Banking Forum: Οι εξελίξεις στην κυβερνοασφάλεια και οι ψηφιακοί κίνδυνοι για τις τράπεζες
Στους τομείς της κυβερνοασφάλειας και του κυβερνοεγκλήματος επικεντρώθηκαν οι παρεμβάσεις σε πάνελ, στο πλαίσιο του δεύτερου Banking Forum που διοργανώνει το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας-IIA Greece στο Μέγαρο Καρατζά της Εθνικής Τράπεζας.
O Γιάννης Τζάνος, Group Corporate Security Officer & Chief Information Security Officer της Eurobank, ανέφερε ότι οι κυβερνοεπιθέσεις, χρόνο με το χρόνο εξελίσσονται και σε σχέση με το 2015. Συμβαίνουν κυρίως σε αναπτυγμένες οικονομίες και είναι χαρακτηριστικό ότι οι ΗΠΑ, παρότι συνιστούν την πιο δυνατή οικονομία, έχουν δεχθεί το 50% των κυβερνοεπιθέσεων, σύμφωνα με στοιχεία από έκθεση της ΕΚΤ. Στο ίδιο πλαίσιο, η Ευρώπη έχει δεχθεί το 13% των κυβερνοεπιθέσεων, με τον τραπεζικό χώρο να πλήττεται, λιγότερο ωστόσο από άλλους κλάδους όπως ο δημόσιος τομέας, τα πανεπιστήμια και ο τομέας της υγείας.
Ο κ. Τζάνος πρόσθεσε ότι ο μεγαλύτερος ψηφιακός κίνδυνος στην παρούσα φάση, είναι το ransomware (το οποίο έχει εξελιχθεί σε τρομερή απειλή) οι κίνδυνοι μέσω του social engineering, αλλά και οι απειλές σε τρίτους παρόχους (providers), ενώ υπάρχει και μια τριπλή μορφή εκβιασμού, η οποία γίνεται κυρίως μέσω email και λιγότερο μέσω browsing. Κατέληξε δε, ότι «το ψηφιακό έγκλημα ακολουθεί τα trends της κοινωνίας και του εμπορίου».
Ο Λάμπρος Σπερνοβασίλης, IT Audit Manager της Alpha Bank, υπογράμμισε ότι o εσωτερικός έλεγχος μπορεί να συμβάλει στην κυβερνοασφάλεια ενός οργανισμού: «Καλούμαστε να ειμαστε πάντα προετοιμασμένοι μέχρι την επόμενη επίθεση» ανέφερε χαρακτηριστικά, αναπτύσσοντας πυλώνες προετοιμασίας όπως την αναγνώριση των εκτεθειμένων χώρων, τη διασφάλισή τους, την ανάπτυξη ενός καλού μηχανισμού εποπτείας για τον περιορισμό ζημιάς από πιθανή επίθεση, την όσο το δυνατόν πιο αποτελεσματική απάντηση στην επίθεση, αλλά και την επιτάχυνση στην επιστροφή στην αρχική κατάσταση. Κατά τον κ. Σπερνοβασίλη «ο εσωτερικός έλεγχος μπορεί συμβάλει στην κυβερνοασφάλεια, προσαρμόζοντας την προσοχή του και την πρακτική του στις παραπάνω κατευθύνσεις».
Η Ιωσηφίνα Δεγαΐτα, Head of Group Operational Risk της Εθνικής Τράπεζας, ανέφερε ότι τα τελευταία χρόνια οι κυβερνοεπιθέσεις είναι «ένας πόλεμος που θα μείνει, όσο υπάρχει ψηφιακός μετασχηματισμός και συνεχής τεχνολογική εξέλιξη».
Το risk είναι ένας κίνδυνος που είναι πολύ ψηλά στην ατζέντα στους οργανισμούς, αλλά είναι πολυπαραγοντικός, με την ύπαρξη κινδύνων εσωτερικής και εξωτερικής απάτης και διαρροής ευαίσθητων πληροφοριών, αλλά και διακύβευσης φήμης της κάθε επιχείρησης που δέχεται επίθεση. «Χρειαζόμαστε διακυβέρνηση, ο κάθε χώρος πρέπει να θέσει ρόλους, ευθύνες, και είναι καθήκον όλων μας η διαχείριση του cyber risk σε έναν οργανισμό» ανέφερε η κυρία Δεγαΐτα, ενώ για την ίδια, είναι απαραίτητη η στρατηγική και οι πολιτικές του κάθε κλάδου για την αντιμετώπισή του.
Για τον Δημήτρη Φράγκο, Internal Audit Director της τράπεζας Πειραιώς, η κυβερνοασφάλεια έχει ιδιαιτερότητες, όπως η τεχνική της φύση και το εύρος των υπηρεσιών λόγω του μεγέθους των απειλών, ωστόσο την ίδια στιγμή, υπάρχει απώλεια ελέγχου λόγω outsourcing. Όπως υπογράμμισε στην τοποθέτησή του «το εποπτικό πλαίσιο είναι ιδιαιτέρως εμπλουτισμένο αυτή τη στιγμή και στην πρώτη γραμμή άμυνας υπάρχει ο σχεδιασμός ελέγχου, η ανάπτυξη και η αρχιτεκτονική των συστημάτων και στη δεύτερη γραμμή, ο κανονιστικός κίνδυνος, ενώ υπάρχει η δυνατότητα και άλλων, πιο εξειδικευμένων δομών. Η τρίτη γραμμή περιλαμβάνει όλο το εύρος διακυβέρνησης και δεξιοτήτων, καθώς και τη διαχείριση κινδύνων. Υπάρχουν δυνατότητες συνέργειας μεταξύ των γραμμών άμυνας, όμως ο αγώνας είναι δύσκολος γιατί συνεχώς αλλάζουν οι απειλές» τόνισε.
Για τη σχέση μεταξύ cyber risk και compliance risk, έκανε λόγο ο Τζέρι Κουνάδης, Deputy Head of Group Business Regulatory Compliance & Client Conduct Division της Εθνικής Τράπεζας, υποστηρίζοντας ότι ένας από τους μεγαλύτερους κινδύνους κυβερνοεπίθεσης είναι αυτός που προκύπτει από τις διαδικασίες του γενικού κανονισμού για την ασφάλεια δεδομένων. Σε επίπεδο χρηματοπιστωτικής νομοθεσίας, κατά τον ίδιο, μία ακόμα μεγάλη πηγή κινδύνου είναι οι διαδικασίες outsourcing, ενώ, συμπλήρωσε ότι ο ρόλος της κανονιστικής συμμόρφωσης για την προετοιμασία απέναντι στις κυβερνοπιθέσεις, έχει πέντε πυλώνες: Τη διαρκή ενημέρωση για τις κανονιστικές εξελίξεις, τη συνδιαμόρφωση του πλαισίου που πρέπει να κινηθεί ο οργανισμός, την αξιολόγηση των κινδύνων συμμόρφωσης - έτσι ώστε να βρίσκονται οι κατάλληλες λύσεις - την παρακολούθηση της συμμόρφωσης σε περιοχές με υψηλό κίνδυνο, καθώς και τη σημασία της έγκαιρης αναφοράς (reporting).