Instytucje finansowe walczą o cyberbezpieczeństwo. Są strategie, rosną budżety

Przeczytaj także: Jak sektor finansowy przygotowuje się na RODO?

To już trzeci raz, gdy Deloitte bierze pod lupę działania, jakie członkowie Centrum Analizy Wymiany Informacji sektora finansowego (FS-ISAC) podejmują w zakresie walki z zagrożeniami cybernetycznymi. Najświeższe badanie, obejmujące okres od od końca 2019 r. do stycznia 2020 r., przygląda się m.in. opracowanym przez instytucje finansowe strategiom cyberbezpieczeństwa, modelom organizacyjnym oraz strukturom budżetów.

Inwestycje w cyberbezpieczeństwo zawsze opłacalne

Jak pisze Deloitte, jednym z kluczowych wyznaczników tego, jak instytucje finansowe podchodzą do kontroli cyberzagrożeń, jest poziom nakładów na programy cyberbezpieczeństwa. Nie jest więc zaskoczeniem, że firmy z roku na rok zwiększają swoje wydatki w tym obszarze.

Uczestnicy naszego badania wskazują, że na cyberbezpieczeństwo przeznaczą w tym roku ok. 10,9 proc. środków z budżetu informatycznego. W 2019 roku kwota takich nakładów wyniosła 10,1 proc. Wydatki związane z zarządzaniem prawami dostępu i tożsamości, monitoringiem bezpieczeństwa i operacji w cyberprzestrzeni oraz bezpieczeństwem punktów końcowych stanowią ponad połowę nakładów – mówi Przemysław Szczygielski, Partner, lider zarządzania ryzykiem oraz doradztwa regulacyjnego dla sektora finansowego, lider sektora finansowego w Deloitte.

Ekspert dodaje, że również w Polsce, w firmach nie tylko z branży finansowej, coraz większą wagę przykłada się do kwestii zabezpieczeń.

Na przestrzeni trzech ostatnich lat zwiększyło się również zainteresowanie tematem cyberbezpieczeństwa wśród kierownictwa najwyższego szczebla instytucji finansowych. Prawie wszyscy respondenci (95 proc.) wskazali, że zarząd coraz bardziej interesuje się ogólną strategią bezpieczeństwa. To duży wzrost w porównaniu do 86 proc. w 2018 r. i 76 proc. w 2019 r.

Dziewięciu na dziesięciu ankietowanych twierdzi, że kadry kierownicze większą uwagę zwracają na przegląd obszarów ryzyka i zagrożeń (wzrost o 16 pp. r/r). W instytucjach finansowych duże zainteresowanie budzą również postępy prac w ramach programów ochrony cybernetycznej – taką odpowiedź wskazało 70 proc. przedstawicieli tej branży. Najmniejszym zainteresowaniem wśród kadry kierowniczej cieszy się przegląd zadań związanych z bezpieczeństwem (25 proc.), chociaż i w tym obszarze zanotowano wzrost w ciągu trzech ostatnich lat (18 proc. w 2018 r. i 14 proc. w 2019 r.).

Cybersecurity ściśle powiązane z IT

Wiele instytucji finansowych wiąże programy bezpieczeństwa cybernetycznego z inicjatywami technologicznymi, aby w ten sposób skutecznie ograniczać pojawiające się zagrożenia cyfrowe.

Znalazło to odzwierciedlenie w sposobach organizacji zarządzania ryzykiem cybernetycznym – ponad połowa respondentów wskazała, że cybersecurity stanowi u nich część pionu informatycznego. Niespełna jedna czwarta badanych instytucji wskazała, że działy IT i cyberbezpieczeństwa są rozdzielone, ale mają wspólne ścieżki raportowania, a 22 proc. deklaruje, że są całkowicie rozdzielone.

Tylko co dziesiąty respondent odpowiedział, że pracownicy odpowiedzialni za kwestie informatyczne i bezpieczeństwa w sieci mają analogiczne obowiązki, jeśli chodzi o działania zapobiegające zagrożeniom. To duży spadek w stosunku do pierwszej edycji badania, kiedy o takim połączeniu mówiło 28 proc. instytucji finansowych.

Dzięki bezpośredniemu powiązaniu cyberbezpieczeństwa z pionem informatycznym, instytucje finansowe potencjalnie są lepiej przygotowane do przeciwdziałania zagrożeniom. Z organizacyjnego punktu widzenia należy jednak wyraźnie rozgraniczyć funkcje technologiczne od stricte związanych z cybersecurity. Jeśli bezpieczeństwo cybernetyczne będzie stanowić domenę działu IT, istnieje ryzyko, że kwestie zapobiegania zagrożeniom nie będą wystarczająco widoczne. Może zatem pojawić się problem osiągania doraźnych celów projektowych takich jak czas i budżet kosztem ich bezpieczeństwa – mówi Adam Rafajeński, Dyrektor Cyber Practice w Deloitte.

Firma doradcza zapytała również przedstawicieli instytucji finansowych, w jaki sposób specjaliści ds. cyberbezpieczeństwa mogą utrzymać swoją niezależność w ramach jednostek informatycznych. Respondenci wskazali główne rozwiązania. Po pierwsze, działy cybersecurity powinny zachować autonomię przy podejmowaniu decyzji dotyczących zarządzania ryzykiem. Po drugie, należy stworzyć powiązania między działalnością firmy i bezpieczeństwem cybernetycznym. Tym samym można odpowiednio dostosowywać programy z zakresu ochrony do planów biznesowych. W instytucjach finansowych równie ważne jest wspomniane już zaangażowanie zarządu w obszarze ryzyka ataków i nadanie temu wysokiego priorytetu.

Nowe technologie od zawsze wyznaczały priorytety w zakresie bezpieczeństwa cybernetycznego. Przez ostatnie trzy lata respondenci z dużych instytucji finansowych konsekwentnie deklarowali chęć inwestowania w chmurę obliczeniową. Znaczna część ankietowanych już umieściła infrastrukturę informatyczną w chmurze i zapowiada migrację podstawowych aplikacji biznesowych.

Wzmożone zainteresowanie usługami cloud computing widoczne jest także w Polsce. Instytucje finansowe, które korzystają z aplikacji w modelu chmurowym, zdecydowanie nie wykorzystują jeszcze pełni potencjału tych rozwiązań. Spodziewamy się, że w przyszłości w rozwoju tej technologii dużą rolę odegrają centra obliczeniowe takie jak Centrum Google Cloud, dzięki którym polskie przedsiębiorstwa będą mogły skorzystać z większej mocy obliczeniowej czy możliwości bezpiecznego przechowywania danych – podsumowuje Przemysław Szczygielski.