• Home
• Revista
• Linkuri Utile
• Contact

Revista si suplimente
MarketWatch

• 
  Aprilie 2024 [Nr. 263]
• 
  Market Watch - Editie Speciala Decembrie, 2023
• 
  Market Watch - Editie Speciala Noiembrie, 2023
• 
  Market Watch Octombrie, 2023
• 
  Market Watch Septembrie, 2023
• 
  Market Watch Iulie - August, 2023
• 
  Market Watch - Editie Speciala - Martie, 2023
• 
  Market Watch Ianuarie-Februarie, 2023
• 
  Market Watch Decembrie, 2022
• 
  Market Watch Noiembrie, 2022
• 
  Market Watch Octombrie, 2022
• 
  Market Watch Septembrie, 2022
• 
  Market Watch Iulie - August, 2022
• 
  Market Watch Iunie, 2022
• 
  Market Watch - Editie Speciala - Mai, 2022
• 
  Market Watch Aprilie, 2022
• 
  Market Watch - Editie Speciala - Martie, 2022
• 
  Market Watch Ianuarie-Februarie, 2022
• 
  Market Watch Decembrie, 2021
• 
  Market Watch Noiembrie, 2021
• 
  Market Watch Octombrie, 2021

Market Watch,
Aprilie 2024 [Nr. 263]

• Sumarul Articolelor
• Arhiva Revistei
• Abonamente

MW Top Story
Academia Română astăzi

Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...

De ce au nevoie băncile de un CERT dedicat?

Una dintre temele centrale dezbătute în cadrul celei mai recente ediții a conferinței Cyberthreats a fost cea a necesității creării unui organism de tip CERT (Centru de Răspuns la Incidente de Securitate Informatică) destinat strict deservirii instituțiilor financiar-bancare. Dr. Călin Rangu, director adjunct în cadrul Autorității de Supraveghere Financiară, ne-a prezentat principalele argumente în favoarea creării acestei noi structuri cu atribuții de securitate în zona bancară.

Care sunt principalele provocări cu care se confruntă instituțiile financiar-bancare la acest moment?
Provocările din sistemul financiar-bancar sunt diverse. Țin, cred, de nivelul de specificitate al organizării și al proceselor interne, de nevoia de transparență, segregare de atribuții, implementare de puncte de control și indicatori de risc. Vorbim mult de atacurile externe, dar riscurile majore sunt cele interne, zonă în care CERT-ul nu poate ajuta decât, eventual, prin consultanță.

Există, la momentul actual, un deficit real de specialiști pe zona de securitate în bănci?
Nu cred că specialiștii lipsesc. Cred că lipsește o comunicare corespunzătoare a riscurilor la care se expun entitățile. Să luăm un exemplu concret: dacă aceste provocări sunt prezentate ca riscuri IT, cei din business, mai ales dacă nu au valențe tehnice, consideră că iar vin cei de la IT să le ceară bani, iar ei nu văd niciun beneficiu. Dacă li se prezintă analiza de risc în limbajul lor de business, cu impact clar și - mai ales - cu exemple, abordarea este mult mai eficientă.

De ce este atunci necesară înființarea unei structuri dedicate, de tip CERT financiar, și de ce nu pot fi acoperite nevoile instituțiilor financiare de o instituție precum CERT-RO, care se află deja în funcțiune, sau de către Sistemul Național de Securitate Cibernetică, operat de SRI?
CERT-RO are un rol de coordonare generală, este strict concentrat pe zons sectorului public. CERT-urile sectoriale au un rol specific, acesta fiind principalul motiv pentru care sunt create. Chiar și în sectorul public există CERT-uri specifice, de exemplu la Ministerul de Interne sau în zona apărării, ceea ce este foarte normal, pentru că au un specific care necesită o monitorizare de specialitate. La fel și în domeniul financiar-bancar, pentru a putea răspunde profesionist trebuie să cunoști specificul activității și să adaptezi modul de monitorizare și reacție în mod corespunzător. Este la fel ca și în IT - e un limbaj valabil oriunde dacă vorbești, la nivel generic, de hardware, software, standarde etc. Dar dacă vorbești de aplicații bancare și vrei să ai o contribuție activă în business, trebuie să fii specialist pe acel sector. Iar rolul securității nu este de a cheltui bani pe sisteme, ci de a reduce riscurile și a proteja business-ul, de aceea specialiștii trebuie să cunoască în profunzime respectivul domeniu de activitate, cu implicațiile specifice. Revenind la întrebarea inițială, centrul de la SRI este una dintre cele mai profesioniste structuri de securitate - nu numai din România, dar și la nivel european și in NATO -, iar rolul sau va fi întotdeauna foarte mare, mai ales prin credibilitatea care și-a construit-o în timp. Are însă un specific și nu poate trece de o anumită barieră specifică rolului său.

Există entități similare CERT-ului financiar la nivel internațional?
La nivel european există CERT-uri specifice, chiar am vizitat unul din Austria, aferent zonei bancare, un CERT privat de succes.

Cum se încadrează un astfel de proiect în reglementările existente la nivel național?
Reglementările trebuie adaptate. Din acest motiv, ASF a venit cu o ințiativaă de instrucțiune, care se discută la nivel global în acest moment, cu BNR și SRI. Inițiativa ASF este apreciată, ambițioasă, dar scopul principal, în primă fază, este conștientizarea nevoii și profesionalizarea graduală a managementului riscurilor operaționale generate de IT. Aceste riscuri pot afecta direct consumatorii de servicii financiar-bancare și, din acest motiv, reglementările sunt necesare pentru a crea un cadru proactiv și a corecta acolo unde interesele comerciale sunt precumpănitoare față de măsurile de managament al riscurilor și de protecție a consumatorilor.

Una dintre atribuțiile unei structuri de tip CERT este de a facilita comunicarea între actorii pieței - există un blocaj de comunicare în domeniul financiar-bancar?
Nu este un blocaj de comunicare, comunicăm chiar mult. Este un proces în evoluție, care credem că se va finaliza curând prin implicarea mai multor factori de specialitate (cum este Asociația Natională pentru Securitatea Sistemelor Informatice, de exemplu) sau factori de decizie -care cunosc anumite spețe și riscurile aferente (care, de cele mai multe ori, nu sunt publice) și trebuie să realizeze un transfer de informații și know-how.

Ce beneficii sunt preconizate a fi atinse în urmă creării acestei noi structuri de tip CERT?
Beneficiile apariției CERT-ului financiar vor fi resimțite imediat prin informări și alerte corecte și profesioniste, prin oferirea de soluții de contracarare și combatere. Pentru entitățile mici, cele din piața de capital, intermediari, care nu își permit să aibă specialiști scumpi și nici sisteme complexe, CERT-ul va fi un sprijin real. Pe de altă parte, înființarea acestei noi structuri dedicate va contribui decisiv la creșterea nivelului de maturitate al abordărilor problemelor generate de riscurile operaționale aferente IT-ului, apoi de aspectele practice, concrete, punctuale, contribuind la edificarea unei culturi solide în domeniu.

Va avea nou creata entitate atribuții și în zona de auditare și evaluare, își va asuma responsabilități și în zona de consultanță?
Nouă structură ar trebui să poată face toate aceste lucruri. De fapt, acestea sunt zonele care pot genera valoarea adăugată a serviciilor oferite de CERT-ul financiar: oferirea de consultanță, evaluarea, propunerea de alternative, care apoi să fie adoptate de fiecare entitate și aplicate pe baza analizei interne proprii de risc. Și auditul ar putea reprezenta o potențială zonă de activitate, însă trebuie astfel realizată încât să asigure conservarea competiției pe piață. Ultimul lucru de dorit ar fi crearea unui monopol, pentru că ar crește riscul de întoarcere la stadiul formelor fără fond, la auditurile de complezență, formale.

Care sunt reacțiile instituțiilor financiar-bancare vizavi de inițiativa unui CERT financiar?
Feedback-ul aferent pieței fianciare este unul bun. Se simte nevoia unui CERT, mai ales dacă nu interesează pe nimeni cine are problema - problemele semnalate și constatate vor fi anonimizate, focusul punându-se pe rezolvarea pe baze solide.

Lasa un comentariu

Nume:
Email (nu va fi afisat):
Comentariu:

Home | Revista | Solutii | Evenimente | Dictionar | Linkuri Utile | Newsletter | RSS | Contact