Wytyczne KNF w zakresie bezpieczeństwa IT dla sektora finansowego

Co roku odnotowujemy zwiększenie ilości ataków cyberprzestępców na infrastrukturę zarówno instytucji państwowych, jak i biznesu. Nie wszystkie organizacje czują potrzebę, aby „zaprosić cybersecurity do stołu”, dlatego mamy wiele ustaw oraz wytycznych, którym muszą sprostać poszczególne podmioty. O RODO i ustawie o ochronie danych osobowych wiedzą już wszyscy – zmora naszych czasów przez którą „nic nie wolno”. Kolejnym ważnym dokumentem jest ustawa o krajowym systemie cyberbezpieczeństwa – oczywiście nie dotyczy ona wszystkich, ponieważ jej głównym założeniem jest bezpieczeństwo infrastruktury krytycznej, zarówno pod kątem proceduralnym, IT jak i ciągłościi działania procesu. Dzisiaj jednak o czymś innym. Dziś chciałabym się skupić na dokumencie, który powinien interesować każdego z nas – zarówno pod kątem biznesowym, jak i prywatnym.

Sektor finansowy, bo o nim tutaj mowa, podlega szeregowi ustaw oraz praw, które mają dbać o ich infrastrukturę oraz bezpieczeństwo naszych finansów. Instytucją, której misją jest „dbałość o stabilne funkcjonowanie i bezpieczny rozwój rynku finansowego” jest Urząd Komisji Nadzoru Finansowego. To właśnie do zadań UKNF należy publikowanie wytycznych, które mają zwiększyć poziom bezpieczeństwa w podległych organizacjach. Jedną z takich wytycznych jest Rekomendacja D opublikowana już w 2013 roku. Sama rekomendacja odzwierciedla wizję KNF dotyczącą bezpiecznego zarządzania technologią informacyjną i bezpieczeństwem środowiska teleinformatycznego dla banków. 

Sam dokument zawiera 22 rekomendacje, które zostały podzielona na poszczególne obszary:

• strategia i organizacja obszarów technologii informatycznej i bezpieczeństwa środowiska teleinformatycznego,
• rozwój środowiska teleinformatycznego, 
• utrzymanie i eksploatacja środowiska teleinformatycznego,
• zarządzanie bezpieczeństwem środowiska teleinformatycznego. 

Należy pamiętać, że wdrożenie wytycznych ma na celu poprawę jakości zarządzania i poziomu bezpieczeństwa IT, a także lepszą kontrolę w tych obszarach. Aby w pełni dostosować się do rekomendacji warto zawsze przeprowadzić audyt bezpieczeństwa. Taki audyt pokaże na czym stoimy i czego w naszej organizacji nam ewentualnie brakuje i co powinniśmy poprawić w pierwszej kolejności. 

Jedną z rekomendacji wydaną przez KNF jest kontrola dostępu: „Bank powinien posiadać sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej” (rekomendacja 11). Do każdego wykorzystywanego systemu powinny mieć dostęp tylko wyznaczone osoby. I tak z reguły jest. Bardzo często spotykamy się, że klienci posiadają AD, więc tylko osoba, która ma login i hasło może się zalogować. Ale czy to jest wystarczające? A co z samym dostępem do sieci? Często zapominamy, że do sieci możemy się dostać poprzez odłączenie np. drukarki czy kamery i podłączenie laptopa. Oczywiście, można powiedzieć, że monitoring na to nie pozwala albo że drukarki nie znajdują się w ogólnodostępnych pomieszczeniach. Pamiętajmy jednak, że mówimy tutaj o bankach i innych instytucjach finansowych, które przyjmują na co dzień od kilkudziesięciu do kilkuset „gości”. Musimy pamiętać, że wśród takich gości może być potencjalny haker, który będzie szukał możliwości dostania się do sieci. A co, jeśli uda mu się dostać i zdobędzie poufne dane? Czy warto ponieść takie ryzyko? 

Zapraszamy do śledzenie naszych artykułów oraz na webinarium 25.03.2021 podczas którego opowiemy w jaki sposób możemy spełnić jedną z rekomendacji KNF.