Żeby dobrze chronić atrakcyjne dla cyberprzestępców zasoby firmy i klientów, sektor finansowy powinien potraktować priorytetowo kwestie cyberbezpieczeństwa. Na przykład, dzisiaj szczególnie ważne staje się stosowanie stosowanie odpowiednich systemów bezpieczeństwa przed złośliwym oprogramowaniem, które współcześnie dużo zyskują, czerpiąc z technologii AI i opierając się na niej. Jednak również brak zgodności z regulacjami niesie za sobą wysokie ryzyko skutecznego ataku hakerskiego, a tym samym kar finansowych, utraty reputacji i innych negatywnych skutków. Z jakimi zagrożeniami musi się zmagać branża finansowa i czym to się może dla niej skończyć? Jak się chronić? Szczegóły w artykule.
Rola compliance w cyberbezpieczeństwie
Compliance, czyli zgodność z regulacjami i normami, to jeden z filarów, na jakim powinna się wspierać strategia cyberbezpieczeństwa firmy. W każdej branży obowiązują określone regulacje, do których powinno się dostosować przedsiębiorstwo, jeśli chce zminimalizować ryzyko wycieku danych, zapewnić sobie zaufanie inwestorów i uchronić się przed wysokimi karami finansowymi.
Warto wspomnieć chociażby o kwestiach związanych z RODO. Podmiot przetwarzający dane osobowe ma za zadanie wdrożyć odpowiednie środki techniczne oraz organizacyjne, aby zapobiec ryzyku wycieku informacji. Jeżeli podmiot z sektora prywatnego nie zadba o należyty poziom ochrony danych, może otrzymać karę w wysokości nawet 20 mln euro lub 4% rocznego obrotu, a podmiot z sektora publicznego – karę w wysokości do 100 tys. zł.
Inną ważną regulację stanowi ustawa o krajowym systemie cyberbezpieczeństwa. Wspomnieni w niej operatorzy usług kluczowych powinni zadbać o odpowiednie zarządzanie ryzykiem. Niedawno wdrożona dyrektywa NIS 2 znacznie rozszerzyła zakres podmiotów, które muszą spełniać bardzo wyśrubowane normy w zakresie cyberbezpieczeństwa. Kary administracyjne za naruszenie NIS 2 sięgają nawet 10 mln euro lub 2% łącznego rocznego obrotu.
Ale to nie koniec. Na horyzoncie ukazuje się inne, nie mniej wymagające rozporządzenie DORA, które wprost standaryzuje oczekiwania regulatora wobec organizacji operujących w sektorze finansowym.
Największe zagrożenia w 2023 roku
“Łamałem ludzi, nie hasła” – tak pisał znany komputerowy włamywacz Kevin Mitnick. Wielu hakerów nie skupia się na próbach przełamywania zabezpieczeń, ale liczy na to, że użytkownik nieświadomie sam umożliwi ich obejście, na przykład ujawniając login i hasło.
Aż 95% wszystkich incydentów bezpieczeństwa w obszarze IT wynika z błędu ludzkiego. Istnieje szereg sztuczek socjotechnicznych, które potrafią uśpić czujność ofiary, żeby ta nie zauważyła podstępu, zaufała przestępcy i podzieliła się danymi dostępowymi albo wpuściła na swój komputer złośliwe oprogramowanie.
Dane są naprawdę alarmujące. 88% organizacji na całym świecie doświadczyło ataku typu spear phishing. 77% polskich firm stało się w ciągu roku ofiarą ataku ransomware, a 22% z nich poniosło w związku z tym koszty od 2,8 do 5,8 mln złotych. 86% cyberataków wynikało z chęci uzyskania korzyści finansowych, a tylko 10% stanowiło szpiegostwo gospodarcze. Aż 60% małych i średnich przedsiębiorstw upada w czasie od 6 do 12 miesięcy od ataku hakerskiego. Powodem jest zazwyczaj brak efektywnego planu postępowania w przypadku wystąpienia sytuacji kryzysowej.
Praktyka dla sektora finansowego
Żeby zadbać o compliance w branży, a tym samym podnieść poziom bezpieczeństwa, Komisja Nadzoru finansowego przygotowała Rekomendację D. Dokument składa się z 22 rekomendacji i zawiera definicje ponad 200 mechanizmów kontrolnych (według formularza analizy luki KNF). Każda instytucja bankowa ma obowiązek przeprowadzić audyt zgodności z Rekomendacją D.
W 2025 roku ma wejść w życie wspomniane wyżej unijne rozporządzenie DORA poświęcone finansom cyfrowym. Sektor finansowy musi między innymi: wprowadzić zasady zarządzania ryzykiem, wdrożyć polityki i procedury związane z bezpieczeństwem ICT, przeprowadzać regularne testy penetracyjne. Niedostosowanie się do wymogów będzie się wiązać z karami finansowymi w wysokości do 10% rocznego obrotu.
W związku z powyższym branża finansowa powinna zastosować nowoczesne podejście do zarządzania zgodnością regulacyjną w obszarze cyberbezpieczeństwa. Bezpieczeństwo IT nie stanowi obecnie odpowiedzialności działu IT, ale jest potrzebą biznesową. Jak sprawdzić, czy firma działa w zgodności z regulacjami? Warto wykonać stworzony przez Sagenso bezpłatny audyt IT Telescope. W przejrzystym raporcie znajdą się wskazówki, które warto wdrożyć, żeby poprawić stosowane procesy i procedury.
Sagenso realizuje projekt „Opracowanie i walidacja opartego na sztucznej inteligencji systemu do ochrony przed złośliwym oprogramowaniem typu ransomware” POIR.01.01.01-00-0228/22 współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój, realizowany w ramach konkursu Narodowego Centrum Badań i Rozwoju: „Szybka Ścieżka – Innowacje Cyfrowe”.
