Instytucje finansowe zwiększają wydatki na ochronę przed cyberatakami

Jak podaje firma doradcza Deloitte, aż 95 proc. firm z branży finansowej przyznaje, że wśród przedstawicieli kadry zarządzającej rośnie zainteresowanie strategią cyberbezpieczeństwa. Z badania przeprowadzonego przez Deloitte Cyber & Strategic Risk Services CISO i FS-ISAC wynika też, że wydatki na cybersecurity w instytucjach finansowych rosły już przed pandemią i w tym roku wyniosą prawie 11 proc. budżetu przeznaczonego na IT.

W 56 proc. przedsiębiorstw z sektora finansowego bezpieczeństwo cybernetyczne stanowi część pionu informatycznego, a zwiększone nakłady w tym obszarze są wynikiem dynamicznego rozwoju firmowych infrastruktur IT.

Inwestycje w bezpieczeństwo zawsze opłacalne

Jednym z najważniejszych wyznaczników działań instytucji finansowych w zakresie kontroli cyberzagrożeń jest poziom nakładów na programy bezpieczeństwa cybernetycznego. Nie jest więc zaskoczeniem, że firmy z roku na rok zwiększają swoje wydatki w tym obszarze.

– Uczestnicy naszego badania wskazują, że na cyberbezpieczeństwo przeznaczą w tym roku ok. 10,9 proc. środków z budżetu informatycznego. W 2019 r. kwota takich nakładów wyniosła 10,1 proc. Wydatki związane z zarządzaniem prawami dostępu i tożsamości, monitoringiem bezpieczeństwa i operacji w cyberprzestrzeni oraz bezpieczeństwem punktów końcowych stanowią ponad połowę nakładów – mówi Przemysław Szczygielski, Partner, lider zarządzania ryzykiem oraz doradztwa regulacyjnego dla sektora finansowego, lider sektora finansowego w Deloitte. Ekspert dodaje, że również w Polsce, w firmach nie tylko z branży finansowej, coraz większą wagę przykłada się do kwestii zabezpieczeń.

Na przestrzeni trzech ostatnich lat zwiększyło się również zainteresowanie tematem cybersecurity wśród kierownictwa najwyższego szczebla instytucji finansowych. Prawie wszyscy respondenci (95 proc.) wskazali, że zarząd coraz bardziej interesuje się ogólną strategią bezpieczeństwa. To duży wzrost w porównaniu do 86 proc. w 2018 r. i 76 proc. w 2019 r. Dziewięciu na dziesięciu ankietowanych twierdzi, że kadry kierownicze większą uwagę zwracają na przegląd obszarów ryzyka i zagrożeń (wzrost o 16 pp. r/r). W instytucjach finansowych duże zainteresowanie budzą również postępy prac w ramach programów ochrony cybernetycznej – taką odpowiedź wskazało 70 proc. przedstawicieli tej branży. Najmniejszym zainteresowaniem wśród kadry kierowniczej cieszy się przegląd zadań związanych z bezpieczeństwem (25 proc.), chociaż i w tym obszarze zanotowano wzrost w ciągu trzech ostatnich lat (18 proc. w 2018 r. i 14 proc. w 2019 r.).

Cybersecurity ściśle powiązane z IT

Wiele instytucji finansowych wiąże programy bezpieczeństwa cybernetycznego z inicjatywami technologicznymi, aby w ten sposób skutecznie ograniczać pojawiające się zagrożenia cyfrowe. Znalazło to odzwierciedlenie w sposobach organizacji zarządzania ryzykiem cybernetycznym – ponad połowa respondentów wskazała, że cybersecurity stanowi u nich część pionu informatycznego. Niespełna jedna czwarta badanych instytucji wskazała, że działy IT i cyberbezpieczeństwa są rozdzielone, ale mają wspólne ścieżki raportowania, a 22 proc. deklaruje, że są całkowicie rozdzielone. Tylko co dziesiąty respondent odpowiedział, że pracownicy odpowiedzialni za kwestie informatyczne i bezpieczeństwa w sieci mają analogiczne obowiązki, jeśli chodzi o działania zapobiegające zagrożeniom. To duży spadek w stosunku do pierwszej edycji badania, kiedy o takim połączeniu mówiło 28 proc. instytucji finansowych.

– Dzięki bezpośredniemu powiązaniu bezpieczeństwa cybernetycznego z pionem informatycznym, instytucje finansowe potencjalnie są lepiej przygotowane do przeciwdziałania zagrożeniom. Z organizacyjnego punktu widzenia należy jednak wyraźnie rozgraniczyć funkcje technologiczne od stricte związanych z cybersecurity. Jeśli bezpieczeństwo cybernetyczne będzie stanowić domenę działu IT, istnieje ryzyko, że kwestie zapobiegania zagrożeniom nie będą wystarczająco widoczne. Może zatem pojawić się problem osiągania doraźnych celów projektowych takich jak czas i budżet kosztem ich bezpieczeństwa – mówi Adam Rafajeński, Dyrektor Cyber Practice w Deloitte.

Firma doradcza zapytała również przedstawicieli instytucji finansowych, w jaki sposób specjaliści ds. cyberbezpieczeństwa mogą utrzymać swoją niezależność w ramach jednostek informatycznych. Respondenci wskazali główne rozwiązania. Po pierwsze, działy cybersecurity powinny zachować autonomię przy podejmowaniu decyzji dotyczących zarządzania ryzykiem. Po drugie, należy stworzyć powiązania między działalnością firmy i bezpieczeństwem cybernetycznym. Tym samym można odpowiednio dostosowywać programy z zakresu ochrony do planów biznesowych. W instytucjach finansowych równie ważne jest wspomniane już zaangażowanie zarządu w obszarze ryzyka ataków i nadanie temu wysokiego priorytetu.

Nowe technologie od zawsze wyznaczały priorytety w zakresie bezpieczeństwa cybernetycznego. Przez ostatnie trzy lata respondenci z dużych instytucji finansowych konsekwentnie deklarowali chęć inwestowania w chmurę obliczeniową. Znaczna część ankietowanych już umieściła infrastrukturę informatyczną w chmurze i zapowiada migrację podstawowych aplikacji biznesowych.

– Wzmożone zainteresowanie usługami cloud computing widoczne jest także w Polsce. Instytucje finansowe, które korzystają z aplikacji w modelu chmurowym, zdecydowanie nie wykorzystują jeszcze pełni potencjału tych rozwiązań. Spodziewamy się, że w przyszłości w rozwoju tej technologii dużą rolę odegrają centra obliczeniowe takie jak Centrum Google Cloud, dzięki którym polskie przedsiębiorstwa będą mogły skorzystać z większej mocy obliczeniowej czy możliwości bezpiecznego przechowywania danych – podsumowuje Przemysław Szczygielski.