Banky a bezpečnostní trendy IT

Bankovnictví představuje odvětví, které je silně závislé na informačních systémech a technologiích. Sledování trendů a nových technologií se stává klíčové nejenom k získávání nových klientů a jejich udržení, ale i zajištění plynulého a bezproblémového fungování jednotlivých procesů v bance. Bezpečnost všeobecně a zejména bezpečnost v informačních technologiích má mezi lidmi značné povědomí, bohužel však řadě z nich chybí základní bezpečnostní znalosti.

Tato situace má samozřejmě významný dopad na samotné bankovní podnikání. Všichni máme v paměti nedávné kauzy zneužití počítačů způsobené nedostatečnou bezpečností nebo alespoň mediálně vysoce atraktivní pokusy hackerů o získání identity klientů internetového bankovnictví.

Zvýšené požadavky na bezpečnost

Změny v organizaci, procesech a kontrolách bankovních institucí vyžadují zvýšené požadavky na bezpečnost. Využívání informačních systémů (IS) a informačních technologií (IT) rozhodně představuje nejen konkurenční výhodu v řízení vztahu se zákazníky, ale i cestu k interním úsporám vyplývajícím z efektivního fungování procesů. Na druhou stranu intenzivní využívání IS/IT je spojeno se zvýšenými nároky na počítačovou bezpečnost. Podstatně se též zvyšují nároky regulátorů na kontrolní prostředí banky. Rovněž nároky na ochranu osobních údajů se významně zvýšily a finanční instituce musí splňovat i podmínky stanovené zákonem o ochraně osobních údajů.

S rostoucím objemem dat a využíváním nových komunikačních kanálů se zvýšila četnost zveřejněných bezpečnostních incidentů. Globální svět a rychle se šířící informace často významně ovlivňují chování investorů a klientů. V kombinaci s tím se problémy v oblasti bezpečnosti posouvají z oblasti podpůrných firemních procesů spíše do oblasti vztahů s veřejností, marketingu a získávání nových klientů, anebo i do plánů na zachování kontinuity provozu v případě větších problémů.

Z celosvětové studie bezpečnosti, kterou prováděla PwC v posledních letech, lze vysledovat několik významných trendů s dopadem na bezpečnost informací a dat ve finančních institucích. Podívejme se na ty nejzajímavější.

Outsourcing a bezpečnost

Využití outsourcingu se stává v globálním světě nezbytné, mají-li si banky zachovat konkurenceschopnost. V oblasti bankovnictví v České republice je outsourcing ovlivněn nejen zákonem o bankách, ale i zákonem na ochranu osobních údajů a dalšími předpisy. Podrobnější podmínky stanovuje Česká národní banka ve svých sděleních a vyhlášce upravující řízení rizik a vnitřní kontrolní prostředí. Pokud chtějí bankovní subjekty outsourcovat některé aktivity, musí připravit detailní analýzu rizik spojených s danou aktivitou, stanovit způsob, jakým budou riziko řídit, monitorovat a eliminovat, což významným způsobem snižuje výsledné úspory.

Pomineme-li lokální problémy, skutečné využívání outsourcingu ve finančních institucích je často limitováno nízkou důvěrou ve schopnost třetích stran zajistit dostatečnou bezpečnost a důvěrnost zpracovávaných informací. Podle zmíněné studie má tyto obavy 70 % respondentů. Dokonce i ty finanční instituce, které třetím stranám důvěřují, vyžadují soulad s vlastními bezpečnostními standardy pouze v 58 % případů. Ještě méně finančních institucí pak provádí nebo vyžaduje pravidelné kontroly nebo certifikace, například formou certifikace kontrol v interních procesech servisních organizací pomocí tzv. SAS 70 (Statement of Auditing Standard 70 o auditu servisních organizací vydává komora auditorů v USA).

Interní outsourcing

V současné době lze u mnoha menších a středních bankovních domů, které jsou součástí globálních bankovních skupin (a často byly transformovány na pobočku), vysledovat trend tzv. interního outsourcingu, zejména v oblasti IT/IS, ale i v oblasti podpůrných funkcí (back office). Jedná se o vytváření center sdílených služeb pro danou funkci (například IT/IS) v rámci celé skupiny či regionu. Hlavním přínosem takových center je určitě zvýšení rychlosti a efektivnosti v oblasti řízení IT a jeho provozu dané synergickým efektem a geografickou blízkostí. Přínosem je i zvýšení efektivity řízení změn IT/IS, které ve svém důsledku snižuje riziko bezpečnostních rizik vyplývajících z nedostatečně zvládnutých změn v aplikacích a datové struktuře a migraci dat (není nutné provádět náročnou migraci dat a testování pro jednotlivé lokace).

To vede k rychlejšímu, kvalitnějšímu a efektivnějšímu dosažení globálních cílů celé skupiny, jako jsou například sladění a integrace bezpečnostních politik a pravidel řízení IT, nastavení bezpečnostních parametrů pro celou skupinu a efektivnější využití lidských zdrojů (zejména koncentrace znalostí a zkušenosti). Koncentrace IT funkce nebo dalších procesů umožňuje důkladné oddělení pravomocí, které snižuje jejich hromadění do rukou jedné osoby nebo skupiny osob a významně tak snižuje riziko jejich zneužití. Na druhé straně klade zvýšené nároky na bezpečnostní mechanismy, jejichž selhání by mohlo mít zničující dopad na pobočky společnosti v řadě zemí. Toto riziko je nutné ošetřit.

Požadavky regulátorů a legislativy

Určitým omezením jsou také specifické požadavky regulátorů a legislativy v jednotlivých zemích, které se mohou významně lišit. Procedury spojené s prováděním a udržováním konkrétních požadavků jsou spojeny s dodatečnými náklady, které snižují úspory centralizovaného řešení. Kromě legislativních omezení klade outsourcing větší nároky na komunikaci mezi sdíleným centrem a uživateli v jednotlivých lokacích, a to z pohledu kvality i kvantity.

Lokální auditor stejně jako manažer lokální pobočky využívající centrum sdílených služeb pak mají možnost ověření funkčnosti a správnosti procesů a kontrol s použitím tzv. auditu střediska sdílených služeb, který se stává alternativou reportu SAS 70; ten se používá v případě poskytování služeb externím subjektům. Úspory plynoucí z těchto služeb se projeví zejména v nižší časové náročnosti prováděných kontrol na straně klienta, neboť kontrolní prostředí, procesy a nastavení se ověřuje jen jednou místo individuálně prováděných ověřování v jednotlivých lokacích.

Vnitřní a vnější bezpečnostní hrozba

S rostoucím objemem zpracovávaných dat, využíváním komplexnějších systémů, automatizací procesů (které byly dříve manuální) a intenzivnějším využívání internetových technologií roste i množství incidentů a potencionálních hrozeb. Ze zmíněné studie vyplývá, že ve finančních institucích se primárně klade důraz na vnější hrozbu. V roce 2007 se investice do pořízení síťových bezpečnostních prvků (firewall, systému prevence útoků - IDS, šifrování a podobně) zvýšily v průměru o 26 % oproti roku 2006.

Vnitřní bezpečnostní incidenty mají pochopitelně ve většině případů mnohem menší mediální ohlas, protože zpravidla nemají přímý dopad na klienty finančních institucí - a management obávající se negativní publicity většinou případy vyřeší v tajnosti a rychle zjedná nápravu. O to horší pak jsou ale dopady v případech, kdy se incidenty vymknou kontrole, jako například nedávná krádež a následný prodej informací v jednom z lichtenštejnských finančních ústavů.

Pokud se podíváme na četnost,útoků‘ a incidentů, zjistila studie, že dvě třetiny bezpečnostních problémů identifikovaných finančními institucemi způsobili vlastní zaměstnanci. To představuje nárůst oproti předchozím letům, kdy poměr činil přibližně 1:1. Neznamená to ale, že by zaměstnanci byli čím dál méně zodpovědní. Ve skutečnosti lze předpokládat, že je poměr vnitřních a vnějších hrozeb v čase relativně stálý. Mění se pouze povědomí managementu a jeho schopnost identifikovat takové hrozby a zavádět příslušná bezpečnostní opatření. Náchylnější k výskytu bezpečnostních rizik jsou samozřejmě instituce, které nemají důsledně aplikovány oddělení neslučitelných pravomocí.

Možnosti snížení rizika a četnosti hrozeb

Existuje více možností, jak snížit riziko a četnost vnitřních hrozeb. Nejjednodušším způsobem je osvěta mezi zaměstnanci a s ní související školení - zvyšují povědomí a odpovědnost ve vztahu k informační bezpečnosti. Lze sem zařadit i zvyšování povědomí managementu o existujících rizicích a jeho ochota je snižovat. Tyto aktivity by měla iniciovat především oddělení, která se zabývají dohledem nad dodržováním předpisů (oddělení compliance, interního auditu, bezpečnostní).

Preventivní funkci plní ve finančních institucích různé softwarové nástroje, používané k monitorování chování uživatelů či nestandardních událostí. Existuje řada zajímavých samo se učících programů na bázi umělé inteligence, které jsou schopné odhalit mnoho předdefinovaných vzorů rizikových aktivit.

V neposlední řadě správné rozdělení pravomocí a zodpovědností a klasifikace a přístup k datům v rámci finanční instituce významně snižuje riziko zneužití informací a vzniku dalších bezpečnostních problémů. Vhodným a užitečným nástrojem mohou být prověrky IS, které zjistí oblasti potenciálních problémů a navrhnou nápravná opatření. Takové kontroly se mohou zaměřit na: - parametrizaci a nastavení podnikových informačních a dalších systémů, - uživatelské účty a přístupová práva, - procesní kontroly, - analýzu bezpečnostních rizik.

Nové komunikační kanály a mobilní zařízení

Další klíčový problém souvisí se zvýšenou mobilitou osob, a tudíž i s nárůstem mobilních komunikačních zařízení, ať již notebooků či jiných komunikátorů. Podle studie bylo 26 % případů zaznamenaných v roce 2007 způsobeno ztrátou citlivých dat a jejich zneužitím. Standardním řešením snižujícím riziko zneužití odcizených nebo ztracených dat je jejich šifrování. Je zajímavé, že i přes větší nároky na ochranu dat a osobních údajů se příliš neliší míra využití šifrování informací v bankovním sektoru proti ostatním odvětvím (viz tabulka). Nejvyššímu riziku jsou vystavena data umístěná v laptopech a jiných přenosných zařízeních, z nichž je podle výzkumu šifrováno pouhých 54 %.

Závěr

Uvedené záležitosti a bezpečnostní hrozby představují jen krátký výběr, který si neklade za cíl pokrýt veškeré současné trendy v bankovnictví a finančních institucích ve vztahu k informační bezpečnosti. Ačkoli řada firem investovala do bezpečnosti IS nemalé prostředky, stále zůstává největší bezpečnostní hrozbou lidský faktor.

Ve skutečnosti se často setkáváme s přeceňováním některých rizik, které vede k nadměrným a zbytečným kontrolním opatřením v určitých oblastech, jako je třeba hrozba útoku hackerů, a naopak podceňování kontrolních mechanismů v jiných oblastech, například nastavení přístupových práv uživatelů. Správné nastavení bezpečnosti podobně jako ostatní procesy závisí na lidech a jako takové nelze provést okamžitě. Miliony investované po incidentech jistě pomohou zvýšit bezpečnost, často jsou však jen hašením problémů. Mnohem lepší je preventivní zhodnocení rizik a investice do vyváženého kontrolního prostředí. * Citované výzkumy: The Global State of Information Security 2007, studie společnosti PricewaterhousCoopers vytvořená ve spolupráci s CIO Magazin (5/2007).

Tabulka:

Míra využití šifrování informací v bankovním sektoru a v ostatních odvětvích