NOWE TECHNOLOGIE I CYBERBEZPIECZEŃSTWO

Tytuł:

CERTYFIKACJA PRODUKTÓW I USŁUG TELEINFORMATYCZNYCH Z UWZGLĘDNIENIEM POTRZEB SEKTORA BANKOWEGO

Autor:

dr inż. Elżbieta Andrukiewicz

Raport poświęcony jest zagadnieniom certyfikacji cyberbezpieczeństwa – ze szczególnym naciskiem położonym na sektora bankowy. Certyfikacja cyberbezpieczeństwa to potwierdzenie zgodności rozwiązań z określonymi kryteriami, dokonane przez niezależny podmiot na podstawie ewaluacji przeprowadzonej przez akredytowane laboratorium. Certyfikacja cyberbezpieczeństwa nie jest obecnie istotnym czynnikiem marketingu banków. Efekt braku zgłębienia kwestii certyfikacji bezpieczeństwa może jednak wpłynąć w przyszłości negatywnie na opinię klientów o banku.

Autorka analizy omawia specyfikę oceny zgodności w cyberbepieczeństwie, szczególną uwagę poświęcając Common Criteria, jako normom będącym podstawą ewaluacji bezpieczeństwa produktów IT. Dokonano także diagnozy obecnego podejścia do zagadnień cyberbezpieczeństwa – w oparciu o przegląd stosowanych standardów w obszarze bezpieczeństwa teleinformatycznego w sektorze bankowym. Szczególną uwagę w tym względzie poświęcono dyrektywom NIS i PSD2 oraz Rekomendacjom KNF i standardom branżowym, stosowanym w certyfikacji produktów na użytek sektora bankowego.

Przedmiotem analizy stały się także rozwiązania z zakresu certyfikacji cyberbezpieczeństwa, nad którymi prace wciąż jeszcze trwają, ewentualnie są dopiero planowane. Obok przeglądu dyrektywy NIS, istotnym kierunkiem rozwoju usług w cyberprzestrzeni będą w najbliższym czasie wdrożenia rozwiązań chmurowych, przy uwzględnieniu wymagań bezpieczeństwa wynikających z Rozporządzenia 2018/1807 dot. swobodnego przepływ danych nieosobowych w ramach UE. Jednocześnie, w dalszym ciągu istotne wątpliwości i obawy natury prawnej (RODO) budzą rozwiązania chmurowe zapewniające przetwarzanie danych osobowych. Komplementarnym torem podąża Akt o cyberbezpieczeństwie, rozporządzenie unijne wprowadzające ogólnoeuropejskie ramy certyfikacji cyberbezpieczeństwa usług, produktów i procesów ICT.

Jednym z pierwszych obszarów wdrożenia Aktu o cyberbezpieczeństwie są rozwiązania chmurowe. Obecnie outsourcing usług, takich jak chmura, jest w sektorze bankowym ściśle regulowany, autorka aportu analizuje czy i jak rozpowszechnienie jednolitej certyfikacji może wpłynąć na zmianę tego stanu. W jej ocenie, wprowadzenie unijnej certyfikacji cyberbezpieczeństwa spowoduje wzrost zaufania do rozwiązań chmurowych, co może pozytywnie wpłynąć na uelastycznienie podejścia KNF do outsourcingu.

Podsumowaniem analizy są rekomendacje – sformułowane odrębnie dla sektora bankowego, regulatorów oraz Ministerstwa Cyfryzacji.

Przewiń do góry