Reklama

Uzyskanie wysokiego i jednolitego poziomu bezpieczeństwa w sieci zarówno w ujęciu międzysektorowym, jak i międzynarodowym jest kluczowym celem Dyrektywy NIS. Oczywiście pytanie, czy jest to w ogóle możliwe jest bardzo zasadne. Na pewno będzie to bardzo dużym wyzwaniem. Kluczowym czynnikiem sukcesu jest zbudowanie zaufania, co jest procesem długotrwałym.

Osobiście mam nadzieję, że Dyrektywa zostanie niedługo zatwierdzona przez Parlament Europejski, ponieważ szybkie działania w tym zakresie są koniecznością. Musimy zdać sobie sprawę, że wdrożenie wymagań Dyrektywy będzie wiązało się z kosztami, ale wobec strat generowanych przez cyberprzestępczość, koszty te są niewspółmierne. Roczne, globalne straty z powodu cyberataków szacowane są dziś na 500 miliardów dolarów. W przypadku wielu krajów są to straty przekraczające 1% PKB.

Wdrożenie wymagań Dyrektywy będzie różnego kalibru wyzwaniem w zależności od branży, a konkretnie jej poziomu dojrzałości w zakresie bezpieczeństwa. W mojej ocenie, branża bankowa jest najlepiej przygotowana do tego zadania.

Michał Kurek

Dyrektywa NIS wytycza dwa główne kierunki działań w zakresie cyberbezpieczeństwa – prewencyjne i reaktywne. W zakresie prewencji definiuje spójne podejście do wdrażania zabezpieczeń, oparte na analizie ryzyka. Natomiast w obszarze reaktywnym nakłada obowiązek stworzenia efektywnej sieci zespołów do reagowania na cyberataki, współpracujących ze sobą w celu zwalczania cyberprzestępczości w relacji krossektorowej oraz międzynarodowej.

Wdrożenie wymagań Dyrektywy będzie różnego kalibru wyzwaniem w zależności od branży, a konkretnie jej poziomu dojrzałości w zakresie bezpieczeństwa. W mojej ocenie, branża bankowa jest najlepiej przygotowana do tego zadania. Dzięki zrealizowanym w ostatnich latach inwestycjom, sektor bankowy na tle innych branż to zupełnie inna liga. Oczywiście bardzo często świeże wdrożenia nie funkcjonują jeszcze w pełni efektywnie. Podczas realizowanych audytów obserwowaliśmy, że inwestycje w infrastrukturę nie były odpowiednio wsparte zmianami organizacyjno-procesowymi. Ale z upływem czasu, sytuacja ulega poprawie.

 

Brak zespołów SOC w znacznym stopniu zwiększa ryzyko udanych ataków hakerskich, które nie zostaną wykryte. Mieliśmy w zeszłym roku głośne medialnie przypadki tego typu ataków na banki.

Michał Kurek

Znacznie więcej jest do zrobienia w obszarze wykrywania incydentów, właściwego reagowania na nie oraz współpracy z innymi podmiotami. Jak pokazuje nasze światowe badanie Global Information Security Survey, jedynie 7% organizacji oceniła tego rodzaju procesy jako dojrzałe, z dobrze opracowanymi zasadami współpracy między departamentami (bezpieczeństwo, IT, PR, prawny) oraz organami ścigania i partnerami zewnętrznymi.

Jak wynika z ankiety przeprowadzonej przez KNF, jedynie 23% banków wdrożyło dedykowane zespoły do monitorowania bezpieczeństwa i reagowania na cyberataki (czyli Security Operation Centers - SOC). Brak zespołów SOC w znacznym stopniu zwiększa ryzyko udanych ataków hakerskich, które nie zostaną wykryte. Mieliśmy w zeszłym roku głośne medialnie przypadki tego typu ataków na banki. Wyniki badania EY wskazują, że dwie trzecie skutecznych cyberataków jest wykrywane przez jednostki biznesowe lub zewnętrzne podmioty, a nie zespoły odpowiedzialne za zapewnienie bezpieczeństwa.

Natomiast bardzo dobrym sygnałem jest powołana w ramach ZBP inicjatywa Bankowego Centrum Cyberbezpieczeństwa. Jest w pełni zgodna z duchem Dyrektywy NIS oraz założeń do strategii cyberbezpieczeństwa Rzeczpospolitej Polski. Jeśli tylko uda się ją skutecznie wdrożyć, pomoże w znacznym stopniu zwiększyć poziom cyberbezpieczeństwa w sektorze bankowym.

Michał Kurek: Dyrektor w Dziale Zarządzania Ryzykiem Informatycznym w firmie EY, gdzie stworzył zespół Advanced Security Center stanowiący centrum kompetencji w zakresie usług związanych z technicznym bezpieczeństwem systemów informatycznych w regionie Europy Centralnej i Południowo-Wschodniej. Realizuje projekty w głównej mierze dla klientów z branży bankowej.

Reklama
Reklama

Komentarze