Przez palce. Pięć głównych błędów banków w zakresie cyberbezpieczeństwa

0
84


Fot. Getty Images

W widoku wielu ludzi na bank to niekwestionowany synonim bezpieczeństwa. Ale kilka zasadniczych problemów nie pozwalają bankom zapewnić odpowiedni poziom bezpieczeństwa

Uważa się, że główne zagrożenia dla banków pojawiają się skądś z zewnątrz. Że to sprawka konkurencji, ataki hakerów, przecieki i inne kłopoty, a działy информбезопасности borykają się z nimi codziennie.

O takich historiach często piszą MEDIA, jednak głównym problemem pozostaje poza zasięgiem wzroku. Dziennikarze często piszą o skutku, a nie o przyczynach. Tymczasem poważnych błędów, które w końcu prowadzą do głośnych tytułów, nie jest tak dużo — w sumie jest ich pięć.

1. Rozbieżność w pojęciach

W widoku większości bank — to niekwestionowany synonim bezpieczeństwa. Ludzie są przekonani, że nie ma bezpieczniejszego miejsca do przechowywania pieniędzy i dokumentów. I jest to prawdą, jeśli chodzi o czymś materialnym. Ale nie o tym, że nie chować w sejfie.

Najcenniejsze dziś to informacje. Wraz ze wzrostem wartości informacji w świecie ewoluowały i sposoby jej ochrony. Dziś takie firmy, jak Google czy Facebook, gdzie lepiej chronić dane milionów użytkowników, niż banki. W dużych IT w firmach bezpieczeństwo dosłownie “wbudowany” wewnątrz samych produktów i jest obowiązkowa ich elementem. W tym samym czasie w bankach ochronę danych wciąż starają się zbudować jak niejaki kopuła nad firmą.

W tym tkwi główny błąd instytucji finansowych — są przyzwyczajeni dzielić bezpieczeństwo i IT. Przy takim podejściu ochrona będzie zawsze pozostawać w tyle. Ponadto, jeśli między IT i bezpieczeństwem konflikt, to istnieje duże prawdopodobieństwo, że kierownictwo podejmie stronę z pierwszych, którzy są zainteresowani w możliwie szybkim uruchomieniu produktu i skrócenie time to market. To w większym stopniu zgodne z interesem firmy, niż wymagania bezpieczeństwa informacyjnego. A to oznacza, дедлайны IT, najprawdopodobniej, będą się rozprzestrzeniać i funkcji bezpieczeństwa. I wtedy narzędzia ochrony znacznie tracą na skuteczności, bo integrują się w produkty na zasadzie pozostały.

2. Oficerowie zamiast inżynierów

Zazwyczaj na stanowisko dyrektora ds. bezpieczeństwa banki wolą zatrudniać doświadczonych i wiekowych menedżerów, którzy jednym swoim surowym widokiem wzbudzić zaufanie. Nikogo nie obchodzi, jak taka kierownik będzie szukać wspólnego języka z młodymi twórcami. Choć właśnie z nimi w pakiecie będzie musiał pracować.

Do globalnej digitalizacja osób z psychologią oficera służb specjalnych, idealnie nadawał się do banku, bo on jest głównie odpowiedzialny za fizyczną ochronę papierowych pieniędzy i dokumentów. Ale teraz, kiedy Digital-składnik stał się dla rynku finansowego określa się zmieniły i wymagania dotyczące ochrony danych. I teraz poszukiwaniu dobrego technicznego różne kolor tła — jedno z kluczowych wymagań do dyrektora ds. bezpieczeństwa.

Nie mniej ważne jest również elastyczność i umiejętność prowadzenia dialogu z rozwojem i inżynierów. Menedżer, harmonijnie łącząc w sobie te umiejętności, potrafi radykalnie zmienić podejście do organizacji bezpieczeństwa w firmie i wyprowadzić ją na jeden poziom z technologicznymi gigantami.

3. Niechciane zagrożenia

Strach — to nie tylko jeden z najsilniejszych motywatorów, ale i dobre narzędzie do manipulacji. Zazwyczaj rozmowa pracownika z usługi bezpieczeństwa informacji już sam w sobie jest postrzegana jako powód do niepokoju. Strach przed utratą pracy za naruszenie krajowych przepisów — zjawisko powszechne w firmach. Wtedy wszelkie wymagania безопасников, zazwyczaj wykonywane są bez zbędnych pytań.

Jednak przeznaczenie dyrektora ds. bezpieczeństwa w rzeczywistości nie w tym, aby mocno przestraszyć kolegów i przewodnik, jego rola, gdzie większe. Kompetentny dyrektor IB może zmienić pogląd na temat bezpieczeństwa w banku: od ślepego strachu streszczenie zagrożeń do świadomego dążenia do rozwiązywania konkretnych problemów. Wtedy do całej firmy przyjdzie zrozumienie, że bezpieczeństwo informacji jest integralną częścią współczesnego biznesu, a nie źródło problemów. Kreatywne składnik w pracy dyrektora ds. bezpieczeństwa musi stać się decydujące, wtedy i jego kolegów ochotę zagłębić się w naukę kwestii ochrony danych.

4. “Niebezpieczna” środa

Zakres cyberbezpieczeństwa w Rosji teraz — azyl dla wszystkich, którzy prowadzą biznes w internecie. Mimo, zastraszanie i nie najlepszy mechanizm wpływu na bankierów, ale zdecydowanie najszybszy. Dostawcy usług dla banków wydają ogromne środki na promocję swoich rozwiązań. Korzystnie jest, aby przywódcy doświadczył niezmywalny strach przed tajemniczą i przerażającą dostęp do internetu-przestrzenią. Panikowali i wybrać złe decyzje — to kolejny błąd.

Nie wynika z tego, że na rynku nie brakuje godnych rozwiązań. Wręcz przeciwnie, to właśnie высококонкурентная środa zachęca producentów wykorzystać wszystkie dostępne środki. Dowiedzieć się, jakie zagrożenia są naprawdę warte uwagi, a które po prostu nadęty медиапузырь, nieświadomych człowiekowi wystarczająco ciężko. Umiejętność ignorować medialny szum i znalezienie odpowiednich partnerów za rozsądne pieniądze — jeszcze jedna z kluczowych zadań banku.

5. Gra w dopasowanie

Zakres ochrony informacji, jak i każda inna, jest regulowana i podlega szeregu przepisów. Część banków błędnie uważa, że przestrzeganie ustalonych norm automatycznie gwarantuje im bezpieczeństwo. Niestety, wiele z nich spełniają wymagania norm dla uzyskania formalnej wnioski o zgodności. To, oczywiście, dobry pierwszy krok, ale to nie wystarczy do tego, by twierdzić, że firma naprawdę pracuje nad własnym bezpieczeństwem.

Jest to wspólny problem dla światowego rynku, choć w Rosji sytuacja jest nieco lepiej. Tutaj regulator nadaje się do wypracowania norm kompleksowo. Z naciskiem nie na teorii, a w praktyce zapewnienia bezpieczeństwa kosztem norm. Na przykład, gdy zaproponował zrobić пентесты (testy penetracyjne) części obowiązkowej kontroli.

Wszystko powyższe nie oznacza, że rynek bezpieczeństwa буксует na miejscu. Przemysł rozwija się, i to bardzo szybko. Ale jeśli chcemy zapewnić prawdziwe bezpieczeństwo danych, które przechowujemy i przetwarzamy, to mało spełniać standardy, trzeba być powyżej nich.