Znaczenie bezpiecze?stwa cybernetycznego w czasie pandemii zdecydowanie wzrasta. Z racji upowszechnienia si? zdalnego trybu pracy, hakerzy stosuj? rzadko dot?d wykorzystywane formy ataków na przedsi?biorstwa. Z badania przeprowadzonego przez firm? doradcz? Deloitte Cyber & Strategic Risk Services CISO i FS-ISAC wynika, ?e wydatki na cybersecurity w instytucjach finansowych ros?y ju? przed pandemi? i w tym roku wynios? prawie 11 proc. bud?etu przeznaczonego na IT. W 56 proc. przedsi?biorstw z sektora finansowego bezpiecze?stwo cybernetyczne stanowi cz??? pionu informatycznego, a zwi?kszone nak?ady w tym obszarze s? wynikiem dynamicznego rozwoju firmowych infrastruktur IT.
Ju? po raz trzeci firma doradcza Deloitte zbada?a, jak cz?onkowie Centrum Analizy Wymiany Informacji sektora finansowego (FS-ISAC) stawiaj? czo?a wyzwaniom cybernetycznym. Najnowsze dane pochodz? z okresu od ko?ca 2019 r. do stycznia 2020 r. W badaniu sprawdzono, jak instytucje finansowe konstruuj? swoje strategie cyberbezpiecze?stwa i jak nimi zarz?dzaj?, a tak?e jakie decyzje podejmuj? w sprawie swoich modeli organizacyjnych, struktury bud?etu, outsourcingu czy priorytetów inwestycyjnych.
Inwestycje w bezpiecze?stwo zawsze op?acalne
Jednym z najwa?niejszych wyznaczników dzia?a? instytucji finansowych w zakresie kontroli cyberzagro?e? jest poziom nak?adów na programy bezpiecze?stwa cybernetycznego. Nie jest wi?c zaskoczeniem, ?e firmy z roku na rok zwi?kszaj? swoje wydatki w tym obszarze. – Uczestnicy naszego badania wskazuj?, ?e na cyberbezpiecze?stwo przeznacz? w tym roku ok. 10,9 proc. ?rodków z bud?etu informatycznego. W 2019 roku kwota takich nak?adów wynios?a 10,1 proc. Wydatki zwi?zane z zarz?dzaniem prawami dost?pu i to?samo?ci, monitoringiem bezpiecze?stwa i operacji w cyberprzestrzeni oraz bezpiecze?stwem punktów ko?cowych stanowi? ponad po?ow? nak?adów – mówi Przemys?aw Szczygielski, Partner, lider zarz?dzania ryzykiem oraz doradztwa regulacyjnego dla sektora finansowego, lider sektora finansowego w Deloitte. Ekspert dodaje, ?e równie? w Polsce, w firmach nie tylko z bran?y finansowej, coraz wi?ksz? wag? przyk?ada si? do kwestii zabezpiecze?.
Na przestrzeni trzech ostatnich lat zwi?kszy?o si? równie? zainteresowanie tematem cybersecurity w?ród kierownictwa najwy?szego szczebla instytucji finansowych. Prawie wszyscy respondenci (95 proc.) wskazali, ?e zarz?d coraz bardziej interesuje si? ogóln? strategi? bezpiecze?stwa. To du?y wzrost w porównaniu do 86 proc. w 2018 r. i 76 proc. w 2019 r. Dziewi?ciu na dziesi?ciu ankietowanych twierdzi, ?e kadry kierownicze wi?ksz? uwag? zwracaj? na przegl?d obszarów ryzyka i zagro?e? (wzrost o 16 pp. r/r). W instytucjach finansowych du?e zainteresowanie budz? równie? post?py prac w ramach programów ochrony cybernetycznej – tak? odpowied? wskaza?o 70 proc. przedstawicieli tej bran?y. Najmniejszym zainteresowaniem w?ród kadry kierowniczej cieszy si? przegl?d zada? zwi?zanych z bezpiecze?stwem (25 proc.), chocia? i w tym obszarze zanotowano wzrost w ci?gu trzech ostatnich lat (18 proc. w 2018 r. i 14 proc. w 2019 r.).
Cybersecurity ?ci?le powi?zane z IT
Wiele instytucji finansowych wi??e programy bezpiecze?stwa cybernetycznego z inicjatywami technologicznymi, aby w ten sposób skutecznie ogranicza? pojawiaj?ce si? zagro?enia cyfrowe. Znalaz?o to odzwierciedlenie w sposobach organizacji zarz?dzania ryzykiem cybernetycznym – ponad po?owa respondentów wskaza?a, ?e cybersecurity stanowi u nich cz??? pionu informatycznego. Niespe?na jedna czwarta badanych instytucji wskaza?a, ?e dzia?y IT i cyberbezpiecze?stwa s? rozdzielone, ale maj? wspólne ?cie?ki raportowania, a 22 proc. deklaruje, ?e s? ca?kowicie rozdzielone. Tylko co dziesi?ty respondent odpowiedzia?, ?e pracownicy odpowiedzialni za kwestie informatyczne i bezpiecze?stwa w sieci maj? analogiczne obowi?zki, je?li chodzi o dzia?ania zapobiegaj?ce zagro?eniom. To du?y spadek w stosunku do pierwszej edycji badania, kiedy o takim po??czeniu mówi?o 28 proc. instytucji finansowych.
– Dzi?ki bezpo?redniemu powi?zaniu bezpiecze?stwa cybernetycznego z pionem informatycznym, instytucje finansowe potencjalnie s? lepiej przygotowane do przeciwdzia?ania zagro?eniom. Z organizacyjnego punktu widzenia nale?y jednak wyra?nie rozgraniczy? funkcje technologiczne od stricte zwi?zanych z cybersecurity. Je?li bezpiecze?stwo cybernetyczne b?dzie stanowi? domen? dzia?u IT, istnieje ryzyko, ?e kwestie zapobiegania zagro?eniom nie b?d? wystarczaj?co widoczne. Mo?e zatem pojawi? si? problem osi?gania dora?nych celów projektowych takich jak czas i bud?et kosztem ich bezpiecze?stwa – mówi Adam Rafaje?ski, Dyrektor Cyber Practice w Deloitte.
Firma doradcza zapyta?a równie? przedstawicieli instytucji finansowych, w jaki sposób specjali?ci ds. cyberbezpiecze?stwa mog? utrzyma? swoj? niezale?no?? w ramach jednostek informatycznych. Respondenci wskazali g?ówne rozwi?zania. Po pierwsze, dzia?y cybersecurity powinny zachowa? autonomi? przy podejmowaniu decyzji dotycz?cych zarz?dzania ryzykiem. Po drugie, nale?y stworzy? powi?zania mi?dzy dzia?alno?ci? firmy i bezpiecze?stwem cybernetycznym. Tym samym mo?na odpowiednio dostosowywa? programy z zakresu ochrony do planów biznesowych. W instytucjach finansowych równie wa?ne jest wspomniane ju? zaanga?owanie zarz?du w obszarze ryzyka ataków i nadanie temu wysokiego priorytetu.
Nowe technologie od zawsze wyznacza?y priorytety w zakresie bezpiecze?stwa cybernetycznego. Przez ostatnie trzy lata respondenci z du?ych instytucji finansowych konsekwentnie deklarowali ch?? inwestowania w chmur? obliczeniow?. Znaczna cz??? ankietowanych ju? umie?ci?a infrastruktur? informatyczn? w chmurze i zapowiada migracj? podstawowych aplikacji biznesowych.
– Wzmo?one zainteresowanie us?ugami cloud computing widoczne jest tak?e w Polsce. Instytucje finansowe, które korzystaj? z aplikacji w modelu chmurowym, zdecydowanie nie wykorzystuj? jeszcze pe?ni potencja?u tych rozwi?za?. Spodziewamy si?, ?e w przysz?o?ci w rozwoju tej technologii du?? rol? odegraj? centra obliczeniowe takie jak Centrum Google Cloud, dzi?ki którym polskie przedsi?biorstwa b?d? mog?y skorzysta? z wi?kszej mocy obliczeniowej czy mo?liwo?ci bezpiecznego przechowywania danych – podsumowuje Przemys?aw Szczygielski.
