Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0 wyzwania_informatyki_bankowej_0
Aleksander P. Czarnowski, AVET Cybersecurity – moda, mit czy rzeczywistość? Pojęcie cybersecurity zagościło na dobre w świadomości zarządów i rad nadzorczych. Czym jednak jest cybersecurity i jaki ma wpływ, zwłaszcza na sektor finansowy? Jakie są trendy w tym obszarze i na ile przewidywania mają szansę się spełnić? Na te i inne pochodne zagadnienia staram się odpowiedzieć w dalszej części tekstu. Jak przejawia się moda na cybersecurity? To, że zapanowała moda na „cybersecurity” najlepiej widać na następującym przykładzie: niektóre organizacje do zgłaszania incydentów oraz komunikacji nt. bezpieczeństwa swoich usług nie używają już adresu security@nazwa-organizacji.com lub incidents@nazwa-organizacji.com, lecz korzystają z konta cybersecurity@. Tak jest na przykład w niektórych spółkach oferujących usługi w chmurze z grupy SAP. Oczywiście zmiana adresu z security@ na cybersecurity@ nie świadczy o niczym innym poza tym, że… marketing zaczął postrzegać kwestie zapewnienia bezpieczeństwa jako istotny element komunikacji z otoczeniem. Jest to niewątpliwie bardzo dobry, pożądany trend – ważne jednak, aby przed działaniami marketingowymi podejmowano rzeczywistą pracę zmierzającą do zapewnienia bezpieczeństwa. Dlaczego pojęcie „cybersecurity” może być szkodliwe? Pojęcie cybersecurity lub cyberbezpieczeństwa zaczęło być powszechnie używane ok. dwóch lat temu. Dziś już poszukuje się specjalistów od cybersecurity 163
z co najmniej 2-, a jeszcze lepiej z 5-letnim doświadczeniem. Przypomina to bardzo sytuację z rynku cloud computing, gdzie w cenie są specjaliści z co najmniej 5-, a najlepiej 10-letnim stażem. W przypadku cloud computing problemem jest fakt, że takich ludzi praktycznie nie ma, ponieważ dekadę temu prawie nikt nie słyszał o chmurze. Nie przeszkadza to jednak działom HR tworzyć takie wymagania. Oczywiście odpowiedź rynku pracy jest przewidywalna: nagle pojawiło się wielu „specjalistów” z wieloletnim doświadczeniem, właśnie rozważających zmianę miejsca zatrudnienia. W wielu przypadkach ci ludzie nie mieli nawet wiele wspólnego z technologiami internetowymi. O ile jednak w przypadku usług cloud computing najgorsze co może się zdarzyć to strata finansowa inwestorów na skutek zatrudnienia niekompetentnych osób, o tyle powielenie tego schematu w obszarze bezpieczeństwa ma dalekosiężne, negatywne skutki. Z drugiej strony niedobrze jest, gdy w procesie rekrutacji odpadają eksperci od bezpieczeństwa, bo nie przykleili sobie łatki „cyber”. Temat braku kompetentnych ludzi w organizacji i właściwej edukacji zostanie poruszony jeszcze dalej. Pojęcie „cybersecurity” może więc sugerować, że wcześniej nikt nie zajmował się bezpieczeństwem infrastruktury sieciowej, bezpieczeństwem aplikacyjnym, ochroną fizyczną, ochroną danych osobowych, polityką bezpieczeństwa, compliance czy zarządzaniem ryzykiem… Można tak jeszcze długo wymieniać, ale od razu widać, że tak nie jest. Przecież – zwłaszcza w sektorze finansowym – od lat zatrudnione są kompetentne osoby odpowiedzialne za powyższe zagadnienia. Od lat stosowane jest stanowisko Chief Information Security Officer (CISO) w średnich i dużych organizacjach. Czym w takim razie powinien zajmować się ekspert od cyberbezpieczeństwa? Czy w dobie Internet of Things czy chmury powinien się zajmować takim zagadnieniem, jak np. bezpieczeństwo fizyczne? W teorii jest to zagadnienie nie bardzo „cyber”. Praktyka okazuje się jednak inna. Załóżmy na chwilę, że „nasz” ekspert będzie dbał o cybersecurity w organizacji pełniącej funkcję Cloud Service Provider (CSP). Organizacja nie posiada jednak własnej infrastruktury IT, lecz sama korzysta z chmury. Skoro żadna infrastruktura IT nie jest własnością organizacji ani nie jest zlokalizowana po jej stronie, łatwo sobie również wyobrazić, że nie potrzeba biur – cała praca może być wykonywana zdalnie. Nie trzeba więc zajmować się nieciekawymi zajęciami, takimi jak wydawanie i odbieranie identyfikatorów z kartą dostępu, organizować ćwiczeń ewakuacji obiektów, zarządzać planami ochrony obiektu, itd. Świetnie, a więc 164 Aleksander P. Czarnowski, AVET
- Page 113 and 114: Klienci indywidualni W kontekście
- Page 115 and 116: espondentów przyznało, że zdarzy
- Page 117 and 118: Cashless i paperless Poland, w obie
- Page 119 and 120: Pomysł islandzki jest jednak wyją
- Page 121: W takim układzie banki zostaną zm
- Page 124 and 125: Piotr Pinchinat-Miernik, Paweł Muc
- Page 126 and 127: Jeszcze na początku lat 90. równi
- Page 128 and 129: System ten pozwala klientom na wyda
- Page 130 and 131: Najnowsze rozwiązanie, czyli wszys
- Page 132 and 133: Korzyści dla wierzycieli • Łatw
- Page 134 and 135: Płatności G2C oraz G2B W przyszł
- Page 136 and 137: Andrzej Kawiński, Giesecke & Devri
- Page 138 and 139: nia jest ograniczona, co ogranicza
- Page 140 and 141: W Polsce Państwowa Wytwórnia Papi
- Page 142 and 143: Europejskie standardy przechowywani
- Page 144 and 145: gotówka (często liczona, paczkowa
- Page 146 and 147: urządzeń zainstalowanych w sortow
- Page 148 and 149: Zagraniczne doświadczenia pokazuj
- Page 150 and 151: Andrzej Gibas, Microsoft, Karol Maz
- Page 152 and 153: • duża zmienność rynków i wra
- Page 154 and 155: Dominujące dzisiaj podejście do a
- Page 156 and 157: procesorów budowanych w oparciu o
- Page 158 and 159: SDC uzyskało oszczędności na poz
- Page 160 and 161: też zostanie przeprowadzony jednor
- Page 163: Aleksander P. Czarnowski Prezes AVE
- Page 167 and 168: Ransomware czyli różne oblicza sz
- Page 169 and 170: system nigdy nie dostarcza pełnego
- Page 171 and 172: Rys 2. Przykład fałszywej wiadomo
- Page 173 and 174: IoT Internet of Things z pewności
- Page 175 and 176: Podatności w SSL/TLS oraz algorytm
- Page 177 and 178: instalacja i konfiguracja serwera S
- Page 179 and 180: w krótkim czasie. Dla niektórych
- Page 181 and 182: Adam Marciniak Dyrektor Pionu Rozwo
- Page 183 and 184: 50 tys. komputerów w tym samym cza
- Page 185 and 186: które łącznie pozwoliły wyprowa
- Page 187 and 188: skutkując izolacją kraju od reszt
- Page 189 and 190: tacji branżowych narodziła się k
- Page 191 and 192: Ciekawym przykładem z ojczyzny Int
- Page 193 and 194: Z inicjatywy Rady Bankowości Elekt
- Page 195: • Opracowanie ogólnobankowej, sp
- Page 198 and 199: Maciej Gawroński, Sławomir Szepie
- Page 200 and 201: • Sprecyzowanie katalogu wyłącz
- Page 202 and 203: • Płatnik (posiadacz rachunku ba
- Page 204 and 205: Zagraniczne podmioty profesjonalnie
- Page 206 and 207: gulacje odnośnie opłat interchang
- Page 208 and 209: nikacji między poszczególnymi pod
z co najmniej 2-, a jeszcze lepiej z 5-letnim doświadczeniem. Przypomina to<br />
bardzo sytuację z rynku cloud computing, gdzie w cenie są specjaliści z co<br />
najmniej 5-, a najlepiej 10-letnim stażem. W przypadku cloud computing problemem<br />
jest fakt, że takich ludzi praktycznie nie ma, ponieważ dekadę temu<br />
prawie nikt nie słyszał o chmurze. Nie przeszkadza to jednak działom HR tworzyć<br />
takie wymagania. Oczywiście odpowiedź rynku pracy jest przewidywalna:<br />
nagle pojawiło się wielu „specjalistów” z wieloletnim doświadczeniem,<br />
właśnie rozważających zmianę miejsca zatrudnienia. W wielu przypadkach ci<br />
ludzie nie mieli nawet wiele wspólnego z technologiami internetowymi. O ile<br />
jednak w przypadku usług cloud computing najgorsze co może się zdarzyć to<br />
strata finansowa inwestorów na skutek zatrudnienia niekompetentnych osób,<br />
o tyle powielenie tego schematu w obszarze bezpieczeństwa ma dalekosiężne,<br />
negatywne skutki. Z drugiej strony niedobrze jest, gdy w procesie rekrutacji<br />
odpadają eksperci od bezpieczeństwa, bo nie przykleili sobie łatki „cyber”. Temat<br />
braku kompetentnych ludzi w organizacji i właściwej edukacji zostanie<br />
poruszony jeszcze dalej.<br />
Pojęcie „cybersecurity” może więc sugerować, że wcześniej nikt nie zajmował<br />
się bezpieczeństwem infrastruktury sieciowej, bezpieczeństwem aplikacyjnym,<br />
ochroną fizyczną, ochroną danych osobowych, polityką bezpieczeństwa,<br />
compliance czy zarządzaniem ryzykiem… Można tak jeszcze długo<br />
wymieniać, ale od razu widać, że tak nie jest. Przecież – zwłaszcza w sektorze<br />
finansowym – od lat zatrudnione są kompetentne osoby odpowiedzialne za<br />
powyższe zagadnienia. Od lat stosowane jest stanowisko Chief Information<br />
Security Officer (CISO) w średnich i dużych organizacjach. Czym w takim<br />
razie powinien zajmować się ekspert od cyberbezpieczeństwa? Czy w dobie<br />
Internet of Things czy chmury powinien się zajmować takim zagadnieniem,<br />
jak np. bezpieczeństwo fizyczne? W teorii jest to zagadnienie nie bardzo<br />
„cyber”. Praktyka okazuje się jednak inna. Załóżmy na chwilę, że „nasz”<br />
ekspert będzie dbał o cybersecurity w organizacji pełniącej funkcję Cloud<br />
Service Provider (CSP). Organizacja nie posiada jednak własnej infrastruktury<br />
IT, lecz sama korzysta z chmury. Skoro żadna infrastruktura IT nie jest<br />
własnością organizacji ani nie jest zlokalizowana po jej stronie, łatwo sobie<br />
również wyobrazić, że nie potrzeba biur – cała praca może być wykonywana<br />
zdalnie. Nie trzeba więc zajmować się nieciekawymi zajęciami, takimi jak wydawanie<br />
i odbieranie identyfikatorów z kartą dostępu, organizować ćwiczeń<br />
ewakuacji obiektów, zarządzać planami ochrony obiektu, itd. Świetnie, a więc<br />
164 Aleksander P. Czarnowski, AVET