiaj. Jeśli ktoś mnie pyta o możliwości zabezpieczenia się przed cyberatakiem, to mówię, że sprzęt i oprogramowanie kupić najłatwiej, ale w pierwszej kolejności trzeba zadbać o rzeczy, które pozornie nie są z bezpieczeństwem związane. Już na etapie wstępnej koncepcji rozwiązania informatycznego trzeba zastanawiać się nad ryzkami. Kiedyś, podczas projektu, który prowadziliśmy, nasz partner po stronie banku uznał, że pytania i zagadnienia, jakie stawiamy, wykraczają poza zlecony zakres. Dopiero podczas podsumowania i analizy powiązań pomiędzy procesami dojrzał wiele zależności i uznał ich wagę. Ale to jest dość duży problem dla IT, bo pewne porządki trzeba zrobić poza teleinformatyką, a mówiąc precyzyjnie - w obszarze biznesowym czy w kulturze organizacyjnej. I to jest najtrudniejsze, bo zarządy firm oczekują zwykle prostych rozwiązań z jasno zdefiniowanymi budżetami, terminami realizacji i wynikami.

IT odpowiada po prostu za swoją działkę, nie do nich należy porządkowanie organizacji. Ale co w takiej sytuacji powinien zrobić zarząd?

- Zrozumieć i wykorzystać kilka podstawowych zasad. Każdy bank będzie bezpieczniejszy, jeśli koszty zdobycia wiedzy o zagrożeniach podzieli pomiędzy siebie i swoich sojuszników, czyli całą branżę. Tak się już zresztą dzieje - na przykład Związek Banków Polskich pracuje nad wspólną analizą zagrożeń. Druga rzecz to być cross, co oznacza, że bezpieczeństwo musi wyjść ze swojego pudełka i identyfikować ryzyka najlepiej w tych miejscach organizacji, w których one powstają. Zbyt często dzisiaj bezpieczeństwo jest reaktywne, to znaczy jeśli ktoś przyjdzie z problemem, to go rozwiążą, a przecież powinni być tam, gdzie to ryzyko się rodzi i możliwie wcześnie reagować. Po trzecie - przestańmy myśleć o firmie jak o twierdzy chronionej przez wysokie mury bezpieczeństwa. Skończyły się te czasy. Dzisiaj urzeczywistnia się koncepcja firmy jako otwartego miasta, do którego przyjeżdżają partnerzy biznesowi, współpracownicy, podwykonawcy i firmy outsourcingowe, dlatego w zakresie ryzyka powinniśmy współpracować ze wszystkimi, którzy tworzą ten rozległy system. Bardzo często podczas cyberataków wykorzystywane są niespójności - odmienna interpretacja zasad bezpieczeństwa w poszczególnych działach czy brak znajomości pomiędzy pracownikami tej samej organizacji. Technologia jest absolutnie niezbędna, ale żeby jej wartość była wykorzystana maksymalnie, musimy myśleć kompleksowo, uwzględniając również kwestie pozatechnologiczne. I wreszcie na koniec - organizacja musi się uczyć na własnych błędach. Jeśli dostaje baty od cyberprzestępców i po jakimś czasie znowuplzbiera cięgi z tego samego powodu, to nie jest godna, żeby dalej istnieć na rynku. Patrzę na to jako klient, nie chciałbym mieć konta w banku, do którego przestępcy włamali się w ten sam sposób kilka razy.

A czy istnieje w ogóle możliwość pogodzenia tego wszystkiego? Z jednej strony rynek wymusza konieczność budowania otwartych systemów, ułatwiających życie klientom, z drugiej trzeba maksymalnie zabezpieczyć systemy przed niepowołanym dostępem...

- Odwołam się ponownie do klasyka - jedyną rzeczą pewną jest zmiana. Ta walka wciąż będzie trwała i możemy szukać jedynie nowych i lepszych rozwiązań, wciąż się uczyć i edukować klientów. Stabilności w tym zakresie raczej nigdy nie będzie. A dopóki świat się zmienia, dopóty należy zmieniać podejście do bezpieczeństwa. Ale musimy mieć świadomość, że stuprocentowego bezpieczeństwa nigdy nie osiągniemy i nie ma co się łudzić, nikt nie zostanie mistrzem. Jednak jeśli będziemy przestrzegać podstawowych zasad i patrzeć na zagadnienia związane z bezpieczeństwem znacznie szerzej niż tylko na narzędzia IT, to mamy dużą szansę być w czołówce.

 

Udostępnij artykuł: