Sprawozdanie KNF za 2023 rok
2024-08-19
Komisja Nadzoru Finansowego, jak co roku, opublikowała sprawozdanie ze swojej działalności. Interesująco (niestety) wygląda opis stwierdzonych zaniedbań w cyberbezpieczeństwie w podmiotach z branży finansowej.
Stwierdzono m.in.:
- brak przeglądów dokumentacji wchodzącej w skład SZBI (jakie to powszechne…),
- brak zasad przeprowadzania analizy ryzyka wynikającego z zastosowanych technologii informatycznych oraz dokonywania oceny wpływu przeprowadzanych zmian na środowisko teleinformatyczne,
- korzystanie z komponentów pozbawionych wsparcia producentów (!),
- braki dokumentowania w rejestrach incydentów przyczyn wystąpienia incydentu
- brak przeprowadzania okresowych kontroli poprawności wykonywania kopii awaryjnych oraz możliwości odtworzenia z nich danych (bolączka nie tylko branży finansowej…),
- brak sformalizowania zasad przeprowadzania procesu przeglądu uprawnień w związku ze zmianami zakresu obowiązków pracowników, zasad kontroli uprawnień dla dostawców usług IT, zasad zarządzania uprawnieniami użytkowników uprzywilejowanych oraz zasad przeglądów lub okresowej kontroli uprawnień, w tym uprawnień użytkowników uprzywilejowanych,
- brak przeprowadzania regularnych audytów w zakresie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT, współmiernych do występującego w funkcjonowaniu organizacji ryzyka związanego z technologiami i bezpieczeństwem ICT.
Lista zaniedbań była jeszcze dłuższa, ale oszczędzimy Wam dalszych argumentów do łapanie się za głowę – oczywiście ze zdziwienia😉
Maciej Bednarek
Organ nadzorczy nie ma obowiązku nakładania kary pieniężnej
Max Schrems znowu w akcji – Meta wstrzymuje się z przetwarzaniem danych w EOG
