Bezpieczeństwo informacji w sektorze FinTech

Można powiedzieć, że ataki w cyberprzestrzeni są już na porządku dziennym. Mnogość komunikatów i ostrzeżeń o tym, jak się przed nimi ustrzec, przykłady ataków hakerskich, które niosą za sobą ogromne straty – zarówno wizerunkowe jak i finansowe – wszystko to sprawia, że wiedza na temat ochrony danych w sieci powinna sukcesywnie wzrastać.
Ten materiał powstał dzięki Waszemu wsparciu. Postaw mi kawę na buycoffee.to

Można powiedzieć, że ataki w cyberprzestrzeni są już na porządku dziennym. Mnogość komunikatów i ostrzeżeń o tym, jak się przed nimi ustrzec, przykłady ataków hakerskich, które niosą za sobą ogromne straty – zarówno wizerunkowe jak i finansowe – wszystko to sprawia, że wiedza na temat ochrony danych w sieci powinna sukcesywnie wzrastać.

Środki ostrożności oraz specjalistyczne zabezpieczenia to fundament dobrze prosperującego przedsiębiorstwa, szczególnie w branży finansowej czy sektorze FinTech. Gwarantuje to bowiem zaufanie – zarówno ze strony pracowników, jak i klientów – ale też komfort pracy i rozwój firmy. Ale czy wdrażanie i znajomość owych środków ostrożności to „chleb powszedni” współczesnych przedsiębiorstw? Nie do końca.

Firmy nieprzygotowane, pracownicy nieświadomi

Sytuację na temat poziomu wiedzy przedsiębiorców oraz stosowanych środków bezpieczeństwa w sieci obrazuje najnowszy raport „Światowe Badanie Bezpieczeństwa Informacji”, przeprowadzony między czerwcem a sierpniem 2016 roku pod nazwą „Droga do cyberbezpieczeństwa: wykrywaj, chroń, reaguj”. W badaniu przygotowanym przez EY udział wzięło 1735 firm z całego świata, w tym z Polski. Respondenci to przede wszystkim ludzie odpowiedzialni za technologie i bezpieczeństwo IT z 23 sektorów gospodarki.

Nowoczesne technologie, systemy zabezpieczeń, ale też regulacje prawne wpłynęły na znaczny wzrost zainteresowania tematem cyberbezpieczeństwa oraz sposobami walki z potencjalnymi atakami hakerów. 50% ankietowanych firm stwierdziła bowiem, że posiada na tyle silne zabezpieczenia, iż jest w stanie wykryć nawet bardzo skomplikowane cyberataki. Jest to najwyższy od 2013 roku odsetek takich odpowiedzi. Przekonanie to wynika przede wszystkim z inwestycji w wyspecjalizowane zespoły IT, monitorujące zagrożenia w sieci (tzw. SOC – Security Operations Center), ale też w mechanizmy zapobiegające atakom w sieci. Pomimo tego, iż firmy inwestują coraz więcej kapitału w systemy zabezpieczeń, to wciąż spory odsetek firm przyznaje się, że korzysta z nieaktualnych, przestarzałych środków bezpieczeństwa online. Aż 64% ankietowanych nie posiada, bądź posiada nieformalny proces identyfikowania poziomu słabości zabezpieczeń, około 48% posługuje się przestarzałym system bezpieczeństwa, a 44% w ogóle nie posiada zespołu SOC. Poważny problem stanowi również poziom wiedzy pracowników w tej kwestii – aż 86% ankietowanych uważa, że ich kompetencje w zakresie cyberbezpieczeństwa nie do końca spełniają potrzeby organizacji, w której pracują.

Ankietowani wskazali również powody, dla których system zabezpieczeń w sieci jest niewystarczający. To, co stoi na przeszkodzie to przede wszystkim ograniczenia budżetowe (61%), brak wyspecjalizowanych kadr (56%) oraz brak świadomości lub wsparcia ze strony zarządu (32%).

Więcej tracisz, niż zyskujesz

„Zaniedbanie tak ważnej kwestii jak bezpieczeństwo w cyberprzestrzeni może przedsiębiorcę więcej kosztować, niż sama inwestycja w profesjonalne systemy antyhakerskie i wyspecjalizowane kadry. Oprócz oczywistych, potencjalnych strat finansowych oraz utratą danych, przedsiębiorca musi przygotować się również na straty wizerunkowe. Hakerzy uciekają się często do takich działań jak dodawanie niepożądanych treści na oficjalnej stronie firmy czy nawet podmiana stron, wysyłka spamu czy też całkowite skasowanie zawartości strony, co w połączeniu z brakiem kopii zapasowej, stanowi poważny problem dla przedsiębiorstwa i jej komunikacji z klientami. Przedstawiciele sektora bankowego czy FinTech-u powinni położyć szczególny nacisk na kwestie bezpieczeństwa informacji, ponieważ klienci powierzają im swoje poufne dane oraz dostęp do konta” – komentuje Tymon Zastrzeżyński, z pozyczkaportal.pl

Powszechna jest również instalacja wszelkiego rodzaju wirusów – klient, wchodząc na stronę danego przedsiębiorstwa otrzymuje komunikat o zagrożeniu. Strona, jak i sama firma traci na wiarygodności, a tym samym – spada liczba potencjalnych klientów. Hakerzy posługują się też tzw. BotNetem – to nic innego jak wirus, który atakuje inne strony według preferencji ustalonych przez hakera. Grozi to nie tylko zablokowaniem strony, ale nawet odpowiedzialnością karną.

Łatwo i przede wszystkim – bezpiecznie

„Istnieje szereg podstawowych zasad, których każdy z nas powinien przestrzegać w trosce o bezpieczeństwo danych w sieci – bez względu na to, czy jesteśmy zwykłym użytkownikiem internetu, konsumentem czy właścicielem przedsiębiorstwa. Podstawę powinny stanowić przede wszystkim aktualne oprogramowanie, ochrona antywirusowa, zabezpieczona sieć wi-fi oraz unikalne, niepowtarzalne hasła dostępu. Istnieje jednak więcej rozwiązań, które skutecznie przyczyniają się do zwiększenia ochrony danych, wiele z nich jest na bieżąco wdrażanych m.in. przez start-upy FinTechowe, które bardzo często same opracowują innowacyjne systemy bezpieczeństwa”- komentuje Maciej Suwik, ekspert Loando.pl

Serwer dedykowany

Najbezpieczniejszym, ale jednocześnie jednym z najdroższych rozwiązań jest zakup własnego serwera w firmie oferującej usługi SLA, czyli monitoring usług, raportowanie i ocena osiąganych wyników itp. Dedykowany serwer, który jest skonfigurowany i dostosowany do potrzeb administratora strony – w połączeniu ze stałą kontrolą aktualności oprogramowania i systemów zabezpieczeń – to jeden z kluczowych elementów podnoszących bezpieczeństwo danych firmy w sieci. Największe znaczenie ma to w przypadku firm, których strony odnotowują duży ruch, a ilość klientów wprowadzających swoje dane stale rośnie.
Warto również pomyśleć o własnej serwerowni, która pomimo wymaganych dużych nakładów finansowych, daje przedsiębiorcy swobodę w zarządzaniu oferowanymi usługami. Własna serwerownia gwarantuje również to, że do panelu administracyjnego strony nie będzie miał dostępu nikt spoza firmy, gdyż korzystanie z usług zewnętrznych usługodawców nie jest już wtedy potrzebne.

DIN 66399

Przedsiębiorcy, oprócz ochrony danych, z których korzystają na co dzień, powinni również zadbać o bezpieczne niszczenie poufnych informacji – w taki sposób, by były one nie do odzyskania oraz nie stanowiły potencjalnego źródła informacji dla hakerów. W tym celu, w październiku 2012 roku wprowadzono nową normę DIN 66399, opracowaną przez Standards Committee for Information Technology and Applications. Jest to norma określająca kryteria bezpiecznego niszczenia nośników danych oraz dokumentów. Nowa regulacja wyodrębnia sześć nośników danych:  płyty CD/DVD, dyski twarde, karty pamięci, karty chipowe, karty z taśmą magnetyczną. Dokument określił również trzy klasy ochrony danych: 1 klasa ochrony obejmuje dokumenty dostępne dla dużej grupy osób, 2 klasa – wąskich grup osób, natomiast 3 klasa – ochrona poufnych danych. Przyporządkowanie do odpowiedniej klasy ochrony zależy od stopnia poufności informacji. Norma DIN dzieli klasy na 7 poziomów bezpieczeństwa, zgodnie z którymi im wyższy stopień bezpieczeństwa, tym dokładniej i drobniej niszczony jest nośnik danych.

Rezygnacja z Javy

Jak się okazuje, odinstalowanie oprogramowania Java z komputera w znaczy sposób redukuje powierzchnię potencjalnego ataku. Jest ono bowiem bardzo podatne na ataki oraz wykorzystywanie luk 0-day – podatności, na które nie wymyślono jeszcze odpowiednich łat bezpieczeństwa. Według danych statystycznych, 193 na 200 luk znaleźć można właśnie w Javie.

Mail na baczności

Wiadomości e-mail to codzienność, zwłaszcza jeśli prowadzimy własny biznes. Znaczną część z nich stanowią niebezpieczne wiadomości, które mogą przysporzyć przedsiębiorcom sporo problemów. Podejrzane maile łatwo jest zidentyfikować – trafiają one zazwyczaj do spamu, pochodzą od nieznanego nadawcy, a ich tytuły są chwytliwe – kuszą wygraną czy korzystną promocją. Coraz częściej hakerzy stosują tzw. phishing, czyli metodę pozyskiwania haseł bezpośrednio od użytkowników, właśnie za pomocą wiadomości e-mail. Treść takiej wiadomości zawiera link odsyłający nas na stronę, która sprawia wrażenie zaufanej witryny (np. sklepu internetowego czy banku). Informacje wpisane na stronę zostają natychmiastowo wykorzystane przez hakerów.

E-faktury pod kontrolą

Coraz większa część społeczeństwa korzysta z udogodnienia, jakim jest e-faktura. Nie inaczej jest z przedsiębiorcami. Użytkownicy korzystający z internetowych technologii finansowych stanowią główny cel cyberprzestepców, podszywających się m.in. pod operatorów telefonii komórkowych. Istnieje jednak kilka prostych sposobów umożliwiających weryfikację i odróżnienie oryginalnej faktury od podrobionej. Po pierwsze, klient powinien upewnić się, że w wiadomości znajduje się symbol pieczęci lub załącznik „smime.p7s”, zawierający pieczęć i świadczący o oryginalności faktury. Warto też wiedzieć, że wiadomość z e-fakturą, jak i sam dokument powinny być podpisane elektronicznie. Istnieją również darmowe narzędzia umożliwiające weryfikację podpisów elektronicznych (np. WebNotarius), które pomogą określić pochodzenie dokumentu.



Ten materiał powstał dzięki Waszemu wsparciu. Postaw mi kawę na buycoffee.to

Add a comment

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *