Naujienos

Kibernetinis ir duomenų saugumas – svarbiausias prioritetas finansinių paslaugų rinkoje?

Verslui labiau sukant link skaitmeninių verslo modelių, vis daugiau duomenų sugeneruojama ir dalijamasi tarp organizacijų, partnerių ir klientų. Skaitmeninė informacija tapo gyvybiškai svarbi įvairiose verslo ekosistemose ir tuo pačiu itin vertinga kibernetiniams įsilaužėliams. Susiduriama su vis didesniais kibernetinio saugumo iššūkiais. Nuo  kompiuterinių žaidimų iki sveikatos apsaugos ir bilietų užsakymo sistemų, nuo tradicinių bankinių paslaugų iki naujausių finansinių sprendimų, šiuolaikiniai kibernetiniai pavojai kelia vis daugiau iššūkių, kurių sprendimui reikia ne tik aktyvių veiksmų, bet ir naujos kultūros daugelyje organizacijų. Kibernetiniai išpuoliai pasaulio ekonomikai kasmet kainuoja 400 mlrd. €.

2/3 kibernetinių atakų vyksta finansinių paslaugų sektoriuje. Dėl naujų kibernetinių grėsmių nuolat keičiama ir pildoma teisinio reguliavimo praktika, o kasmet finansinių paslaugų sektoriuje sukuriamas duomenų kiekis sparčiai didėja. Reguliuotojų reikalavimai dėl kibernetinio saugumo ir duomenų apsaugos griežtėja, o tai sukelia papildomą administracinę ir atitikties naštą tiek privačiam, tiek viešam sektoriui.  Kibernetinis saugumas – tai ne tik IT problema, bet ir reguliavimo, atitikties kompleksiškumo. Tinkamai neinvestuojant į šią sritį, tai gali tapti rimta reputacijos, mokumo, likvidumo problema.

Virš 2,5 mln. kibernetinių incidentų bankų ir finansų sektoriuje

Vadovaujantis Jungtinės Karalystės nacionaline statistika, per metus užfiksuojama daugiau kaip 2,5 mln. žinomų kibernetinių incidentų bankų ir finansų sektoriuje vien tik šioje šalyje. Kibernetinis saugumas liečia ne tik finansų institucijas plačiąja prasme, bet ir pačius reguliuotojus. Gerai žinomas bandymo įsilaužti į Lenkijos finansų priežiūros institucijos sistemas atvejis, kuomet buvo bandoma įfiltruoti kenkėjišką programą. Arba atvejis, kuomet Šiaurės Korėjoje įsikūrę programišiai įsilaužė į tarptautinės mokėjimų sistemos SWIFT duomenų bazes, didelis kiekis duomenų buvo pavogta iš Bangladešo Centrinio banko.

Naujos kibernetinės grėsmės verčia keisti ir vystyti teisinio reguliavimo praktiką. Paskutiniu metu reguliuotojai tampa vis labiau aktyvesni valdant  kibernetinio saugumo rizikų keliamą pavojų ir siekia šią sritį vis griežtesnėmis taisyklėmis reglamentuoti ir apsaugoti. Negana to, kai kurie reguliuotojai jau įvardija šią riziką kaip „galbūt svarbiausią finansinių paslaugų riziką šiai dienai“ (pavyzdžiui, JAV Federalinio rezervo pirmininkas). Todėl atsparumo kibernetinėms rizikoms didinimas finansinių paslaugų srityje yra vis didesnis prioritetas, o kartu ir galvos skausmas visiems įpareigotiems subjektams. Be to, ne tik pačios organizacijos turi vis labiau rūpintis kibernetiniais pavojais, bet ir vartotojai. Naujos finansinių paslaugų decentralizacijos iniciatyvos, suteikdamos atskiram vartotojui vis daugiau kontrolės taip pat kelia ir  naujų duomenų apsaugos uždavinių.

Finansų rinkos dalyviams kyla daug klausimų, kaip tinkamai pasirengti minimizuoti kibernetines rizikas ir itin kompleksišką ir greitai besikeičiantį reguliavimo srautą? Kokie vidaus dokumentai yra privalomi? Ar reikia turėti „avarinį“ veiksmų planą? Kokia yra geroji praktika ir kokie pirmieji žingsniai, kuriuos reikia atlikti organizacijos viduje?

Informacijos saugumo iššūkiai naujos kartos finansų sistemose. Blockchain technologijos ypatumai

Ar vietoje informacijos saugumo užduočių delegavimo yra įmanomas vartotojų asmeninės atsakomybės prisėmimas? Kompetentingų apklausų ir įvykusių incidentų tyrimo duomenimis IT sistemų vartotojai rimčiausiai rūpinasi IT sistemų prieigos saugumu, kai tiesiogiai supranta galimas prieigos teisių pažeidimo pasekmes. Kitu atveju, esant galimybei priminti pamirštą slaptažodį, atstatyti vartotojo vardą ar kitus prisijungimo prie IT sistemų duomenis, eilinis vartotojas neprivalo užtikrinti didžiausią savo prieigos teisių saugumą, nes trečioji šalis užtikrina centralizuotą prieigos teisių apskaitą, auditą ir valdymą.

Žiūrint iš decentralizuotų (distributed ledger) sistemų perspektyvos, situacija kardinaliai keičiasi. Tokių Blockchain sistemų kaip Bitcoin prieigos teisės yra išskirtinai vartotojo pusėje. Vartotojas, turintis interesą Bitcoin platformoje (turintis Bitcoin žetonų) yra atsakingas už savo privačių raktų, susiteikiančių teisę valdyti tam tikrą Bitcoin resursų dalį, apsaugą. Remiantis tyrimų duomenimis, būtent Bitcoin platforma paskatino visuomenę domėtis kriptografija, kuri iki tol buvo tik siauros akademinio ir karinio pasaulio dalies prerogatyva.

Nesant galimybės atstatyti privačių Bitcoin ar kitos decentralizuotos Blockchain platformos raktų, juos pametus, vartotojui kyla visiškai kitos jų saugumo užtikrinimo užduotis. Pametus privatų tokios platformos raktą, nėra jokios paslaugos, kuri padėtų atstatyti galimybę naudotis platformos resursus. Įvairių vertinimų duomenimis manoma, kad iki 20% visų šiuo metų esančių Bitcoin žetonų yra neapsiekiami, nes jų prieigą užtikrinantys privatūs raktai yra pamesti. Tai reiškia, kad tiek Bitcoin žetonų yra nepasiekiami ir nebus niekada daugiau prieinami. 20% Bitcoin žetonų šiuo metu sudaro 3,6 milijonų Bitcoin žetonų, kurių vertė sudaro 25 milijardus eurų.

Panaši situacija susidaro, kai dėl menko saugumo užtikrinimo vartotojas praranda privačių raktų kontrolę, ir jie yra perimami kitų platformos vartotojų. Tokiu atveju pirminis resursų savininkas netenka jokių teisių į jam anksčiau priklausančius Blockchain platformos resursus. Dėl kol kas neapibrėžto Bitcoin ir kitų kripto valiutų teisinio reguliavimo, vienam vartotojui pasisavinus kito vartotojo privačius raktus, nėra aiškių teisinių priemonių įrodyti tokios veiklos neteisėtumą ir atstatyti pirminį statusą.

Tam, kad vartotojui nereikėtų rūpintis Blockchain resursų saugumu, vartotojas, panašiai kaip ir tradicinėse IT sistemose, gali deleguoti savo privačių raktų saugumą trečiosioms šalims, tokioms kaip kripto valiutų keityklos. Prie tokių keityklų paslaugas teikiančių sistemų prisijungimas vyksta vartotojo vardu ir slaptažodžiu. Vartotojo paskyroje yra matoma elektroninė piniginė su vartotojui priklausančių kripto valiutų sumomis. Tokiu atveju vartotojui nereikia rūpintis savo privačių raktų saugumu, o tiesiog reikia užtikrinti, kad nebus perimtas jo prisijungimo vardas ir slaptažodis bei rekomenduojama įdiegti dviejų žingsnių (two factor) autentifikaciją.

Šis privačių raktų delegavimo būdas taip pat nėra absoliučiai patikimas. Vien tik per pirmuosius šešis 2019 metų mėnesius buvo atakuotos septynios didelės kripto valiutų keityklos, buvo pasisavintos vartotojų lėšos. Tokiu atveju vartotojų nuostolių kompensacijos procesas yra labai ilgas, sudėtingas, o daugeliu atveju ir sunkiai įmanomas procesas. Vienos didžiausių atakų prieš MtGox kripto keityklą pavyzdys rodo, kad vartotojų nuostolių kompensavimas gali tęstis ir daugiau nei aštuonis metus.

Vartotojui, nenorinčiam rūpintis savo privačių raktų saugumu ir norinčiu deleguoti šią užduotį kryptovaliutų keityklai, potencialiai didesnį pasitikėjimą kels licencijuotos, Elektroninių pinigų įstaigos (Electronic Money institution – EMI) licenciją turinčios sistemos. Į EMI licenciją pretenduojanti, kriptovaliutų keityklos paslaugą siūlantį organizacija turi užtikrinti vartotojų lėšų saugumą tiek iš teisinės bei reguliavimo, tiek ir iš techninių pusių. Tokiu atveju EMI licenciją turinti kriptovaliutų keitykla įgauna pranašumą prieš nelicencijuotas paslaugas. Šalia kitų privalumų siūlant ramybę vartotojui dėl sumažėjusios įsilaužimo galimybės, o taip pat efektyvesnio lėšų atgavimo proceso, jei įvyktų nenumatytas atvejis.

Šiuo metu eilė konsultavimo paslaugas teikiančių įmonių jau pradeda siūlyti vieno langelio principo EMI licencijavimo paslaugas su elektroninių pinigų paslaugomis dirbančioms organizacijoms. Tokios paslaugos apima ne tik teisinės dokumentacijos ruošimą, reikalaujamą centrinio banko ir kitų priežiūros institucijų, bet taip pat ir techninių priemonių, užtikrinančių keityklos prieigos apsaugą, vystymo strategijos kūrimą.

Vis labiau didėjant kibernetinių atakų rizikai, visos IT sistemos yra didesnėje ar mažesnėje įsilaužimų rizikoje. Deja daugybė organizacijų vis dar skiria per mažai dėmesio savo sistemų saugumui. Ko reikia, kad ši situacija pasikeistų? Būtina pradėti nuo požiūrio pakeitimo. Jeigu kiekviena IT sistemą administruojanti organizacija vadovautųsi požiūriu ne „AR?“, bet „KADA?“, tai padėtų užtikrinti proaktyvų šių iššūkių sprendimą.

Tarptautiniai reguliavimo standartai ir jų reikšmė

Reguliuotojai visame pasaulyje taip pat susiduria su iššūkiu kaip veikti naujoje ir technologiškai kompleksiškoje aplinkoje. Du pagrindiniai iššūkiai tarptautiniame lygyje – kaip tinkamai kodifikuoti reguliavimo standartus kibernetinio saugumo ir atsparumo srityje, kad tuo pačiu būtų žengiama koja kojon su greita technologijų pažanga ir kibernetinių  rizikų prevencija ir ,antra, ar reguliuotojams reikėtų parengti tarptautiniu lygiu harmonizuotas taisykles finansinių paslaugų rinkos žaidėjams (ypač tiems kurie atlieka reikšmingas, tarpvalstybine bankines operacijas).

Nors bankai pakankamai gerai valdo ir nuolat tobulina savo gebėjimus tvarkytis su kibernetinėmis grėsmėmis (brandi rinka, daugiau gali investuoti į prevenciją ir t.t.), ir jas nuolat mažina, tarptautiniai reguliuotojai šioje srityje tampa vis aktyvesni ir reikalavimų sąrašas ne tik bankams bet ir kitiems finansinių paslaugų industrijos žaidėjams didėja. Štai Finansinio Stabilumo Valdybos (reguliuotojai iš G20 valstybių, įskaitant ES) 72 proc. narių nurodė, kad jie ketina išleisti naujus reguliavimo standartus ar imtis kitų priežiūros priemonių.  Šiuo metu FSB yra išleidusi 56 reglamentus arba standartus (geroji praktika), susijusius su tarptautiniais kibernetinio saugumo reikalavimais ir 35 „gerosias praktikos“ gaires. Reguliavimas fokusuojamas į tris sritis: kibernetinių rizikų identifikavimas, valdymas ir atsparumas.

Situacija regioniniu ir nacionaliniu lygiu

Lietuvos bankas taip pat skiria ypač daug dėmesio kibernetinės rizikos valdymui – periodiškai rengia kibernetinės rizikos bandymus ir konsultuoja finansinių paslaugų rinkos dalyvius, kaip pasirengti šioms grėsmėms ir su jomis kovoti. Lietuvos finansinių paslaugų rinkos žaidėjai turėtų kreipti ypatingą dėmesį į  ECB pozicijas ir ypač euro zonos reguliavimą (Bendrą Priežiūros Mechanizmą). ES pagrindinės reguliavimo iniciatyvos atspindėtos direktyvoje dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje ES užtikrinti (perkeliant direktyvos reikalavimus į nacionalinę teisę, priimta nauja Lietuvos Respublikos kibernetinio saugumo įstatymo redakcija, keičiami įgyvendinantys teisės aktai); EBA informacinių ir ryšių technologijų gairėse (operacinės rizikos įvertinimas galintis turėti poveikį antros pakopos kapitalo (angl. pillar 2) reikalavimams); EBA finansų institucijų valdymo gairėse (aprašo IT ir užsakomųjų paslaugų rizikas bei verslo tęstinumo planavimą), aktualių nuostatų yra ir Bendrame asmens duomenų apsaugos reglamente (pavyzdžiui, numato pažeidimo atveju pareigą pranešti ir su tuo susijusius reikalavimus ir baudas už neatitikimą).

Taip pat ECB, kaip priežiūros institucija, vis dažniau atkreipia dėmesį dėl tinkamo informacijos teikimo priežiūros institucijai reikalavimų. ECB ėmėsi ir kitų priemonių šioms rizikoms sumažinti. Paminėtinos kelio iš jų. Būtini pranešimai apie nenumatytus įvykius ir įsilaužimus, kibernetinės rizikos valdymo priemonės įtrauktos tiek į reguliaraus inspektavimo, tiek ir nereguliaraus inspektavimo metodologijas, IT ir kibernetinės rizikos ir atsparumas vertinamas kredito įstaigų ir FinTech žaidėjų licencijavimo etape ir t.t. 2016 m. gegužės mėn. ES priėmė pirmąsias istorijoje ES masto kibernetinio saugumo taisykles, 2019 m. balandžio 9 d. ES priėmė reglamentą, vadinamą Kibernetinio saugumo aktu, kuriuo sukuriama ES masto sertifikavimo sistemų sistema, įsteigiama ES kibernetinio saugumo agentūra, kuri modernizuos ir perims veiklą iš dabartinės Europos Sąjungos tinklų ir informacijos apsaugos agentūros.

Pirmi žingsniai, kaip minimizuoti kibernetines rizikas ir reaguoti į reguliavimo pokyčius

Visų pirma reikia turėti tris efektyviai veikiančias gynybos linijas pačioje organizacijoje – vidaus kontrolė, prieigos kanalai, stebėsena. Patartina kiek galima anksčiau įsitraukti į diskusiją su priežiūros institucija, turėti organizacijos viduje tam tikrą planavimo strategiją, nenumatytų atvejų planą ir procedūrą, reagavimo įvykus incidentui planą, taip pat apsibrėžti vidaus dokumentuose ir tvarkose atitikties rizikas, atsakomybes ir žinoti tiksliai, kuriuos reikalavimus reikia atitikti artimiausiu metu.

Ne mažiau svarbu gerai žinoti savo IT ūkį, išteklius, kokia programinė įranga naudojama kokioje aplinkoje, tinkamai inventorizuoti duomenų šaltinius. Kitas žingsnis – vidinis rizikos vertinimas, kiek tai susiję su kibernetinėmis grėsmėmis ir rizikos matricos sudarymas. Galiausiai, reikia investuoti į žmones ir ugdyti jų kompleksiškus įgūdžius: reikia suprasti tiek teisės aktų reikalavimus, tiek technologinius aspektus, pavyzdžiui vyriausiasis technologijų pareigūnas ir jo vaidmuo yra pasikeitęs, šiuo metu jo funkcijos praktikoje daugiau orientuotos į strategavimą, patarimų davimą,  nei vien tik technologinį išmanymą.

Valdymo organai,  vyresnieji pareigūnai, vidaus audito funkciją atliekantiems darbuotojai atsakingi už kibernetines ir IT rizikas taip pat turi numatyti ir žinoti apie reguliavimo ir priežiūros institucijų pokyčius. Reikia aiškiai apsibrėžti atsakomybes organizacijos viduje, paskirstyti tinkamai funkcijas, nusistatyti produktų savininkus ir t.t. Galiausiai, ne mažiau svarbu tinkamai vykdyti trečiųjų asmenų kontrolę, pavyzdžiui, verslo partnerių ar užsakomųjų paslaugų pirkimo atveju (angl. outsourcing). Taip pat svarbu įtraukti valdybą (bent vienas atsakingas asmuo) bei nuolat atlikti testavimus ir simuliacijas (kas vyksta atakos atveju, identifikavimo, valdymo, atsparumo tikrinimas).

Geroji praktika

Tiek tarptautinis, tiek regioninis reguliavimas išskiria elementus, kuriuos privalu įgyvendinti finansų rinkos dalyviams: aiškūs saugumo stebėsenos procesai viduje turi būti tinkamai reglamentuoti vidaus aktais ir įpareigoti atsakingus asmenis skubiai informuoti apie naujas grėsmes ir pažeidimų objektą. Turi būti aiškios ir nedviprasmiškos incidentų valdymo procedūros, numatančios, kaip laiku reaguoti į reikšmingus pažeidimus.

Audito funkcija taip pat turėtų apimti kibernetinės rizikos kontrolę, vertinimą, kaip kelių metų veiklos plano sudedamąją dalį,  tai turi būti tinkamai dokumentuota. Svarbu užtikrinti, kad procesų aprašai apimtų ne tik išorinių, bet ir vidinių rizikų kontrolę. BDAR reglamentas ir liūdna duomenų nutekinimo Europoje ir JAV patirtis įpareigoja organizacijas skirtį didžiulį dėmesį vidinių prieigos teisių teisingam ir efektyviam administravimui.

Rekomenduojama dėti daugiau pastangų, kuriant informacines sistemas, kurios galėtų įvertinti ir valdyti pasikeitimus pagrindinėse sistemose. Galimos ir konsoliduotos investicijos, susijusios su kibernetinių rizikų valdymu. Pavyzdžiui, visa bankų industrija galėtų keistis informacija tarpusavyje, įtraukiant ir priežiūros institucijas, tai paskatintų geriau suprasti ir valdyti kibernetines rizikas,  jas iš anksto identifikuoti. Nereikėtų pamiršti ir sisteminio užkrato efekto (pavyzdys galėtų būti “WannaCry” ataka 2017 m., užkrėtusi daugiau nei 200 000 sistemų daugiau nei 150 šalių per mažiau nei dieną. Šis atvejis puikiai atskleidė, kaip greitai kibernetinės atakos gali turėti neigiamą poveikį ir tai, kad vien tik izoliuotų nacionalinių įstatymų ir institucijų nepakanka, ypač finansinių paslaugų sektoriuje. Reikia turėti pajėgumus organizacijos viduje ar išorės ekspertus.

Akivaizdu, kad kibernetinis saugumas yra svarbi reguliavimo darbotvarkės dalis, ir priežiūros institucijos ateityje bus vis mažiau tolerantiškos toms įmonėms, kurios atsilieka nuo atitikties reikalavimų įgyvendinimo ir yra netinkamai pasiruošusios kibernetinių rizikų valdymui. Kibernetinės atakos paprastai išnaudoja “skyles” procesuose ir žmonėse, todėl reikia tinkamai naudotis tiek regioniniais, tiek tarptautiniais reguliavimo standartais, gerąja praktika ir apmokyti personalą. Kibernetinis atsparumas yra taip pat lyderystės ir valdymo problema.

Susijusios naujienos

Po pakartotinės ekspertizės Valstybiniame patentų biure (VPB) buvo įregistruotas Lietuvos jaunimo organizacijų tarybos (LiJOT) jau ne vienerius metus naudojamas grafinis prekių ženklas „Man ne dzin“.

Šiame ginče LiJOT atstovavusi…

Primename, kad įgyvendinant Pinigų plovimo ir teroristų finansavimo prevencijos įstatymo nuostatas nuo šių metų juridiniams asmenims taikoma prievolė Registrų centro posistemyje JANGIS pateikti informaciją apie galutinius naudos…

Gegužės 25 d. buvo minimas 4-asis Bendrojo asmens duomenų apsaugos reglamento (BDAR) gimtadienis. Kaip mums sekasi su juo gyventi? Ar prisitaikė verslas? Ar naudojasi savo teisėmis gyventojai? Kaip atrodome Europos kontekste?

Kviečiame…

Informuojame, kad šioje svetainėje naudojami slapukai (angl. cookies). Sutikdami, paspauskite mygtuką „Sutinku“ arba naršykite toliau. Savo duotą sutikimą bet kada galėsite atšaukti pakeisdami savo interneto naršyklės nustatymus ir ištrindami įrašytus slapukus.