Sektor finansowy przygotowany na zagrożenia IT lepiej niż 2 lata temu

Wspólne ćwiczenia pięciu polskich banków i dwóch instytucji ubezpieczeniowych udowodniły, że w obliczu cyberzagrożeń poszczególne organizacje są w stanie szybko wdrożyć i efektywnie koordynować wewnętrzne działania z zakresu ochrony środowisk IT. Problemem okazuje się jednak ograniczona skala wymiany informacji na temat zaistniałych zagrożeń. Takie wnioski płyną z podsumowania ubiegłorocznych ćwiczeń „Cyber-EXE™ Polska” przygotowanego przez ekspertów Deloitte.

Scenariusz przeprowadzonych w październiku 2015 roku ćwiczeń „Cyber-EXE™ Polska” uwzględniał, zdaniem organizatorów, najbardziej istotne dla sektora finansowego typy cyberataków. Pozorowane zagrożenia były wymierzone zarówno w same instytucje finansowe, jak i w ich klientów. Z oficjalnego podsumowania wynika, że główny atak przewidywał dokonanie nieautoryzowanej zmiany w kodzie aplikacji odpowiadającej za logikę jednej z funkcji biznesowych. Atakujący oczekiwał okupu w zamian za jej przywrócenie. Druga faza ćwiczeń opierała się natomiast na ataku typu spear phishing. W wyniku działania ukierunkowanego na personel bankowy nastąpić miało zaszyfrowanie znaczącej części stacji roboczych, także komputerów wykorzystywanych przez administratorów. Analizie organizatorów podlegały kompleksowe działania podejmowane przez banki we wszystkich obszarach ich działalności – od operacji IT, przez działania biznesowe, po PR i komunikację z innymi instytucjami oraz regulatorami.

„Zagrożenia z cyberprzestrzeni nie są dla sektora finansowego nowością. Od wielu lat branża ta jest liderem we wprowadzaniu w życie nowoczesnych rozwiązań technologicznych. Doświadczenie to, także z rzeczywistych incydentów, pozwoliło bankom i firmom ubezpieczeniowym na wypracowanie szeregu procedur oraz technicznych systemów zabezpieczeń. Jak pokazała tegoroczna edycja Cyber-EXE Polska potrafią one z nich skutecznie korzystać” – mówi Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń. Jego zdaniem reakcji na cyberatak istotną rolę odgrywa doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie, a także zdolność do koordynacji działań wielu komórek organizacyjnych.

Według ekspertów Deloitte zeszłoroczne ćwiczenia udowodniły, że sektor bankowy i ubezpieczeniowy wzmocnił procedury z zakresu bezpieczeństwa IT. „Widać było większą świadomość uczestników ćwiczenia, a podejmowane działania były bardziej skoordynowane. Przede wszystkim informacja odnośnie możliwości wystąpienia ataku została w szybkim czasie przekazana wewnątrz instytucji do wszystkich komórek, które powinny zostać zaangażowane w zarządzanie incydentem” – podkreśla Jakub Bojanowski, Partner Działu Zarządzania Ryzykiem w Deloitte. Instytucje uczestniczące w ćwiczeniach szybko rozpoczęły też działania informacyjne – wewnątrz i na zewnątrz organizacji. Eksperci podkreślają m.in., że firmy szybko reagowały na komentarze pojawiające się w mediach i na portalach społecznościowych. Co ważne, podczas symulowanego ataku wszystkie biorące udział w ćwiczeniach banki wyłączyły systemy bankowości internetowej. „Dla nas jest to jeden z najciekawszych wniosków, gdyż nie jest oczywiste, czy podobna decyzja zapadłaby, gdyby nie były to symulacje, tylko realny atak na systemy IT” – dodaje Jakub Bojanowski.

Badanie pokazało jednak, że niezbędne jest dopracowanie zasad współpracy pomiędzy bankami, które w ograniczonym stopniu informują się nawzajem o zaistniałych zagrożeniach. Eksperci Deloitte zauważają tymczasem, że w obliczu nasilającej się skali zagrożeń IT same procedury z zakresu bezpieczeństwa IT nie wystarczają, aby zapewnić organizacjom finansowym dostateczne bezpieczeństwo. Niezbędna staje się aktywna komunikacja oraz ścisła współpraca pomiędzy podmiotami narażonymi na szeroko zakrojone działania cyberprzestępców. Ćwiczenia Cyber-EXE Polska 2015 pokazały, że pracy wymagają m.in. procedury w zakresie współpracy pomiędzy bankami oraz wymiany informacji na temat obserwowanych zdarzeń. „Tylko dwie organizacje poinformowały się wzajemnie o zaistniałym ataku, w dodatku poprzez kanały nieformalne. Banki i firmy ubezpieczeniowe powinny określić zasady wymiany informacji. Dotyczy to szczególnie sytuacji związanych z zarządzaniem kryzysowym” – mówi Maciej Pyznar, Szef Wydziału Ochrony Infrastruktury Krytycznej w Rządowym Centrum Bezpieczeństwa.

Ćwiczenia Cyber-EXE są organizowane w Polsce od 2012 roku. Ubiegłoroczne ćwiczenia zostały zorganizowane przez Fundację Bezpieczna Cyberprzestrzeń przy wsparciu Rządowego Centrum Bezpieczeństwa oraz firmy Deloitte. Projekt został zrealizowany pod patronatem Ministerstwa Finansów, KNF i Związku Banków Polskich.