Centrum Usług Bankowych Ściślejsza współpraca polskich banków sposobem na zmniejszenie szkodliwości cyberataków - Banking Magazine I Banki Kredyty Pożyczki Ubezpieczenia Oszczędzanie
Home / News / Ściślejsza współpraca polskich banków sposobem na zmniejszenie szkodliwości cyberataków

Ściślejsza współpraca polskich banków sposobem na zmniejszenie szkodliwości cyberataków 0

Ściślejsza współpraca polskich banków sposobem na zmniejszenie szkodliwości cyberataków

Polskie banki nie przeżyły dotychczas skumulowanego, równoczesnego ataku cyberprzestępczego, ale wydarzenia ostatnich miesięcy pokazują, że złośliwe oprogramowania potrafią nieźle dać się we znaki zarówno instytucjom finansowym, jak i jej klientom. Odpowiednie procedury i wyposażenie nie gwarantują dostatecznej ochrony przed zaawansowanym atakiem cybeprzestępczym, dlatego polskie banki powinny zacieśnić poziom współpracy w zakresie wymiany informacji o ewentualnych zagrożeniach oraz sposobach ich odparcia. Nie wystarczy też jedynie teoretyczne podejście do problemu, ale należy podejmować praktyczne ćwiczenia, które pomogą usprawnić obronę przez potencjalnym niebezpieczeństwem.

 

 

Takie wnioski płyną z ćwiczenia „Cyber-EXE Polska 2013”, które dotyczyło ochrony polskiego sektora bankowego przed zagrożeniami z cyberprzestrzeni. Przeprowadziła je Fundacja Bezpieczna Cyberprzestrzeń przy wsparciu Rządowego Centrum Bezpieczeństwa oraz firmy doradczej Deloitte w październiku 2013 roku. Uczestniczyło w nim sześć polskich banków, które musiały odpowiedzieć na dwa symulowane ataki teleinformatyczne. Pierwsze zagrożenie typu DDoS (Distributed Denial of Service) prowadziło do zablokowania dostępu do stron WWW instytucji finansowych, a tym samym uniemożliwienie klientom przeprowadzania operacji bankowych. Istotą drugiego bardziej zaawansowanego ataku typu APT (Advanced Persistant Threat) było pozyskanie wrażliwych dla banków informacji i finansowy szantaż podmiotu. Scenariusze sytuacji zmuszały instytucje finansowe do szybkiej reakcji i wymagały sporego zaangażowania.


 

Ćwiczenie pokazały, że w momencie cyberataku znajomość procedur z nim związanych oraz sytuacji kryzysowej, która jest jego następstwem jest warunkiem koniecznym, aby sprawnie rozwiązać problem. Jednak obowiązkowo musi ona być poparta doświadczeniem pracowników i uczestników zdarzenia, ich kreatywnością, poziomem zaangażowania i zdolnością do koordynowania działań w momencie zagrożenia. Przedstawiciele banków szybko angażowali w sprawę odpowiednie, wewnętrzne jednostki organizacyjne, a także zgłaszali problem do podmiotów typu CERT czy Policja. Ćwiczenie pokazało także, iż polskie banki w sytuacji zagrożenia dla sektora przekazują sobie jedynie podstawowe ostrzeżenia i informacje, a koordynacja wspólnych działań (np. w zakresie przygotowania wspólnego komunikatu prasowego) jest mocno ograniczona. Nie było jednoczesnej komunikacji, a jedynie dwustronna wymiana komunikatów.

Badanie przyniosło szereg rekomendacji, które banki powinny wdrożyć nie tylko we własnym zakresie, ale także dla dobra całego sektora bankowego. Przede wszystkim, w strukturach wewnętrznych banki powinny regularnie szkolić pracowników odpowiedzialnych za reagowanie w sytuacji ataku teleinformatycznego, organizować ćwiczenia mające wzmocnić zdolności obronne instytucji, systematycznie aktualizować wiedzę na temat cyberprzestępczości oraz wyznaczyć osobę, która będzie negocjatorem.

Głównym zaleceniem dla całego sektora bankowego jest nie tylko lepsza współpraca i wymiana informacji, ale także uregulowanie zasad odnośnie m.in. wymiany danych operacyjnych, ich ochrony, udzielania wsparcia w odpieraniu zagrożenia, w tym warunki jego udzielania, role i odpowiedzialność współpracujących. Stworzeiem odpowiednich regulacji powinien zająć się Związek Banków Polskich.

Istotną kwestią wynikającą z ćwiczenia „Cyber-EXE Polska 2013”  jest także czynna i długoterminowa edukacja klientów w zakresie zagrożeń cyberprzestępczych.

 

Sylwia Stwora


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Copyright Sfera Finansów S.A. 

Theme developed by TouchSize - Premium WordPress Themes and Websites