Banki pod ostrzałem hakerów

Amerykańskie instytucje finansowe na skutek cyberprzestępczości straciły w ubiegłym roku 23,6 mln dolarów. W porównaniu do 2012 roku był to wzrost o prawie 44 proc. Sektor finansowy jest obecnie numerem jeden na liście celów ataków hakerów. Dodatkowo klienci banków padają ofiarą phishingu 7 razy częściej niż klienci firm z innych branż. Dlatego zdaniem ekspertów firmy doradczej Deloitte sektor finansowy musi zmienić swoje podejście do zagadnienia bezpieczeństwa w sieci na aktywną i dynamiczną walkę z zagrożeniami w cyberprzestrzeni. Globalny raport Deloitte „Transforming cybersecurity. New approaches for an evolving threat landscape" przekonuje, że kluczem do sukcesu jest bezpieczeństwo, czujność oraz odporność.

Jeszcze dwa lata temu sektor usług finansowych znajdował się na trzecim miejscu na liście branż zagrożonych cyberprzestępczością, przegrywając z branżą obronną i energetyczną.

- Instytucje finansowe nie ryzykują jedynie utratą pieniędzy, choć tego obawia się 36 proc. firm. Dużo groźniejsza z punktów widzenia akcjonariuszy oraz niemal 40 proc. samych firm jest utrata reputacji i zaufania klientów. Jednocześnie nasze doświadczenia pokazują, że instytucje bankowe często bywają biernymi ofiarami takich przestępstw – mówi Jakub Bojanowski, Partner w Dziale Zarządzania Ryzykiem Deloitte. - Mimo, że w skali globalnej aż 75 proc. przedstawicieli tego sektora deklaruje, że ich firmy mogą poszczycić się wysokim stopniem bezpieczeństwa w sieci, to tylko 40 proc. z nich było pewnych, że są chronieni przed atakami z zewnątrz – dodaje.

Jak zauważają autorzy raportu Deloitte, sektor usług finansowych jest narażony na ataki cyberprzestępców także przez nowoczesne technologie, bez których nie byłby w stanie obecnie funkcjonować. Najłatwiejszym kanałem dotarcia hakerów są klienci banków, którzy padają ofiarą fałszywego mailingu z marką swojego banku, siedem razy częściej niż w przypadku innych branż.

Tymczasem przestępcy są coraz bardziej profesjonalni i skuteczni. Aż 88 proc. przeprowadzanych ataków osiąga zamierzony cel w czasie krótszym niż jeden dzień. W tym samym czasie tylko jedna piąta firm jest w stanie odkryć taki atak, a zaledwie 40 proc. zniwelować jego szkody. Takiej możliwości nie dają m.in. używane obecnie technologie, mające służyć utrzymaniu bezpieczeństwa w sieci.

- Gdyby chcieć osiągnąć niemal idealny stan ochrony, w każdej firmie trzeba byłoby zwiększyć środki wydawane na ten cel średnio 13 razy do sumy 292,4 mln dolarów. Niestety w dzisiejszym świecie nie należy oczekiwać, że obrona może zapobiec wszystkim incydentom cybernetycznym. Nie zmienia to jednak faktu, że sektor finansowy powinien nadal rozwijać możliwości wykrywania zdarzeń w momencie ich wystąpienia, minimalizując ich wpływ na działalność biznesową i infrastrukturę krytyczną – mówi Cezary Piekarski, Starszy Menedżer w Dziale Zarządzania Ryzykiem w Deloitte.

Eksperci Deloitte przekonują, że skoro inwestycje w samą infrastrukturę prewencyjną nie wystarczą, trzeba zbudować bardziej kompleksowy system walki z cyberprzestępczością. Firmy świadczące usługi finansowe powinny rozważyć budowę cybernetycznych programów zarządzania ryzykiem.

Wczesne wykrycie ataków może ograniczyć lub istotnie zmniejszyć straty. Dlatego systemy monitorowania powinny działać przez 24 h/7. Natomiast procesy dotyczące zarządzania kryzysowego powinny być budowane przy zaangażowaniu wielu działów danej organizacji, w tym biznesowych, IT, komunikacji czy public affairs.

Dostępność informacji o zagrożeniach w czasie rzeczywistym pozwala na ograniczenie występowania naruszeń. Jak wskazują badania Instytutu Ponemon, ankietowani menedżerowie uważają, że 10-minutowe wcześniejsze powiadomienie o zagrożeniu wystarczyłoby, aby mu zapobiec, a jedna minuta wcześniej pozwoliłaby obniżyć koszty naruszenia bezpieczeństwa o 40 proc. Tymczasem aż 60 proc. ankietowanych przyznało, że nie było w stanie zapobiec cyberzagrożeniu z powodu niewystarczającej wiedzy.

Firmy świadczące usługi finansowe powinny uczyć się i wyciągać wnioski z poprzednich naruszeń ich systemów bezpieczeństwa, a także czerpać przykłady z innych branż jak chociażby lotnictwo czy przemysł obronny, które zrobiły ogromny postęp w tym zakresie. Lekcje te pozwalają zrozumieć charakter ataku, przyjętą taktykę przestępców oraz przygotować strategię na wystąpienie kolejnych potencjalnych niebezpieczeństw – mówi Jakub Bojanowski.

Eksperci Deloitte zaproponowali pięć kroków w obszarze cyberbezpieczeństwa, które powinny być wdrożone w każdej instytucji finansowej.

Działania dot. cyberbezpieczeństwa powinny stać się integralną częścią strategii każdej firmy i być wprowadzane na poziomie wykonawczym. W każdej firmie powinien powstać specjalny zespół, który będzie dynamicznie zarządzał obszarem cyberbezpieczeństwa. Wysiłki w obszarze cyberbezpieczeństwa powinny koncentrować się na automatyzacji procesów i analizie, aby móc dobrze zdefiniować ryzyko zewnętrzne i wewnętrzne. Świadomość zagrożeń w sieci może być wzmacniana poprzez odpowiednią edukację wszystkich pracowników. Współpraca w obszarze cyberbezpieczeństwa powinna być budowana także poza firmą (np. z innymi firmami, ośrodkami etc), co pomoże zidentyfikować wspólnych „wrogów".

- Obecny klimat gospodarczy stale napędza firmy świadczące usługi finansowe do tworzenia przewagi konkurencyjnej i zwiększenia rentowności. Dzieje się to także poprzez szybkie wykorzystanie nowych technologii i metod biznesowych. To z kolei może powodować powstawanie luk w zabezpieczeniach, które bezlitośnie wykorzystują hakerzy. Naszym zdaniem podczas nasilenia ataków bardziej elastyczny model cyberbezpieczeństwa może zaowocować znacznym zniwelowaniem ryzyka cybernetycznego. To podejście na nowo pozwoli obrócić cyfrową rewolucję na korzyść instytucji finansowych – podsumowuje Cezary Piekarski z Deloitte.

Banki

Pozostało 88% artykułu