Wirusy w systemach transakcyjnych, wyłudzanie danych dostępowych, zdobywanie poufnych informacji bankowych na masową skalę – z takimi problemami sektor usług finansowych boryka się od dłuższego czasu. W ocenie ekspertów firmy doradczej Deloitte, zyskały one na sile w czasie pandemii w związku z niemal powszechnie przyjętym zdalnym modelem pracy. Do poprawy sytuacji wielu podmiotów operujących na rynkach finansowych może skutecznie przyczynić się tzw. biały wywiad cybernetyczny, czyli Cyber Threat Intelligence.
Według raportu “Reshaping the cybersecurity landscape” Deloitte o stopniu zaangażowania firm sektora finansowego w kontrolę cyberzagrożeń najlepiej świadczy rosnący poziom nakładów na programy bezpieczeństwa cybernetycznego. Jak wynika z badania realizowanego w ciągu ostatnich 3 lat przez zespół Cyber Risk Service Deloitte i Centrum Analizy Wymiany Informacji sektora finansowego (FS-ISAC), respondenci w 2020 r. wydawali na ten cel średnio ok. 10,9 proc. środków z budżetu informatycznego, podczas gdy rok wcześniej było to 10,1 proc., czyli ok. 0,48 proc. średnich przychodów tych instytucji (wzrost z 0,34 proc. w 2019 roku).
Mimo wzrostu wydatków, ich podział między poszczególne obszary walki z zagrożeniami utrzymuje się na zbliżonym poziomie. W 2020 r. doszło do spadków w zakresie bezpieczeństwa punktów końcowych sieci (do 15 proc. z 18 proc. w 2019 r.) oraz z 14 do 11 proc. w przypadku zarządzania prawami dostępu i tożsamością. Jednocześnie respondenci deklarowali zwiększenie odsetka kwot wydatkowanych na monitoring bezpieczeństwa i operacji w cyberprzestrzeni (z 20 do 21 proc.), na nadzór nad procesami cyberbezpieczeństwa oraz na odporność cybernetyczną – w obu przypadkach z 10 do 12 proc.
W warunkach pandemicznych pozafinansowe rodzaje ryzyka, także z zakresu cyberbezpieczeństwa, wymagają od instytucji finansowych większej czujności. Praca zdalna i możliwość, a czasami konieczność, załatwienia wielu spraw na odległość powodują, że rośnie ilość danych udostępnianych w sieci. Coraz więcej instytucji wykorzystuje je w nowych obszarach, np. badając wzorce behawioralne czy tworząc rozwiązania biometryczne. Rozwój innowacyjnych narzędzi stawia przed instytucjami finansowymi całkiem nowe wyzwania w zakresie zarządzania zasobami informatycznymi oraz przechowywania i zabezpieczania danych klientów.
Niezbędne okazuje się kompleksowe wsparcie w obszarze cybernetycznym, obejmujące m.in. przeprowadzanie testów i prewencyjną ocenę systemów bezpieczeństwa. Zadaniem Cyber Threat Intelligence (CTI), czyli białego wywiadu cybernetycznego, jest właśnie wykrycie zagrożeń niezależnie od stopnia ich zaawansowania. CTI przewiduje więc pojawienie się niebezpieczeństw, zanim przerodzą się w rzeczywiste ataki, a gdy do nich dojdzie, stara się uniemożliwić skuteczne włamanie. Jeśli natomiast zabezpieczenia zostaną złamane, działanie CTI ma ograniczać skalę potencjalnych kryzysów. Pozyskane w sposób wywiadowczy informacje pozwalają też zidentyfikować potencjalnych napastników, a możliwe cyberzagrożenia przekładają na konkretne zagrożenia biznesowe. Ta wiedza może posłużyć do odpowiedzialnego zarządzania profilem ryzyka i budowy adekwatnej strategii bezpieczeństwa.
– CTI to wyjście krok do przodu, działanie wyprzedzające reaktywne sposoby zarządzania kwestiami bezpieczeństwa, które podejmowane są w konsekwencji już dokonanego ataku. Skupia się na efektywnym badaniu otoczenia danej instytucji i sprawdzeniu potencjalnych zagrożeń, które jeszcze się nie wydarzyły, a do których może jednak dojść. To doskonała taktyka uzupełniająca, dzięki której organizacja zyskuje więcej czasu na wypracowanie adekwatnych środków zaradczych – mówi cytowany w komunikacie Adam Rafajeński, dyrektor, lider usług cyber w Deloitte.
Do skutecznej kontroli całego przestępczego ekosystemu nie wystarcza samo kupno systemu nadzorującego. Jak pokazują badania Cyber Threat Intelligence Survey przeprowadzone przez SANS, jeszcze kilka lat temu 57 proc. organizacji nie było zadowolonych z tego, co otrzymują w ramach białego wywiadu cybernetycznego, a 28 proc. z aktualności i kompletności tych usług. Co więcej aż 35 proc. instytucji nie miało ich zintegrowanych z systemami monitorowania i detekcji incydentów.
W ramach CTI niezbędne jest stałe monitorowanie, weryfikowanie poszczególnych parametrów i dopasowanie wykorzystywanych narzędzi do potrzeb konkretnej instytucji. Nie są to więc działania wycelowane w ochronę konkretnych urządzeń, ale mają za zadanie z wyprzedzeniem weryfikować kto i jaki potencjalny atak planuje przeprowadzić, kto go finansuje, z jakich metod planuje skorzystać i przede wszystkim, z jakimi konsekwencjami dla danej instytucji może się to wiązać.