Cyberprzestępcy szybciej adaptują się do zmian i trendów rynkowych niż przedsiębiorstwa, a co za tym idzie, arsenał zagrożeń się zmienia i ewoluuje. Dlatego w GK KDPW stale śledzimy trendy związane z zagrożeniami dotyczącymi cyberataków, dokonujemy weryfikacji swoich procedur i rozwiązań zapewniających bezpieczeństwo infrastruktury informatycznej.
Jak istotne jest dziś zapewnienie cyberbezpieczeństwa firmy? Jakie nowe wyzwania postawiła sytuacja za wschodnimi granicami Polski dla cyfrowego bezpieczeństwa rodzimych firm i instytucji?
Jak wynika z badań KPMG, w 2021 r. aż 69 proc. organizacji zanotowało przynajmniej jeden cyberincydent, co oznacza wzrost o 5 punktów procentowych w stosunku do roku 2020. Badanie to było przeprowadzone w styczniu 2022 r., a więc jeszcze przed wybuchem wojny w Ukrainie. Z naszych obserwacji, a także własnych doświadczeń wynika, że incydenty związane z cyberatakami przybrały na sile w ostatnich miesiącach. Nie sposób nie łączyć tego z wydarzeniami za naszą wschodnią granicą. Zagrożenia związane z szeroko rozumianymi cyberprzestępstwami są elementem wojny hybrydowej i musimy mieć tego świadomość. Rosnące w ostatnim czasie wydatki związane z zapewnieniem bezpieczeństwa informacji pokazują, że polskie firmy i instytucje traktują ten problem poważnie.
Jakie są dziś najczęstsze konsekwencje braku ochrony przed cyberatakami dla przedsiębiorstwa? Czy polskie firmy i instytucje są świadome i przygotowane na potencjalne ataki?
Konsekwencje ataku cyberprzestępców mogą bardzo utrudnić, a wręcz uniemożliwić działanie podmiotów, które na takie zdarzenia nie są przygotowane. Poza wymiernymi kosztami narażają na szwank także naszą reputację. Z całą pewnością zarówno podmioty prywatne, jak i instytucje publiczne są świadome rosnących zagrożeń związanych z nadużyciami i przestępstwami z obszaru IT. Od kilku lat obserwujemy trend związany z cyfryzacją procesów biznesowych, a pandemia tylko ten proces przyspieszyła. Świadome polskie przedsiębiorstwa, a także instytucje publiczne kładą coraz większy nacisk na rozwój ochrony IT w swoich strukturach. Przekłada się to na powiększanie już istniejących zespołów do spraw bezpieczeństwa lub powstawanie nowych działów. Skalę tego procesu doskonale widać, patrząc na rynek pracy ekspertów od cyberbezpieczeństwa. To obecnie najbardziej poszukiwani specjaliści na rynku pracy. Szacuje się, że w skali globalnej brakuje aż 2 mln pracowników z tego obszaru.
Jakie elementy powinny składać się na dobrą strategię dotyczącą zapewnienia cyberbezpieczeństwa firmy? Co znalazło się w waszych założeniach ?
Spółki Grupy KDPW, czyli Krajowy Depozyt Papierów Wartościowych oraz izba rozliczeniowa KDPW_CCP, są podmiotami istotnymi z punktu widzenia bezpieczeństwa funkcjonowania rynku finansowego w Polsce, a tym samym bezpieczeństwa państwa. Dlatego nasza strategia dotycząca cyberbezpieczeństwa musi odpowiadać na te wyzwanie. Przede wszystkim jest ona wpisana w ogólną strategię działania grupy jako ważny element zapewniający ciągłość i poprawność realizacji kluczowych procesów. W naszym przypadku kluczowa jest właściwa współpraca między pionem odpowiedzialnym za koordynację procesów związanych z zarządzaniem bezpieczeństwem informacji oraz pionem IT wykonującym zadania bezpośrednio związane z eksploatacją i rozwojem systemów informatycznych. Jej cel jest jednak zbieżny z innymi tego typu dokumentami: zapewnienie bezpieczeństwa gromadzenia, przechowywania, przepływu, przetwarzania danych.
Działania w tym zakresie regulują dwa główne dokumenty: „Polityka bezpieczeństwa informacji w Grupie KDPW” i „Procedura zarządzania cyberbezpieczeństwem w Grupie KDPW”, a także inne dokumenty, wynikające bezpośrednio z nich. Z oczywistych względów nie chciałbym zbytnio wchodzić w szczegóły naszych rozwiązań.
Jak wyglądała wasza droga do cyfryzacji?
Polski rynek finansowy, w tym rynek kapitałowy, jest relatywnie młody, dlatego od jego powstania wykorzystywane były nowoczesne rozwiązania technologiczne. Od samego początku swojego istnienia, czyli od 1991 r., opierał się on na zasadzie powszechnej dematerializacji akcji wprowadzanych do obrotu giełdowego. Za proces ten odpowiedzialny był Krajowy Depozyt, który przez pierwsze trzy lata funkcjonował jeszcze w strukturach warszawskiej giełdy. Od kilku lat systematycznie realizujemy strategię rozwoju, w której nacisk kładziemy na dostarczanie rynkowi nowoczesnych usług, opartych na nowoczesnych rozwiązaniach technologicznych. Obsługę podstawowej działalności KDPW oraz KDPW_CCP w obszarze prowadzenia depozytu papierów wartościowych, rozrachunku i rozliczeń transakcji zapewnia system kdpw_stream. Podobnie jak większość rozwiązań IT stosowanych w ramach Grupy KDPW, powstał i jest stale rozwijany siłami własnymi, we współpracy z instytucjami rynku. Własne rozwiązania informatyczne obsługują większość udostępnianych przez GK KDPW usług, w tym: rozliczenia transakcji, zarządzanie ryzykiem, rozrachunek, usługi dla emitentów papierów wartościowych związane z operacjami na papierach wartościowych, wypłatą świadczeń i obsługą walnych zgromadzeń spółek publicznych, repozytorium transakcji EMIR i SFTR, ARM, nadawanie kodów LEI czy system rekompensat. W tej chwili ponad 90 proc. usług świadczonych przez Grupę KDPW realizowanych jest za pomocą systemów informatycznych.
Na jakie przeszkody natrafiali państwo podczas wdrażania własnej strategii cyberbezpieczeństwa?
Bezpieczeństwo informacji w spółkach Grupy KDPW ma kluczowe znaczenie dla utrzymania zgodności naszych działań operacyjnych z właściwymi przepisami prawa oraz regulacjami wewnętrznymi, jak również dla skutecznej realizacji procesów biznesowych. Jest także przejawem dbałości o interesy naszych interesariuszy, a w szczególności uczestników, pozostałych klientów i kontrahentów oraz akcjonariuszy. W kontekście tworzenia strategii i procedur nie mówiłbym o przeszkodach, a raczej o wyzwaniach, jakie stały i stoją nie tylko przed nami, ale i przed wszystkimi podmiotami, które poważnie traktują kwestie związane z cyberbezpieczeństwem. A te, poza kwestiami prawnymi , które nie zawsze nadążają za postępem technologicznym, dotyczą czynnika ludzkiego. Na ten obszar warto zwrócić szczególną uwagę, tworząc, wdrażając i monitorując strategię cyberbezpieczeństwa.
Jeszcze w tym roku wprowadzacie – na wzór banków – dwuskładnikowe uwierzytelnianie do waszych usług. Dlaczego podjęliście taką decyzję?
Tak, zgadza się. Rozwiązanie to weszło w życie 5 listopada br. Głównym celem wprowadzenia nowego sposobu uwierzytelniania dla naszych użytkowników jest oczywiście podniesienie bezpieczeństwa korzystania z portalu usług. Za jego pośrednictwem świadczymy coraz więcej usług, które dostępne są zarówno z poziomu przeglądarki internetowej, jak i urządzeń mobilnych. Nowe rozwiązanie oznacza, że w procesie uwierzytelnienia użytkownik będzie musiał udowodnić, że posiada dostęp do zaufanego i przypisanego mu urządzenia. Urządzeniem zaufanym może być aplikacja mobilna (KDPW Group Authenticator) instalowana na urządzeniu mobilnym z systemem Android lub iOS, lub zaufana przeglądarka internetowa wykorzystywana na komputerze w określonej sieci i określonym adresie IP. Aplikację można pobrać za darmo z autoryzowanych sklepów – Google Play oraz App Store. Zarządzanie listą przypisanych do danego konta dostępowego urządzeń zdefiniowanych jako zaufane jest natomiast możliwe z poziomu zarządzania kontem przy wykorzystaniu specjalnej strony https://identity.kdpw.pl. W ramach tej usługi możliwe jest zarówno usunięcie urządzeń z listy zaufanych, jak również zweryfikowanie wszystkich operacji uwierzytelnienia przeprowadzonych z użyciem danego urządzenia. Sam dostęp do tego zasobu również wymaga użycia wieloskładnikowego uwierzytelnienia.
Jakie kolejne wdrożenia w zakresie cyberbezpieczeństwa przewidujecie w najbliższych latach?
Niestety cyberprzestępcy szybciej adaptują się do zmian i trendów rynkowych niż przedsiębiorstwa, a co za tym idzie, arsenał zagrożeń się zmienia i ewoluuje. Dlatego w GK KDPW stale śledzimy trendy związane z zagrożeniami dotyczącymi cyberataków, dokonujemy weryfikacji swoich procedur i rozwiązań zapewniających bezpieczeństwo infrastruktury informatycznej. Aktywnie współpracujemy także w ramach różnych forów oraz grup roboczych, dzieląc się informacjami o identyfikowanych cyberzagrożeniach oraz wykrywanych incydentach. Wraz ze wzrostem znaczenia technologii rośnie także znaczenie odpowiedniej ochrony w tym obszarze. Przetwarzanie w chmurze, cyfryzacja i robotyzacja procesów, big data, czy wreszcie wykorzystanie mechanizmów sztucznej inteligencji to trendy, które w najbliższym czasie będą kształtować rynek finansowy. W tych obszarach musimy także wzmacniać nasze kompetencje i procedury związane z bezpieczeństwem.