Ilość cyberataków na sektor finansowy pomiędzy 2013 r. a 2014 r. wzrosła o ok. 6 proc. Zwiększyła się liczba złośliwego oprogramowania oraz ataków zarówno na instytucje, jak i na użytkowników. Z drugiej strony, dynamika wzrostu zagrożeń w tym obszarze jest niższa niż w sektorze publicznym lub w sprzedaży detalicznej. „Mogłoby się wydawać, że rynek ten traci na znaczeniu. Nie jest to prawdą, cyberprzestępcy wciąż są zainteresowani atakowaniem instytucji finansowych” – stwierdził Lech Lachowicz, ekspert ds. bezpieczeństwa informatycznego w Prospects Incubator.

Organizacje przestępcze wyspecjalizowane w kradzieży informacji i przeprowadzaniu ukierunkowanych cyberataków istnieją od bardzo dawna. Ich celem jest nie tylko szybkie wzbogacenie się, zależy im również na zniszczeniu reputacji przedsiębiorstw. „Od pewnego czasu mamy również do czynienia ze zjawiskiem hacktywizmu. W czasie protestów ACTA w 2011 r. hacktywiści uaktywnili się, co doprowadziło do cyberataków na trzy duże instytucje finansowe: Visa, Mastercard oraz PayPal. Były to bardzo spektakularne ataki, jednakże ich autorom nie zależało na korzyściach materialnych, lecz na rozgłosie i zwróceniu uwagi” – dodał Lachowicz.

Podmioty państwowe także przygotowują się do działań w cyberprzestrzeni. W przypadku zaistnienia konfliktu zbrojnego, mają przygotowane narzędzia, które zablokują wybrane elementy infrastruktury krytycznej, również finansowej. „Bezpieczeństwo przepływu gotówki jest istotnym elementem w sytuacji konfliktu zbrojnego. Polska również pracuje nad obroną tego sektora w cyberprzestrzeni” – zauważył ekspert.

Sektor finansowy w Polsce jest bardzo szczególny pod względem ilości przepisów i regulacji. Dotyczą one zarówno kwestii zarządzania ryzykiem, jak i ochrony aktywów. Jeśli chodzi o bezpieczeństwo teleinformatyczne warto wspomnieć o „Rekomendacji D” opracowanej w 2013 r. przez Komisję Nadzoru Finansowego. Dokument zawiera m.in. wymagania audytowe, wymagania incident management oraz kryteria poufności  „Wytyczne KNF nie są obowiązkowe i nie nakłada się kar za ich nieprzestrzeganie. Duże przedsiębiorstwa stosują się jednak do zaleceń „Rekomendacji”. Poza tym, nie stoi ona w sprzeczności do innych regulacji, m.in. ISO czy PCI DSS (Payment Card Industry Data Security Standard). Całościowo jednak, przepisy cyberbezpieczeństwa w finansach są niewystarczające i zbyt mało rygorystyczne” – podsumował Lachowicz.

„Problem leży u podstaw. W celu zwiększenia efektywności w miejscu pracy używamy smart phone’ów, tabletów, pendrive’ów i innych urządzeń mobilnych. Stwarza to nieprawdopodobną okazję do przeprowadzenia cyberataku” – zauważyła Dominika Stępińska-Duch, partner i adwokat w Kancelarii Raczowski Paruch.  „Natomiast jeśli chodzi o przepisy prawa bankowego, regulacje i dyrektywy, Polska nie stoi w tyle za innymi państwami europejskimi, wręcz przeciwnie. Należy jednak zacząć od świadomości użytkowników” – dodała Stępińska-Duch.

Atak na sektor finansowy z reguły przynosi wymierne korzyści przestępcy, a dotkliwe straty dla instytucji. Poziom zabezpieczeń w finansach musi więc być odpowiednio wyższy niż w pozostałych sektorach „Powinniśmy pamiętać o tym, że bezpieczeństwo to nie tylko technologia. Ważne jest przede wszystkim wdrażanie procesów, które zapewniają monitorowanie infrastruktury informatycznej, reakcję na incydenty, kontrolę, aktualizację i modyfikację zabezpieczeń” – zauważył Adam Gałach, prezes zarządu i ekspert Galach Consulting.  „Warto również dodać, iż bezpieczeństwo sektora finansowego nie zależy tylko poziomu zabezpieczeń w instytucjach. Istotne jest stosowanie się do zasad bezpieczeństwa przez klienta” – dodał Gałach.

Problematyka cyberbezpieczeństwa w sektorze finansowym podejmowana jest również przez Unię Europejską. Efektem prac nad bezpieczeństwem teleinformatycznym jest m.in. dyrektywa NIS (Network and Information Security directive). „Komisja Europejska zamierza wprowadzić bardzo konkretne wskazówki dla przedsiębiorstw z obszaru finansowego. W maju 2015 r. została opublikowana nowa unijna strategia cyfrowa, która w swojej treści także odnosi się do płatności elektronicznych, e-commerce oraz geo-blockingu” – zauważyła Anna Katarzyna-Nietyksza, prezes stowarzyszenia EuroCloud Polska. „W nowej perspektywie finansowej Unii Europejskiej mamy 82 mld EUR do wykorzystania na rozpoznanie zagrożeń teleinformatycznych i przeciwdziałanie im” – dodała Nietyksza.

***

W panelu dyskusyjnym wzięli udział:

Lech Lachowicz – ekspert w dziedzinie bezpieczeństwa IT, Prospects Incubator;

Adam Gałach – ekspert i prezes zarządu firmy Galach Consulting;

Anna Katarzyna Nietyksza – prezes EuroCloud Polska, Członek Europejskiego Komitetu Ekonomiczno-Społecznego, Grupa Agenda Cyfrowa, Transport, Energia, Społeczeństwo Informacyjne;

Dominika Stępińska-Duch – adwokat, Kancelaria Raczkowski Paruch, zastępca przewodniczącego komisji Access to Justice w Radzie Adwokatur i Stowarzyszeń Prawniczych Europy.

Konferencja „Cyberbezpieczeństwo sektora finansowego” jest trzecim wydarzeniem z cyklu konferencji „Cyberbezpieczeństwo Polski”. Wnioski pokonferencyjne będą stanowiły zbiór najważniejszych zadań, które stoją przed polskim ustawodawstwem w obszarze bezpieczeństwa teleinformatycznego. Celem projektu jest również wypracowanie rekomendacji, których treść będzie mogła służyć jako inspiracja dla nowej strategii bezpieczeństwa Unii Europejskiej. Zbiór zadań i rekomendacji zostanie udostępniony
w formie publikacji.

Patronat honorowy nad cyklem konferencji objął Szef Biura Bezpieczeństwa Narodowego oraz Rektor-Komendant Akademii Obrony Narodowej. Partnerem Strategicznym cyklu jest Prospects Incubator.

Cykl spotkań odbywa się w ramach Road to Warsaw Security Forum 2015.

Patronat Honorowy

Partner Strategiczny

Patronat Medialny