Wyzwania stojące przed instytucjami finansowymi w obliczu Rekomendacji D

Już 31 grudnia bieżącego roku wejdzie w życie Rekomendacja D Komisji Nadzoru Finansowego, która dotyczy zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego w bankach. Jest ona następstwem pojawiających się awarii systemów bankowości elektronicznej, które powodują przestój w przeprowadzaniu transakcji przez klientów. Usterki te są wywołane przez cyberprzestępców lub wynikają z niedopilnowania kwestii bezpieczeństwa informatycznego przez instytucje. Wdrożenie w banku lub innej organizacji finansowej zaleceń Rekomendacji D ma na celu zwiększenie bezpieczeństwa w obszarze IT oraz efektywniejsze działanie, a w szczególności kontrolę planów awaryjnych oraz audyt stosowanych rozwiązań i procedur, które niestety w dalszym ciągu są obszarem zaniedbanym przez wiele instytucji.

Rekomendacja D nakazuje bankom przeprowadzenie audytu aktualnego stanu środowiska teleinformatycznego pod kątem luk, a następnie przedstawienie KNF propozycji i harmonogramu działań naprawczych. Czasu jest coraz mniej, ponieważ do końca czerwca audyty te muszą zostać zakończone.

– Główne zalecenia Rekomendacji D dotyczą konieczności zapewnienia przez banki odpowiedniej ochrony środowiska teleinformatycznego przed szkodliwym oprogramowaniem zarówno w przypadku potrzebujących takiej ochrony części infrastruktury teleinformatycznej, jak i komputerów osobistych i pozostałych urządzeń mobilnych. Z kolei aplikacje zabezpieczające przed szkodliwym oprogramowaniem powinny być na bieżąco aktualizowane

– komentuje Artur Paluchowski, Dyrektor Działu Sprzedaży ds. Sektora Finansowego, Bonair SA.

Polityka bezpieczeństwa kluczem do sukcesu

Istotne jest, aby organizacja wdrożyła politykę bezpieczeństwa i konsekwentnie ją realizowała, co pomoże jej podnieść świadomość pracowników w tym zakresie oraz uniknąć problemów związanych z utratą czy wyciekiem danych o klientach. Jest to szczególnie ważne nie tylko w przypadku codziennego przetwarzania tysięcy poufnych informacji o klientach, lecz także w celu ochrony wewnętrznych tajemnic banku dotyczących marży, struktury zatrudnienia i płac, jak również przygotowywania strategii biznesowych czy choćby protokołów z posiedzeń zarządu.

– Kwestia obiegu poufnych danych w organizacjach finansowych musi być jeszcze bardziej podkreślana. Banki bardzo często zdają sobie sprawę z kosztownych konsekwencji przechwycenia poufnych informacji dopiero wtedy, kiedy to nastąpi, i dopiero wówczas wzrasta ich świadomość dotycząca skali tego problemu i pojawia się potrzeba znalezienia natychmiastowego rozwiązania. A wdrożenie odpowiedniej polityki bezpieczeństwa nie jest zadaniem, które da się zrealizować „od ręki”

– mówi Artur Paluchowski.

Innowacyjne rozwiązania w odpowiedzi na Rekomendację D

Aby sprostać wymaganiom Rekomendacji D, instytucje finansowe mogą skorzystać z usług i rozwiązań zewnętrznych dostawców, którzy zapewniają przygotowanie firmy do audytu lub proponują odpowiednie rozwiązania umożliwiające organizacji spełnienie wymagań Rekomendacji D. Przykładowo Bonair SA, dostawca usług i rozwiązań IT, oferuje rozwiązanie firmy Titus, które umożliwia instytucji finansowej klasyfikowanie i wspomaganie systemów zapewniających ochronę poufnych informacji w myśl Rekomendacji nr 19. Aplikacja powstała w oparciu o dwa kluczowe założenia. Pierwsze z nich jest takie, że informacja powinna być klasyfikowana w momencie jej tworzenia przez użytkownika, stąd należy grupować dane według ich ważności, np. publiczne, poufne i tajne. Wówczas przepływ informacji przypisanej do danej kategorii może być kontrolowany przy współpracy z systemami DLP (ang. Data Loss Prevention), a dostęp do niej posiadają tylko osoby uprawnione.

Titus pozwala na klasyfikację dokumentów m.in. z pakietu Microsoft Office,, fragmentów tekstu w pojedynczym dokumencie, wiadomości e-mail czy plików zapisanych na pulpicie komputera, a także na dzielenie się dokumentami na platformie Microsoft SharePoint. Kontroli mogą podlegać także informacje tworzone i przepływające przez urządzenia mobilne.

Z kolei według drugiego założenia banki wydają obecnie znaczne środki na zabezpieczenie informacji przed atakiem z zewnątrz, a tymczasem przeprowadzone badania wyraźnie pokazują, że większym zagrożeniem jest nieumyślne, przypadkowe działanie pracownika. Co z tego, że firma wyda przykładowo 1 mln zł na system, który nie wpuści intruza, a nie zostanie zrobione nic, aby np. asystentka nie wysłała maila z poufnym załącznikiem na przypadkowy adres podpowiedziany przez system pocztowy. Tutaj Titus również znajduje zastosowanie, pozwala bowiem uniknąć takich sytuacji lub nawet całkowicie je wyeliminować. Aplikacja uzupełnia działanie technologii DLP, która automatycznie klasyfikuje informacje na podstawie reguł. Natomiast Titus daje ten przywilej użytkownikowi – to on wie, co stworzył i czy jest to poufne, podczas gdy DLP może tylko zakładać, że skoro plik pochodzi z danego systemu, to zapewne jest tajny i taką właśnie nadaje mu klasyfikację. Titus poprawia więc bezpieczeństwo danych, jednocześnie nie ograniczając dostępu do informacji, co ma czasem miejsce w związku z wykorzystaniem systemu odgórnych polis stosowanych w DLP.

Titus stanowi wsparcie systemowe wdrożenia Rekomendacji D. Zalecamy je przede wszystkim instytucjom finansowym jako ważny element polityki bezpieczeństwa, który nie tylko pozwala zabezpieczyć organizację przed nieumyślnym ujawnieniem czy wyciekiem danych, lecz także podnosi świadomość użytkowników w zakresie bezpiecznej wymiany informacji. Warto również dodać, że aplikacja wspomaga ochronę danych na każdym etapie przetwarzania – od momentu utworzenia pliku, poprzez dystrybucję w firmie, aż po jego archiwizację – niezależnie od fazy procesu nasze dane mogą być chronione i zabezpieczone przed celowym działaniem z zewnątrz i przypadkowym z wewnątrz. Aplikacje firmy Titus oferowane przez Bonair są wykorzystywane w wielu korporacjach na świecie, a także w NATO i organizacjach rządowych w wielu krajach grupy G7 i nie tylko. Titus to bez wątpienia skuteczne narzędzie będące elementem polityki bezpieczeństwa w każdym przedsiębiorstwie

– komentuje Artur Paluchowski.

Wdrożenie i audyt na miarę złota

Większość dużych instytucji finansowych jest przygotowana do wdrożenia Rekomendacji D. Natomiast mniejsze organizacje nadal nie mają pełnej świadomości w zakresie niezbędnych działań, które należy podjąć z tego tytułu, i w ostateczności zrzucają zakres obowiązków na swojego informatyka. Warto jednak pamiętać, że do wdrożenia Rekomendacji D należy przygotować się o wiele wcześniej, odpowiednio rozplanować proces i dokonać analizy sytuacji wyjściowej, co pozwoli na rzetelne wyłapanie luk i dobór odpowiednich rozwiązań. Nie wolno zapominać również o audycie. Aby przejść go pomyślnie, warto rozważyć pomoc ze strony zewnętrznych firm specjalizujących się w tym temacie. Realizacja procesu przy użyciu wewnętrznego działu IT może bowiem skutkować podważeniem wiarygodności zaprezentowanych wniosków z analiz oraz rekomendacji przez Komisję Nadzoru Finansowego.

– Zaletą korzystania z aplikacji Titus jest to, że z punktu widzenia użytkownika końcowego obsługa jest intuicyjna i nie wiąże się z koniecznością dodatkowego szkolenia, a sam proces instalacji tego systemu w przedsiębiorstwie trwa od kilku do maksymalnie kilkunastu dni w przypadku dużych przedsiębiorstw, które zatrudniają wiele tysięcy osób

– podsumowuje Artur Paluchowski.

Instytucje finansowe powinny podjąć działania w trzech kluczowych obszarach związanych z bezpieczeństwem przechowywanych informacji: w kontekście zagrożenia awarią lub utratą danych, w zakresie nadawania i kontroli uprawnień do wrażliwych danych lub aplikacji pracownikom instytucji finansowych, a także w obszarze nielegalnego bądź niepożądanego oprogramowania instalowanego przez użytkowników na stacjach roboczych. Tylko wówczas będą mogły zapewnić odpowiednie bezpieczeństwo teleinformatyczne swojej organizacji.

Autorem jest Artur Paluchowski - Dyrektor Działu Sprzedaży ds. Sektora Finansowego, Bonair SA

DLP expert magazyn
DLP expert 2/2014


Tekst pochodzi z magazynu DLP expert 2/2014 (9)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja