środa, 22 grudzień 2021 12:57

Phishing największym zagrożeniem dla cyberbezpieczeństwa w instytucjach finansowych

Napisał
Phishing największym zagrożeniem dla cyberbezpieczeństwa w instytucjach finansowych fot. free-images.com/Pixabay

Rozwój technologiczny i rosnąca skala cyberzagrożeń powoduje, że kwestie efektywnej ochrony systemów bankowych i środków klientów nie schodzą z agendy zarządzających firmami sektora finansowego.

Nadal jednak tylko co dziesiąta z nich wprowadziła jednocześnie wszystkie podstawowe narzędzia bezpieczeństwa informatycznego.

Jak wynika z badania Financial Cyber Survey, przygotowanego przez firmę doradczą Deloitte, za największe zagrożenie ankietowani uznają phishing i złośliwe oprogramowanie. Niezbędnym elementem obrony przed cyberatakami, skutecznie poprawiającym odporność organizacji są właściwie wyszkoleni pracownicy oraz strategiczny plan reagowania.

Zagrożenie cybernetyczne stale rośnie - 72 proc. respondentów ocenia, że w ciągu ostatnich dwóch lat jego poziom wzrósł lub znacząco wzrósł. Ponad jedna trzecia uznaje, że do tego wzrostu przyczynił się czas pandemii Covid-19. Zdaniem ekspertów Deloitte w ostatnim czasie zmienił się jednak kształt zagrożeń - dziś chodzi nie tylko i nie zawsze o kradzież pieniędzy czy danych osobowych, ale czasami także o wyrządzenie szkód tylko dla samej szkody.

Głównym sposobem penetracji organizacji sektora finansowego pozostaje phishing i złośliwe oprogramowanie, np. wykorzystujące rozmaite narzędzia socjotechniczne. Za największe zagrożenie uważa je ponad połowa respondentów.

- Nie jest niespodzianką, że phishing jest uważany przez przedsiębiorstwa finansowe za największe zagrożenie dla cyberbezpieczeństwa. Badania pokazują, że 91 proc. udanych ataków kradzieży danych rozpoczęło się od celowanego ataku – poprzez spreparowany email lub spear phishing. Jednocześnie prawie 30 proc. pracowników instytucji statystycznie ulega takim atakom podczas wykonywanych testów phishingowych - mówi Adam Rafajeński, dyrektor, lider usług cyber w Deloitte.

Ekspert podkreśla, że w ciągu miesiąca notuje się powstawanie średnio aż 1,5 mln stron phishingowych. Dla przestępców jest to w dalszym ciągu bardzo skuteczna droga albo do wprowadzenia złośliwego oprogramowania do systemów informatycznych organizacji, albo do bezpośredniego oszustwa i przetransferowania środków z rachunku bankowego niczego niepodejrzewającego konsumenta. To na tym drugim przypadku od wielu lat najczęściej skupiają się aktywności zabezpieczające banków, mające przy tym bardzo ograniczone możliwości monitorowania środowiska pracy klienta.

- Niezależnie od przyjętych rozwiązań systemowych czy technicznych, najważniejszym ogniwem w procesie ochrony przed cyfrowymi zagrożeniami są pracownicy banków. To właściwie przeszkolony i świadomy personel ma na tym polu fundamentalne i elementarne znaczenie. Ponadto, konieczne jest posiadanie zarówno planu strategicznego, jak i planu operacyjnego, w jaki sposób należy bronić się przed niebezpieczeństwami, których aktualnie doświadcza lub w przyszłości może doświadczać organizacja - mówi Rafajeński.

Niemal połowa (47 proc.) badanych wskazuje, że jest w stanie w wysokim stopniu przestrzegać rządowych przepisów w zakresie prywatności IT i cyberbezpieczeństwa (np. RODO, prywatność danych w cyberprzestrzeni, outsourcing), a 41 proc. uważa może to robić w pewnym stopniu. Co istotne, jedna trzecia uznaje, że przestrzeganie tych przepisów jest dla nich trudne, a przeciwnego zdania jest niewiele mniej, bo 29 proc. respondentów. Najwięcej, 37 proc., odpowiadających nie uważa tego ani za trudne, ani za łatwe.

- W takiej sytuacji najlepszym rozwiązaniem jest nie tyle nadążanie za istniejącym prawem, ale stałe wyprzedzanie regulacji. Wprowadzanie innowacyjnych rozwiązań nie tylko daje przewagę w zakresie cyberbezpieczeństwa, ale jest także znacznie mniej kosztowne. Zgodność zaczyna mieć bardzo istotnie znaczenie w kontekście pojawiających się w Polsce coraz bardziej restrykcyjnych regulacji, które wysoko podnoszą stawkę zarówno w zakresie odpowiedzialności zarządu za cyberbezpieczeństwo, jak i ustalają potencjalne kary za utratę danych na poziomie zbliżonym do kar RODO - mówi Przemysław Szczygielski, partner, lider sektora finansowego w Polsce, lider zarządzania ryzykiem oraz doradztwa regulacyjnego w Deloitte.