Wpływ cyfryzacji i pandemii COVID-19 na bezpieczeństwo cybernetyczne w instytucjach finansowych

Główne wnioski z raportu

• Uczestnicy ankiety odnotowali wzrost wydatków na bezpieczeństwo cybernetyczne, przy czym zwiększony udział w tych wydatkach ma dziś zarządzanie prawami dostępu i tożsamością, monitoring bezpieczeństwa i operacji w cyberprzestrzeni oraz bezpieczeństwo punktów końcowych i sieci.
• Respondenci wskazali gwałtowne zmiany w sferze IT i rosnący stopień skomplikowania jako największe wyzwania ostatnich trzech lat w związku bezpieczeństwem cybernetycznym. Aby skuteczniej ograniczać pojawiające się zagrożenia cybernetyczne, trzeba postawić na digitalizację pionu cybernetycznego w ramach szerszego rozwoju obsługi informatycznej. Przyjęcie zasady „security by design”, czyli uwzględnianie wymogów bezpieczeństwa już na etapie koncepcji, może również pomóc instytucjom finansowym w tworzeniu bezpieczniejszych produktów.
• Jak twierdzi większość respondentów z dużych instytucji finansowych objętych badaniem, bezpieczeństwo cybernetyczne często leży w gestii obowiązków działu informatycznego, a dyrektor ds. bezpieczeństwa informacji (CISO) zazwyczaj podlega w hierarchii służbowej dyrektorowi działu IT (CIO) lub dyrektorowi ds. technologii (CTO). Struktura ta odzwierciedla potrzebę ścisłej integracji bezpieczeństwa cybernetycznego i kwestii informatycznych.
• Jednocześnie, instytucje finansowe mogą dążyć do zachowania pewnego poziomu niezależności w sferze bezpieczeństwa cybernetycznego, bo dzięki temu - być może - ograniczenia informatyczne będą w mniejszym stopniu determinować decyzje w sprawach zarządzania ryzykiem. 
• Wśród najważniejszych priorytetów inwestycyjnych związanych z bezpieczeństwem w cyberprzestrzeni respondenci wymieniali nowe technologie, między innymi chmurę obliczeniową, analitykę danych i automatyzację procesów. Jako uzasadnienie dla takich inwestycji wskazywano potrzebę kontroli praw dostępu, technologie ochronne i bezpieczeństwo danych.
• W miarę rozwoju cyfryzacji i wzrostu popularności pracy zdalnej, tracą ostrość podziały na pracowników, klientów, wykonawców i partnerów/dostawców, a wiele tradycyjnych granic w sieci się rozmywa. Projektując i wdrażając mechanizmy kontroli w celu ochrony sieci przed naruszeniem poufności danych i atakami cybernetycznymi, liderzy odpowiedzialni za cyberbezpieczeństwo mogą przyjąć model „zero trust" czyli koncepcję całkowitego braku zaufania.
   

Zwiększenie zabezpieczeń cybernetycznych

Większość instytucji finansowych już od pewnego czasu nieuchronnie zmierza w kierunku coraz większej cyfryzacji procesów. Transakcje przeprowadzane we wszystkich dużych i małych jednostkach z różnych obszarów sektora finansowego podlegają digitalizacji, będącej konsekwencją konieczności zwiększania wydajności oraz rosnących oczekiwań klientów. Tempo adaptacji nowych technologii w firmach świadczących usługi finansowe często zależy od ich gotowości do zmian i sprawności działania.

W ciągu ostatnich kilku miesięcy pandemia zmusiła wiele firm do przyspieszenia procesu cyfryzacji. W związku z zamykaniem biur i ograniczeniami przemieszczania się, wszystko, co można, przeniesiono do świata wirtualnego. W konsekwencji, wiele instytucji musiało otworzyć się na cyfrową transformację działalności operacyjnej, dystrybucji i komunikacji z klientami.

Tak nagła zmiana przysporzyła jednak mnóstwa problemów dyrektorom ds. bezpieczeństwa informacji (CISO) i zespołom ds. bezpieczeństwa cybernetycznego odpowiedzialnym za cyfrową ochronę swoich firm. Z racji tego, że większość osób pracuje zdalnie, hakerzy i cyberprzestępcy mają większe możliwości ataków na przedsiębiorstwa. W kwietniu Nowojorski Departament Usług Finansowych zwrócił uwagę na znaczny wzrost cyberprzestępczości w związku z wybuchem epidemii COVID-19.ⁱ

W tej sytuacji dalsze kroki wydają się oczywiste: należy tak wyposażyć pion cyberbezpieczeństwa, aby nadążał za szybko postępującą transformacją informatyczną i odpowiednio chronić najważniejsze aktywa firmy przed wirtualnymi atakami i zagrożeniami, które pojawiają się teraz częściej. Po raz trzeci z rzędu, zespół ds. usług związanych z ryzykiem cybernetycznym - Cyber Risk Services Deloitte & Touche LLP i Centrum Analizy Wymiany Informacji sektora finansowego (FS-ISAC) zbadali jak członkowie FS-ISAC stawiają czoła wyzwaniom cybernetycznym. (Najnowszą ankietę przeprowadzono w okresie od końca 2019 r. do stycznia 2020 r., a jej wyniki będziemy tu określać jako raport za rok 2020. Co roku przedstawiamy wyniki naszego badania według roku publikacji - więcej informacji na ten temat można znaleźć na dole strony w sekcji– „O badaniu").

Nasze doroczne badanie analizuje, jak instytucje finansowe konstruują swoje programy cyberbezpieczeństwa i jak nimi zarządzają, a także jakie różnorodne decyzje podejmują odnośnie swoich modeli organizacyjnych, struktury budżetu, outsourcingu, priorytetów inwestycyjnych i innych ważnych kwestii.

Wydatki rosną w odpowiedzi na zwiększone zapotrzebowanie

Jednym z najważniejszych wyznaczników działań instytucji finansowych w zakresie kontroli cyberzagrożeń jest poziom nakładów na programy bezpieczeństwa cybernetycznego. Średnie roczne koszty związane z atakami cybernetycznymi są dla wielu organizacji bardzo wysokie.ⁱⁱ Nie jest więc zaskoczeniem, że wydatki na bezpieczeństwo cybernetyczne w badanych instytucjach finansowych wzrosły w porównaniu z rokiem poprzednim (wykres Nr 1).

Respondenci naszego najnowszego badania wydają na cyberbezpieczeństwo średnio ok. 10,9 proc. środków z budżetu informatycznego, podczas gdy w ubiegłym roku kwota takich nakładów odpowiadała wartości 10,1 procenta. Stanowi to ok. 0,48% średnich przychodów, co również oznacza wzrost w porównaniu do 0,34% w 2019 roku. W przeliczeniu na jednego pracownika, w związku z ochroną cybernetyczną firmy ankietowani średnio wydają około 2.700 USD na etat - więcej niż wydatki z roku poprzedniego, które wyniosły ok. 2.300 USD.

Jednocześnie, wydatki na bezpieczeństwo cybernetyczne w poszczególnych sektorach znacznie się zmieniły (wykres nr 2). 

Pomimo wzrostu wydatków, alokacje budżetowe generalnie utrzymują się na tym samym poziomie odkąd prowadzimy nasze badania, czyli od trzech lat. Według wyników ostatniej ankiety, wydatki związane z zarządzaniem prawami dostępu i tożsamością, monitoringiem bezpieczeństwa i operacji w cyberprzestrzeni oraz bezpieczeństwem punktów końcowych i sieci stanowią ponad 50 proc. wszystkich nakładów (wykres 3).

Kolejną przyczyną wzrostu wydatków na bezpieczeństwo cybernetyczne jest zwiększone zainteresowanie tymi kwestiami zarządów i kadr kierowniczych w instytucjach finansowych, które uczestniczyły w naszym badaniu (wykres 4). Firma Deloitte zaobserwowała, że dyrektorzy ds. bezpieczeństwa informacji, którzy dokładnie śledzili sytuację i stale informowali zarząd swojej jednostki o korzyściach, jakie przynoszą inwestycje na rzecz bezpieczeństwa cybernetycznego, zazwyczaj pozyskiwali większe zainteresowanie zarządu.

Dzięki bezpośredniemu powiązaniu bezpieczeństwa cybernetycznego z pionem informatycznym, instytucje finansowe potencjalnie są lepiej przygotowane do przeciwdziałania zagrożeniom. Należy jednak wyraźnie (organizacyjnie) rozgraniczyć funkcje technologiczne od stricte związanych z cybersecurity. Jeśli bezpieczeństwo cybernetyczne będzie stanowić domenę działu IT, istnieje zagrożenie, że kwestie zapobiegania zagrożeniom nie będą wystarczająco widoczne i może zachodzić ryzyko osiągania doraźnych celów projektowych takich jak czas i budżet kosztem ich bezpieczeństwa

Adam Rafajenski, Dyrektor Cyber Practice

Zaangażowanie zarządu nie ograniczało się do obszarów strategicznych czy operacyjnych. Technologie bezpieczeństwa awansowały z dziewiątego miejsca w naszym zeszłorocznym badaniu na siódme w tym roku, co wskazuje, że kadry kierownicze z większą uwagą przyglądają się i próbują zrozumieć techniczne aspekty bezpieczeństwa cybernetycznego. Zarządy są też coraz bardziej zainteresowane zadaniami i obowiązkami związanymi z bezpieczeństwem, co uzasadnia zwiększony nacisk na pojmowanie bezpieczeństwa cybernetycznego jako obszaru odpowiedzialności wszystkich pracowników, a nie tylko dyrektora ds. bezpieczeństwa informacji.

W porównaniu do jednostek, których programy zarządzania ryzykiem związanym z cyberprzestępczością były mniej dojrzałe, jeśli w danej firmie ankietowani oceniali program cyberbezpieczeństwa jako bardziej dojrzały, zazwyczaj przekładało się to na większe zainteresowanie zarządu niemal wszystkimi obszarami cyberbezpieczeństwa. W rezultacie należy stwierdzić, że zaangażowanie kadr kierowniczych ma duże znaczenie.

W dalszej perspektywie, zważywszy na trudne warunki makroekonomiczne wynikające z pandemii COVID-19, wiele firm będzie prawdopodobnie się zastanawiać nad możliwością ograniczenia wszystkich swoich wydatków. Instytucje finansowe powinny jednak zachować szczególną ostrożność dokonując cięć w budżetach przeznaczonych na bezpieczeństwo cybernetyczne. Biorąc pod uwagę wzmożony nacisk na cyfryzację oraz wyzwania związane z nowymi formami pracy, z perspektywy większości firm, zagrożenia w świecie wirtualnym będą coraz poważniejsze.ⁱⁱⁱ 

Kwestie cyfrowe znacząco wpływają na kształt programów cyberbezpieczeństwa w dużych instytucjach finansowych

Nowe technologie mają swój udział we wszystkich dziedzinach działalności instytucji finansowych, ale ich wprowadzanie na wielu różnych obszarach wiąże się ze zwiększonymi zagrożeniami. Nie dziwi zatem, że respondenci uznali gwałtowne zmiany w sferze IT i rosnący stopień skomplikowania za najważniejsze wyzwanie w zakresie kontroli bezpieczeństwa cybernetycznego ostatnich trzech lat (wykres 5), podczas gdy drugim największym wyzwaniem okazała się niedostępność wykwalifikowanych specjalistów w dziedzinie cyberbezpieczeństwa, którzy byliby w stanie zabezpieczyć systemy w szybko zmieniającym się środowisku informatycznym.

Jednocześnie kwestie wzrostu i ekspansji działalności, które według ankietowanych naszego badania w roku 2019 stanowiły istotne wyzwanie, póki co, straciły na znaczeniu, ponieważ w większości przypadków świat biznesu zaczął koncentrować się na działaniach ukierunkowanych na zażeganie skutków pandemii i podniesienie się z kryzysu.

Więcej informacji związanych z tematyką cyberbezpieczeństwa w instytucjach można dowiedzieć się z naszego raportu tutaj.

Wzmożone zainteresowanie usługami cloud computing widoczne jest także w Polsce. Instytucje finansowe wykorzystują aplikacje w modelu chmurowym, zdecydowanie nie wykorzystują jeszcze pełni potencjału tych rozwiązań. Spodziewamy się, że w przyszłości w rozwoju tej technologii dużą rolę odegrają centra obliczeniowe takiej jak Centrum Google Cloud, dzięki którym polskie przedsiębiorstwa będą mogły skorzystać z większej mocy obliczeniowej czy możliwości bezpiecznego przechowywania danych

Przemysław Szczygielski, lider zarządzania ryzykiem oraz doradztwa regulacyjnego dla sektora finansowego Deloitte w Polsce

O badaniu: Wpływ cyfryzacji i pandemii COVID-19 bezpieczeństwo cybernetyczne w instytucjach finansowych

Niniejsza publikacja bazuje na badaniach przeprowadzonych przez ostatnie trzy lata przez Centrum Analizy Wymiany Informacji sektora finansowego (FS-ISAC) wśród członków tej organizacji pełniących funkcję dyrektorów ds. bezpieczeństwa informacji (CISO) lub zajmujących stanowiska równoważne, we współpracy z zespołem ds. usług związanych z ryzykiem cybernetycznym - Cyber Risk Services Deloitte & Touche LLP. Ostatnie z tych badań rozpoczęto pod koniec 2019 roku i zakończono 27 stycznia 2020 roku. Co roku, wyniki badania przedstawiamy według roku publikacji – wyniki za rok 2020 dotyczą ostatniego badania, a poprzedzają je wyniki za rok 2019 i 2018.
W ramach badania przeanalizowano różne aspekty działań instytucji finansowych w zakresie bezpieczeństwa cybernetycznego, w tym sposoby organizacji i zarządzania takimi działaniami, ścieżki raportowania, budżety, zainteresowanie zarządu zadaniami dyrektorów ds. bezpieczeństwa informacji, poziomy wydatków na różnych obszarach cyberbezpieczeństwa.

Raport zawiera analizę odpowiedzi udzielonych przez naszych respondentów w ankietach przeprowadzonych przez trzy kolejne lata. Naszym celem było wskazanie tendencji w zakresie ryzyka cybernetycznego w całej branży.

Cyberbezpieczeństwo

Deloitte oferuje pełen zakres usług, aby wspierać organizacje o złożonej strukturze w procesie ustalenia ich apetytu na ryzyko cybernetyczne, a także przy projektowaniu i wdrażaniu programów Secure.Vigilant.Resilient.™ Deloitte pomaga też klientom w bieżącym zarządzaniu, utrzymaniu i przystosowaniu programów cyberbezpieczeństwa do zmian wynikających z przekształceń środowiska biznesowego, przepisów i zagrożeń.
 

Przypisy: 

ⁱPeter Baldwin, “New York Department of Financial Services issues new guidance regarding COVID-19 cybersecurity risks,” National Law Review 10, no. 176 (2020).
ⁱⁱIman Ghosh, “This is the crippling cost of cybercrime on corporations,” World Economic Forum, 7 listopada 2019 r.
ⁱⁱⁱDeloitte, “COVID-19 executive cyber briefing: Read the latest,” 20 maja 2020 r.