Proces bezpieczeństwa oraz zarządzania ryzykiem w sektorze bankowym
Wiedza 3 lutego 2017 Krzysztof Sadecki
Zgodnie z Rekomendacją D banki powinny sprawnie zarządzać ryzykiem oraz je zmniejszać. Ale w przypadku banków najczęściej zmniejszanie ryzyka to tylko prewencja i tzw. gaszenie pożarów, jeśli takie wybuchną. Natomiast skuteczna obronna wymaga również wykrywania oraz reagowania. Te trzy czynniki, czyli zapobieganie, wykrywanie oraz reagowanie są podstawowymi elementami procesu, który definiuje podejście do bezpieczeństwa IT i pozwala skutecznie zmniejszyć ryzyko operacyjne związane z bezpieczeństwem. I to właśnie zmniejszanie ryzyka w organizacjach jest tematem tego artykułu.
Ryzyko i środki zaradcze
Załóżmy, że już udało się zweryfikować ryzyko. Wtedy każda organizacja powinna podjąć środki zaradcze, jakie zostaną wykonane. Zasadniczo z każdym ryzykiem możemy zrobić cztery rzeczy:
- a) zredukować – czyli po prostu podjąć przeciwdziałania
- b) zaakceptować – nie podejmować przeciwdziałań i zaakceptować potencjalne straty
- c) przenieść – np. całość ryzyka przechodzi na firmę ubezpieczeniową
- d) uniknąć – podjąć aktywność, która doprowadzi do powstrzymania ryzyka
Ten artykuł odnosi się bezpośrednio do redukcji ryzyka, a więc zakłada, że środki zaradcze będą realizowane. Jak wspomniano na początku artykułu, redukowanie ryzyka jest bardzo często związane tylko i wyłącznie z podejmowaniem działań prewencyjnych. Oczywiście podejmowanie działań prewencyjnych działałoby idealnie, gdyby idealne były wszystkie środki zaradcze, ale rzeczywistość jest całkowicie inna. Zwykle musimy zakładać najgorszy scenariusz, do którego banki podchodzą bardzo infantylnie i zwykle jeśli już ktoś dostanie się do sieci wewnętrznej, może zrobić naprawdę bardzo dużo. Musimy założyć, że napastnik będzie potrafił ominąć środki zaradcze i musimy odnaleźć sposób, aby wykryć napastnika o ile tak się stanie. Tutaj dochodzi do pełnego przemyślenia strategii obronnych.
Obrona systemów to tak naprawdę sposób myślenia
Aby skutecznie zapobiegać włamaniom i minimalizować ryzyko, musimy koniecznie zmienić nasz sposób myślenia. Musicie zapamiętać jedną zasadniczą rzecz, że złożoność jest największym wrogiem bezpieczeństwa. Zobaczcie sami, że dzisiejsze systemy bezpieczeństwa są bardzo złożone, a i tak uzasadnionym jest założenie, że komuś uda się je obejść. A więc ludzie, którzy zawodowo zajmują się bezpieczeństwem, muszą wdrożyć pewne środki zaradcze na wypadek, gdyby atakującym udało się ominąć środki zapobiegawcze. Tylko ten sposób obrony tak naprawdę działa.
Zobaczcie sami, jak to wygląda z zewnątrz. Otóż kiedy jest realizowane tylko i wyłącznie zapobieganie, atakujący ma tylko i wyłącznie jedną przeszkodę do pokonania. Natomiast w momencie, kiedy jest realizowane zarówno wykrywanie jak i zapobieganie, atakujący musi tak naprawdę ominąć aż dwie przeszkody i jest to dla niego zdecydowanie trudniejsze. Z punktu widzenia osób pracujących w bezpieczeństwie nagle diametralnie wzrasta prawdopodobieństwo złapania atakującego. To jest oczywiście jeden ze sposobów, dzięki któremu można zmniejszyć ryzyko operacyjne.
Nie zapominaj o wykrywaniu
Można powiedzieć, że tak naprawdę wykrywanie jest zwykle pomijane przez banki. To stwierdzenie jest absolutnie prawdziwe. Większość banków dopiero teraz wdraża systemy wykrywania intruzów, a systemy do wykrywania włamań dopiero się uczą. Jednak to wcale nie oznacza, że wykrywanie jest do końca bezużyteczne. Wykrywanie intruzów cały czas może być niezwykle przydatne i zdecydowanie powinno być używane, aby ustalić, czy dzieje się rzeczywiście coś złego. Stwierdzenie „spróbować wykryć” jest tutaj całkowicie prawdziwe. Pomyślcie o instalacji dobrego systemu IDS / IPS. System ten wykrywa większość znanych ataków, ale żaden system IDS / IPS nie potrafi używać tzw, heurystyki koncepcji. Dlatego też nie ma żadnej gwarancji, że uda się wykryć wszystkie ataki. A więc mimo że system detekcji intruzów nie jest doskonały, to już sama realizacja detekcji intruzów jest realizowana, co pozwala drastycznie zmniejszyć ryzyko. Tak więc wdrożenie systemów detekcji intruzów ma bardzo duży sens.
Analogie bezpieczeństwa komputerowego, jakie można spotkać w realnym świecie
Przeanalizujmy kilka przykładów, które występują na co dzień w realnym życiu, aby zrozumieć, dlaczego zapobieganie i wykrywanie to lepsze podejście, niż tylko wykrywanie. Pomyślcie o tym, w jaki sposób działa alarm w Waszym domu lub firmie. Każdy z nas może uznać, że zamki w drzwiach są wystarczającym zabezpieczeniem i że sama profilaktyka wystarczy i że nie trzeba wydawać pieniędzy na nic innego. Rzeczywistość jest jednak całkowicie inna i większość firm oraz większość z nas posiada w domu zainstalowane alarmy. Teraz zastanówcie się, dlaczego jednak wydajemy pieniądze na alarmy. Otóż każdy z nas wie, że intruz może włamać się do budynku, a więc instaluje alarmy, które mają za zadanie wykrywanie obecności intruza. Tak więc zakłada się, że środki profilaktyczne można ominąć. A więc jak widać, tak naprawdę oba środki prewencji stosuje się także w świecie rzeczywistym. Albo prostszy przykład. Dlaczego stosujemy alarmy w samochodach? Ponieważ chcemy wiedzieć, kiedy ktoś włamie się do naszego samochodu.
Nie zapominajcie o reagowaniu
Najważniejszym elementem dla Was jest tak naprawdę uświadomienie sobie, że sam system wykrywania jest bezużyteczny, jeśli nikt nie zareaguje na incydent. Pomyślcie o alarmie w domu, o jakim wspomnieliśmy w poprzedniej części. Samo to, że alarm jest zainstalowany nie pomoże, jeśli nie zareagujemy na jego odgłos. Oczywiście możemy także zareagować i zatrzymać złodzieja. I musimy zwykle zrobić to szybko, a więc nasza reakcja musimy być szybka.
Tak naprawdę, całość wytycznych to jest procesów
W tym artykule tak naprawdę został przedstawiony zarys całego procesu i należy zapamiętać, że profilaktyka musi cały czas być stosowana z wykrywaniem i reagowaniem. Musimy pamiętać, że zapobieganie, wykrywanie oraz reagowanie powinny być stosowane razem i że muszą być stosowane w sposób ciągły. Proces nie może zostać wyłączony, kiedy pracownicy idą do domu. Bezpieczeństwo jest procesem, jaki musi zachować ciągłość i nie ma żadnej innej alternatywy, jeśli chcemy posiadać skuteczną ochronę. Musimy być zawsze w stanie zareagować na incydenty bezpieczeństwa, nawet jeśli telefon budzi nas w środku nocy. Uwierzcie mi, że w przypadku banków i innych organizacji podwyższonego ryzyka, incydent bezpieczeństwa nie może zdarzyć się w nocy i czekać na ósmą lub dziewiątą rano, kiedy łaskawie sobie przyjdziemy do pracy. Jeśli nie będziemy reagować natychmiast, to może się okazać, że atakujący będzie miał na tyle czasu, aby wykraść informacje, jakie nie powinny nigdy ujrzeć światła dziennego. Wykrywanie, zapobieganie i reagowanie tworzy kompletny proces, który pozwala na realizację skutecznej ochrony w każdej firmie.
Podsumowanie artykułu
W tym artykule zostało opisane ryzyko oraz to, że redukowanie ryzyka związanego z bezpieczeństwem nie powinno być związane tylko i wyłącznie z prewencją. Nowoczesne systemy prewencji są ogromnie złożone, a ta złożoność to największy wróg bezpieczeństwa. Dlatego można spokojnie założyć, że systemy prewencji można ominąć. Dlatego powinno być także realizowane wykrywanie atakujących, którzy mogą ominąć systemy prewencji. Oczywiście musimy pamiętać o tym, że zapobieganie i wykrywanie nigdy nie będą idealne, ale możemy skutecznie zmniejszać ryzyko, stosując oba systemy równocześnie, ponieważ wtedy stawiamy przed atakującym aż dwie przeszkody, a nie tylko pojedyncze elementy. Należy pamiętać, że całość profilaktyki jest bezużyteczna, jeśli nie będziemy w stanie odpowiednio zareagować na incydent bezpieczeństwa. Dopiero wszystkie trzy elementy: prewencja, wykrywanie i reagowanie, pozwalają na opracowanie skutecznego podejścia do procesu bezpieczeństwa, jaki jest realizowany w organizacji.
Read it in english version: http://www.businessmantoday.us/the-process-of-s…e-banking-sector/