Nowelizacja Krajowy System Cyberbezpieczeństwa (KSC) w sektorze bankowym i finansowym nie przyniosła przełomu, lecz zweryfikowała poziom przygotowania instytucji. Zapraszamy do zapoznania się z komentarzem Lead Solution Consultant w Scalo Adama Grabka.
KSC w bankach – test dojrzałości zamiast rewolucji
W przypadku banków i instytucji finansowych nowelizacja Krajowego Systemu Cyberbezpieczeństwa (KSC) nie była rewolucją, raczej testem dojrzałości. Nowe regulacje nie są bowiem wymysłem stworzonym w próżni, tylko formalizacją dobrych praktyk, które każda organizacja – szczególnie jeśli zalicza się do grona operatorów usług kluczowych – powinna od dawna w dużej mierze przestrzegać. Poziom zamieszania, jakie dana instytucja doświadczyła podczas działań przygotowawczych, można było potraktować jako wskaźnik jakości jej dotychczasowych standardów. Im większe problemy, tym większe zaległości w fundamentach.
Polecamy: NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa
Sektor bankowo-finansowy. Cztery typy instytucji – kto był gotowy na KSC
Z naszej perspektywy sektor bankowo-finansowy w kontekście wdrożenia KSC można podzielić na cztery grupy: gotowe, ale nieświadome; gotowe i świadome; niegotowe i nieświadome, niegotowe, ale świadome. Zespoły gotowe miały oczywiście najłatwiej; dzięki swojej wyższej dojrzałości odbierają obecnie jedynie dywidendy. Te niegotowe mają do odrobienia pracę domową, która niestety realnie wpłynie na dotychczasowe cele dostarczania oraz ich terminy. Taka zmiana priorytetów często jest trudna do przyjęcia w zespołach, które są przywiązane do dotychczasowej strategii. Podmioty, które nie miały zbudowanej świadomości bezpieczeństwa ani jasno zdefiniowanych procesów, musiały zacząć od edukacji – mapowania stanu obecnego i budowania uzasadnienia dla zmian. To znacząco wydłużało czas wdrożenia i zwiększało jego koszt. Inwentaryzacja środowiska IT, zrozumienie przepływów danych, identyfikacja właścicieli systemów czy mapowanie dostępu to zadania, które brzmią banalnie, ale w dużych organizacjach finansowych są często rozproszone między zespołami i systemami legacy. Doposażenie starszych systemów w odpowiedni monitoring czy integracja ich z nowoczesnymi narzędziami bezpieczeństwa to już tylko konsekwencja wcześniejszego braku spójnego obrazu całości. Bez tej wiedzy trudno mówić o skutecznym zarządzaniu incydentami czy spełnianiu wymogów raportowych.
Warto dodać, że problemy na poziomie komunikacji między działami, decyzyjności, priorytetyzacji czy braku wspólnego języka między IT a biznesem pojawiały się w instytucjach znacznie częściej niż ograniczenia technologiczne. W większości przypadków dostępne narzędzia i rozwiązania były wystarczające.
KSC porządkuje system, zamiast go zmieniać
Czy zatem KSC wymusił nową jakość w bezpieczeństwie? W praktyce rzadko. Znacznie częściej uporządkował to, co już istniało, ale było niespójne, niesformalizowane lub zależne od wiedzy konkretnych osób. Regulacja działa tu jak mechanizm standaryzujący i wymuszający konsekwencję – nie tyle innowację, co dyscyplinę operacyjną. Warto też podkreślić, że w sektorze finansowym zależność od zewnętrznych dostawców rzadziej była wąskim gardłem niż w innych branżach. To zasługa bardzo restrykcyjnych polityk zakupowych i wysokich wymagań wobec dostawców oprogramowania. Paradoksalnie, często to systemy wewnętrzne, rozwijane przez lata i obciążone długiem technologicznym, stanowiły większe wyzwanie niż rozwiązania zewnętrzne.
KSC - egzamin, który pokazał słabe i mocne strony
Wdrażanie reguł nowelizacji Krajowego Systemu Cyberbezpieczeństwa w bankach i instytucjach finansowych można uznać za egzamin dojrzałości. Tam, gdzie istniały solidne fundamenty i świadome zarządzanie zmianą, regulacja została wdrożona relatywnie płynnie. Tam, gdzie ich brakowało, KSC stał się katalizatorem trudnej, ale potrzebnej transformacji.
Adam Grabek, Lead Solution Consultant w Scalo
