Nuo kompiuterinių žaidimų iki sveikatos apsaugos ir bilietų užsakymo sistemų, nuo tradicinių bankinių paslaugų iki naujausių finansinių sprendimų, šiuolaikiniai kibernetiniai pavojai kelia vis daugiau iššūkių, kurių sprendimui reikia ne tik aktyvių veiksmų, bet ir naujos kultūros daugelyje organizacijų. Kibernetiniai išpuoliai pasaulio ekonomikai kasmet kainuoja 400 mlrd. eurų.
2/3 kibernetinių atakų vyksta finansinių paslaugų sektoriuje. Dėl naujų kibernetinių grėsmių nuolat keičiama ir pildoma teisinio reguliavimo praktika, o kasmet finansinių paslaugų sektoriuje sukuriamas duomenų kiekis sparčiai didėja. Reguliuotojų reikalavimai dėl kibernetinio saugumo ir duomenų apsaugos griežtėja, o tai sukelia papildomą administracinę ir atitikties naštą tiek privačiam, tiek viešam sektoriui. Kibernetinis saugumas – tai ne tik IT problema, bet ir reguliavimo, atitikties kompleksiškumo. Tinkamai neinvestuojant į šią sritį, tai gali tapti rimta reputacijos, mokumo, likvidumo problema.
Virš 2,5 mln. kibernetinių incidentų bankų ir finansų sektoriuje
Vadovaujantis Jungtinės Karalystės nacionaline statistika, per metus užfiksuojama daugiau kaip 2,5 mln. žinomų kibernetinių incidentų bankų ir finansų sektoriuje vien tik šioje šalyje. Kibernetinis saugumas liečia ne tik finansų institucijas plačiąja prasme, bet ir pačius reguliuotojus. Gerai žinomas bandymo įsilaužti į Lenkijos finansų priežiūros institucijos sistemas atvejis, kuomet buvo bandoma įfiltruoti kenkėjišką programą. Taip pat atvejai, kai Šiaurės Korėjoje įsikūrę programišiai įsilaužė į tarptautinės mokėjimų sistemos SWIFT duomenų bazes ar kai didelis kiekis duomenų buvo pavogta iš Bangladešo Centrinio banko.
Naujos kibernetinės grėsmės verčia keisti ir vystyti teisinio reguliavimo praktiką. Paskutiniu metu reguliuotojai tampa vis labiau aktyvesni valdant kibernetinio saugumo rizikų keliamą pavojų ir siekia šią sritį vis griežtesnėmis taisyklėmis reglamentuoti ir apsaugoti. Negana to, kai kurie reguliuotojai jau įvardija šią riziką kaip „galbūt svarbiausią finansinių paslaugų riziką šiai dienai“ (pavyzdžiui, JAV Federalinio rezervo pirmininkas). Todėl atsparumo kibernetinėms rizikoms didinimas finansinių paslaugų srityje yra vis didesnis prioritetas, o kartu ir galvos skausmas visiems įpareigotiems subjektams. Be to, ne tik pačios organizacijos turi vis labiau rūpintis kibernetiniais pavojais, bet ir vartotojai. Naujos finansinių paslaugų decentralizacijos iniciatyvos, suteikdamos atskiram vartotojui vis daugiau kontrolės taip pat kelia ir naujų duomenų apsaugos uždavinių.
Finansų rinkos dalyviams kyla daug klausimų, kaip tinkamai pasirengti minimizuoti kibernetines rizikas ir itin kompleksišką ir greitai besikeičiantį reguliavimo srautą.
Informacijos saugumo iššūkiai naujos kartos finansų sistemose
Ar vietoje informacijos saugumo užduočių delegavimo yra įmanomas vartotojų asmeninės atsakomybės prisėmimas? Kompetentingų apklausų ir įvykusių incidentų tyrimo duomenimis IT sistemų vartotojai rimčiausiai rūpinasi IT sistemų prieigos saugumu, kai tiesiogiai supranta galimas prieigos teisių pažeidimo pasekmes. Kitu atveju, esant galimybei priminti pamirštą slaptažodį, atstatyti vartotojo vardą ar kitus prisijungimo prie IT sistemų duomenis, eilinis vartotojas neprivalo užtikrinti didžiausią savo prieigos teisių saugumą, nes trečioji šalis užtikrina centralizuotą prieigos teisių apskaitą, auditą ir valdymą.
Žiūrint iš decentralizuotų (distributed ledger) sistemų perspektyvos, situacija kardinaliai keičiasi. Tokių Blockchain sistemų kaip Bitcoin prieigos teisės yra išskirtinai vartotojo pusėje. Vartotojas, turintis interesą Bitcoin platformoje (turintis Bitcoin žetonų) yra atsakingas už savo privačių raktų, susiteikiančių teisę valdyti tam tikrą Bitcoin resursų dalį, apsaugą. Remiantis tyrimų duomenimis, būtent Bitcoin platforma paskatino visuomenę domėtis kriptografija, kuri iki tol buvo tik siauros akademinio ir karinio pasaulio dalies prerogatyva.
Blockchain technologijos ypatumai
Nesant galimybės atstatyti privačių Bitcoin ar kitos decentralizuotos Blockchain platformos raktų, juos pametus, vartotojui kyla visiškai kitos jų saugumo užtikrinimo užduotis. Pametus privatų tokios platformos raktą, nėra jokios paslaugos, kuri padėtų atstatyti galimybę naudotis platformos resursus. Įvairių vertinimų duomenimis manoma, kad iki 20 proc. visų šiuo metų esančių Bitcoin žetonų yra neapsiekiami, nes jų prieigą užtikrinantys privatūs raktai yra pamesti. Tai reiškia, kad tiek Bitcoin žetonų yra nepasiekiami ir nebus niekada daugiau prieinami. 20 proc. Bitcoin žetonų šiuo metu sudaro 3,6 milijonų Bitcoin žetonų, kurių vertė sudaro 25 milijardus eurų.
Panaši situacija susidaro, kai dėl menko saugumo užtikrinimo vartotojas praranda privačių raktų kontrolę, ir jie yra perimami kitų platformos vartotojų. Tokiu atveju pirminis resursų savininkas netenka jokių teisių į jam anksčiau priklausančius Blockchain platformos resursus. Dėl kol kas neapibrėžto Bitcoin ir kitų kripto valiutų teisinio reguliavimo, vienam vartotojui pasisavinus kito vartotojo privačius raktus, nėra aiškių teisinių priemonių įrodyti tokios veiklos neteisėtumą ir atstatyti pirminį statusą.
Tam, kad vartotojui nereikėtų rūpintis Blockchain resursų saugumu, vartotojas, panašiai kaip ir tradicinėse IT sistemose, gali deleguoti savo privačių raktų saugumą trečiosioms šalims, tokioms kaip kripto valiutų keityklos. Prie tokių keityklų paslaugas teikiančių sistemų prisijungimas vyksta vartotojo vardu ir slaptažodžiu. Vartotojo paskyroje yra matoma elektroninė piniginė su vartotojui priklausančių kripto valiutų sumomis. Tokiu atveju vartotojui nereikia rūpintis savo privačių raktų saugumu, o tiesiog reikia užtikrinti, kad nebus perimtas jo prisijungimo vardas ir slaptažodis bei rekomenduojama įdiegti dviejų žingsnių (two factor) autentifikaciją.
Šis privačių raktų delegavimo būdas taip pat nėra absoliučiai patikimas. Vien tik per pirmuosius šešis 2019 metų mėnesius buvo atakuotos septynios didelės kripto valiutų keityklos, buvo pasisavintos vartotojų lėšos. Tokiu atveju vartotojų nuostolių kompensacijos procesas yra labai ilgas, sudėtingas, o daugeliu atveju ir sunkiai įmanomas procesas. Vienos didžiausių atakų prieš MtGox kripto keityklą pavyzdys rodo, kad vartotojų nuostolių kompensavimas gali tęstis ir daugiau nei aštuonis metus.
Vartotojui, nenorinčiam rūpintis savo privačių raktų saugumu ir norinčiu deleguoti šią užduotį kryptovaliutų keityklai, potencialiai didesnį pasitikėjimą kels licencijuotos, Elektroninių pinigų įstaigos (Electronic Money institution – EMI) licenciją turinčios sistemos. Į EMI licenciją pretenduojanti, kriptovaliutų keityklos paslaugą siūlantį organizacija turi užtikrinti vartotojų lėšų saugumą tiek iš teisinės bei reguliavimo, tiek ir iš techninių pusių. Tokiu atveju EMI licenciją turinti kriptovaliutų keitykla įgauna pranašumą prieš nelicencijuotas paslaugas. Šalia kitų privalumų siūlant ramybę vartotojui dėl sumažėjusios įsilaužimo galimybės, o taip pat efektyvesnio lėšų atgavimo proceso, jei įvyktų nenumatytas atvejis.
Šiuo metu eilė konsultavimo paslaugas teikiančių įmonių jau pradeda siūlyti vieno langelio principo EMI licencijavimo paslaugas su elektroninių pinigų paslaugomis dirbančioms organizacijoms. Tokios paslaugos apima ne tik teisinės dokumentacijos ruošimą, reikalaujamą centrinio banko ir kitų priežiūros institucijų, bet taip pat ir techninių priemonių, užtikrinančių keityklos prieigos apsaugą, vystymo strategijos kūrimą.
Vis labiau didėjant kibernetinių atakų rizikai, visos IT sistemos yra didesnėje ar mažesnėje įsilaužimų rizikoje. Deja daugybė organizacijų vis dar skiria per mažai dėmesio savo sistemų saugumui. Ko reikia, kad ši situacija pasikeistų? Būtina pradėti nuo požiūrio pakeitimo. Jeigu kiekviena IT sistemą administruojanti organizacija vadovautųsi požiūriu ne „AR?“, bet „KADA?“, tai padėtų užtikrinti proaktyvų šių iššūkių sprendimą.
Pirmi žingsniai, kaip minimizuoti kibernetines rizikas ir reaguoti į reguliavimo pokyčius
Visų pirma reikia turėti tris efektyviai veikiančias gynybos linijas pačioje organizacijoje – vidaus kontrolė, prieigos kanalai, stebėsena. Patartina kiek galima anksčiau įsitraukti į diskusiją su priežiūros institucija, turėti organizacijos viduje tam tikrą planavimo strategiją, nenumatytų atvejų planą ir procedūrą, reagavimo įvykus incidentui planą, taip pat apsibrėžti vidaus dokumentuose ir tvarkose atitikties rizikas, atsakomybes ir žinoti tiksliai, kuriuos reikalavimus reikia atitikti artimiausiu metu.
Ne mažiau svarbu gerai žinoti savo IT ūkį, išteklius, kokia programinė įranga naudojama kokioje aplinkoje, tinkamai inventorizuoti duomenų šaltinius. Kitas žingsnis – vidinis rizikos vertinimas, kiek tai susiję su kibernetinėmis grėsmėmis ir rizikos matricos sudarymas. Galiausiai, reikia investuoti į žmones ir ugdyti jų kompleksiškus įgūdžius: reikia suprasti tiek teisės aktų reikalavimus, tiek technologinius aspektus, pavyzdžiui vyriausiasis technologijų pareigūnas ir jo vaidmuo yra pasikeitęs, šiuo metu jo funkcijos praktikoje daugiau orientuotos į strategavimą, patarimų davimą, nei vien tik technologinį išmanymą.
Valdymo organai, vyresnieji pareigūnai, vidaus audito funkciją atliekantiems darbuotojai atsakingi už kibernetines ir IT rizikas taip pat turi numatyti ir žinoti apie reguliavimo ir priežiūros institucijų pokyčius. Reikia aiškiai apsibrėžti atsakomybes organizacijos viduje, paskirstyti tinkamai funkcijas, nusistatyti produktų savininkus ir t.t. Galiausiai, ne mažiau svarbu tinkamai vykdyti trečiųjų asmenų kontrolę, pavyzdžiui, verslo partnerių ar užsakomųjų paslaugų pirkimo atveju (angl. outsourcing). Taip pat svarbu įtraukti valdybą (bent vienas atsakingas asmuo) bei nuolat atlikti testavimus ir simuliacijas (kas vyksta atakos atveju, identifikavimo, valdymo, atsparumo tikrinimas).
Geroji praktika
Tiek tarptautinis, tiek regioninis reguliavimas išskiria elementus, kuriuos privalu įgyvendinti finansų rinkos dalyviams: aiškūs saugumo stebėsenos procesai viduje turi būti tinkamai reglamentuoti vidaus aktais ir įpareigoti atsakingus asmenis skubiai informuoti apie naujas grėsmes ir pažeidimų objektą. Turi būti aiškios ir nedviprasmiškos incidentų valdymo procedūros, numatančios, kaip laiku reaguoti į reikšmingus pažeidimus.
Audito funkcija taip pat turėtų apimti kibernetinės rizikos kontrolę, vertinimą, kaip kelių metų veiklos plano sudedamąją dalį, tai turi būti tinkamai dokumentuota. Svarbu užtikrinti, kad procesų aprašai apimtų ne tik išorinių, bet ir vidinių rizikų kontrolę. BDAR reglamentas ir liūdna duomenų nutekinimo Europoje ir JAV patirtis įpareigoja organizacijas skirtį didžiulį dėmesį vidinių prieigos teisių teisingam ir efektyviam administravimui.
Rekomenduojama dėti daugiau pastangų, kuriant informacines sistemas, kurios galėtų įvertinti ir valdyti pasikeitimus pagrindinėse sistemose. Galimos ir konsoliduotos investicijos, susijusios su kibernetinių rizikų valdymu. Pavyzdžiui, visa bankų industrija galėtų keistis informacija tarpusavyje, įtraukiant ir priežiūros institucijas, tai paskatintų geriau suprasti ir valdyti kibernetines rizikas, jas iš anksto identifikuoti. Nereikėtų pamiršti ir sisteminio užkrato efekto. Pavyzdys galėtų būti „WannaCry“ ataka 2017 m., užkrėtusi daugiau nei 200 000 sistemų daugiau nei 150 šalių per mažiau nei dieną. Šis atvejis puikiai atskleidė, kaip greitai kibernetinės atakos gali turėti neigiamą poveikį ir tai, kad vien tik izoliuotų nacionalinių įstatymų ir institucijų nepakanka, ypač finansinių paslaugų sektoriuje. Reikia turėti pajėgumus organizacijos viduje ar išorės ekspertus.
Akivaizdu, kad kibernetinis saugumas yra svarbi reguliavimo darbotvarkės dalis, ir priežiūros institucijos ateityje bus vis mažiau tolerantiškos toms įmonėms, kurios atsilieka nuo atitikties reikalavimų įgyvendinimo ir yra netinkamai pasiruošusios kibernetinių rizikų valdymui. Kibernetinės atakos paprastai išnaudoja „skyles“ procesuose ir žmonėse, todėl reikia tinkamai naudotis tiek regioniniais, tiek tarptautiniais reguliavimo standartais, gerąja praktika ir apmokyti personalą. Kibernetinis atsparumas yra taip pat lyderystės ir valdymo problema.