CERT w strukturach banku to w wielu krajach zjawisko powszechne. Dlatego z prawdziwą przyjemnością należy odnotować powstanie pierwszego zespołu typu CERT w strukturach polskiego banku. Alior Bank powołał do życia CSIRT Alior Bank. Krótki wywiad z jego liderem i menadżerem ds. monitorowania bezpieczeństwa IT w Alior Banku – Przemysławem Skowronem (fot.).Mirosław Maj (Fundacja Bezpieczna Cyberprzestrzeń): CSIRT Alior Bank jest pierwszym w Polsce oficjalnym CERT-em ulokowanym w sektorze bankowym. Jak to się stało, jaka jest geneza decyzji o powstaniu zespołu?
Przemysław Skowron (CSIRT Alior Bank): W Europie i na świecie oficjalny CSIRT w bankach to często standard, w Polsce sytuacja wygląda nieco inaczej. Doświadczeni eksperci, najnowsze technologie i narzędzia nie wystarczą, aby nowoczesny bank odniósł sukces. Dlatego w Alior Banku od momentu rozpoczęcia działalności operacyjnej była osoba odpowiedzialna za monitorowanie i obsługę incydentów. Z czasem zwiększyła się liczba klientów obsługiwanych przez bank, pojawiły się nowe systemy IT, a także zmieniły się trendy zagrożeń. Dlatego przyszedł czas na zmiany organizacyjne, w rezultacie których powstał CSIRT Alior Bank. Poza kontynuacją realizacji celów nadrzędnych, wynikających między innymi z prawa bankowego, regulacji zewnętrznych i wewnętrznych oraz dobrych praktyk z zakresu bezpieczeństwa, zależało nam na zorganizowaniu warunków do pracy w sytuacjach trudnych i pod presją czasu. Aby to osiągnąć z zachowaniem wysokiego stopnia efektywności i skuteczności uznaliśmy, że najlepiej będzie powołać w tym celu dedykowaną, niezależną jednostkę w strukturach Departamentu Bezpieczeństwa.
MM: Jak duży jest zespół, jakie ma kompetencje i jakie są jego główne zadania?
PS: Aktualnie są to trzy dedykowane osoby na stanowisku eksperta, wspierane w razie potrzeby przez stażystów, dla których może to być naturalna ścieżka do przyszłego zatrudnienia w naszym zespole. Generalnie na rynku pracy w Polsce mało jest specjalistów z doświadczeniem w zespołach typu CERT/CSIRT. Zakres kompetencji zespołu CSIRT jest dość duży z uwagi na charakter zadań. Zajmujemy się potencjalnymi nadużyciami dotyczącymi bezpieczeństwa informacji przetwarzanych w naszej organizacji w kontekście zagrożeń o charakterze zarówno zewnętrznym jak i wewnętrznym.
Monitorowanie bezpieczeństwa to proces ciągły i złożony z kroków takich jak identyfikacja ryzyk, analiza możliwości objęcia ich monitoringiem oraz implementacja samego monitoringu. Identyfikacja zagrożeń, czy konkretnych ryzyk nie ogranicza się tylko do obsługi zgłoszeń z zewnątrz i wewnątrz organizacji. Przede wszystkim działamy pro-aktywnie skupiając się na poszukiwaniu zagrożeń na co dzień. Nie robimy tego sami, ale w ramach większego zespołu w strukturze, której część stanowi CSIRT. Nasze kompetencje są również związane z obsługą potencjalnych incydentów, które zostały wykryte przez system monitorowania bezpieczeństwa lub zgłoszone. W rezultacie naszych działań powstają rekomendacje, które mają zagwarantować, że w przyszłości dany incydent się nie powtórzy lub będziemy o jego wystąpieniu wiedzieć z odpowiednim wyprzedzeniem.
MM: Czy odpowiadacie również za codzienne bezpieczeństwo teleinformatyczne Alior Banku, czy tylko reagujecie jak już coś się stanie?
PS: Zajmujemy się przede wszystkim wykrywaniem symptomów niepożądanej aktywności i przeciwdziałaniem im. Aktywność tylko po wystąpieniu danego zdarzenia to zadanie dla firm lub jednostek specjalizujących się w tego typu usługach. Jeśli zajdzie taka potrzeba CSRIT zajmuje się również takimi sprawami, jednak naszym głównym zadaniem jest niedopuszczanie, aby w ogóle miały one miejsce. CSIRT jest częścią Zespołu Bezpieczeństwa Informacji, który podejmuje cały szereg działań mających zapewnić bezpieczeństwo informacji w banku.
MM: Czy prowadzicie własne analizy złośliwego oprogramowania będącego zagrożeniem dla klientów Banku?
PS: Tak, jednak nie skupiamy się na analizie samej budowy złośliwego oprogramowania. Większą wagę przykładamy do opracowania sposobów wykrywania takiego oprogramowania i ograniczenia jego funkcjonalności.
MM: Z pewnością zadania związane z bezpieczeństwem IT są realizowane w Alior Banku od dawna. Co ma zmienić istnienie CSIRTu? Czego się spodziewacie?
PS: Zadaniami związanymi z bezpieczeństwem IT zajmuje się Zespół Bezpieczeństwa Informacji, wewnątrz którego narodził się CSIRT. CSIRT ma pozwolić na uproszczone zarządzanie zasobami ludzkimi, wyznaczać priorytety prac członków zespołu i gwarantować monitoring bezpieczeństwa i obsługę incydentów. W konsekwencji zaś zapewnić efektywny i skuteczny model pracy. Pojawienie się CSIRT Alior Bank ma również umożliwić i usprawnić komunikację z analogicznymi zespołami z innych sektorów gospodarki, w ramach m.in. Abuse Forum do którego należymy.
MM: Dziękuję za te ciewkawe informacje i życzę powodzenia w funkcjonowaniu zespołu.
PS: Dziękuję bardzo.