powrót do listy wpisów

07 Stycznia 2020 W obronie przed hakerami

Artykuł ukazał się w czasopiśmie Bank Spółdzielczy nr 4/594, październik-grudzień 2019

Wraz z naturalnym i oczekiwanym w sektorze rozwojem bankowości mobilnej oraz bankowości otwartej, będzie rosła liczba tzw. incydentów cyberbezpieczeństwa, także tych nazywanych „krytycznymi”. Nowa ustawa ma usystematyzować działania, które w tym zakresie podejmują banki.

Już 13 mln Polaków korzysta z bankowości mobilnej, a 17 milionów z internetowej – przekazuje raport Bankier.pl i PR.News za III kwartał br. Z pewnością ich użytkowników będzie nadal szybko przybywać. Firma Fortinet w swoim raporcie o cyberzagrożeniach w III kwartale 2018 r. przekazała, że wraz ze wzrostem liczby klientów korzystających ze zdalnych kanałów rośnie nie tylko liczba, ale i zróżnicowanie cyberataków. Dziś, na celowniku hakerów są przede wszystkim urządzenia mobilne, smartfony i tablety z systemem Android. Jak wynika z Barometru Ryzyk Allianz 2019, incydenty cybernetyczne (37%) oraz przerwy w działalności biznesu (37%) są wskazywane przez firmy jako obecnie największe ryzyka biznesowe na całym świecie (…). Zabezpieczenie przed cyberprzestępcami kosztuje światowe firmy ok. 600 mld dolarów rocznie.

Banki spółdzielcze stawiają czoła cyberatakom zarówno samodzielnie, jak i przy wsparciu obu zrzeszeń oraz izb samorządowych, podejmujących działania edukacyjne. Według badania WIB, Polacy z jednej strony w lwiej części ufają bankom, że dobrze zabezpieczają ich konta, ale jednocześnie czują się niedostatecznie doinformowani w zakresie grożących niebezpieczeństw, krytycznie oceniając swój poziom kompetencji w tym zakresie. „Brak znajomości ryzyk związanych z bezpieczeństwem w sieci może wynikać z podobnych odczuć w zakresie wiedzy o usługach bankowych 77 proc. badanych uznało swój poziom kompetencji w zakresie użytkowania bankowości mobilnej za niski a 76% odnosi się w ten sposób także do bankowości internetowej (dane ZBP)” – czytamy w Raporcie ZBP „Cyberbezpieczny portfel”.

Rola banków zrzeszających
Ważna ustawowa rola organizowania „cyberoporu” przypadła obu bankom zrzeszającym, które mają tu do wypełnienia jasno i konkretnie postawione zadania i obowiązki. Nakłada je ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) z 5 lipca 2018 r., która weszła w życie 13 sierpnia 2018 (Dz.U. 2018 poz. 1560). Implementuje ona europejską dyrektywę NIS (Network and Information Systems Directive) dotyczącą bezpieczeństwa sieci i informacji. 9 listopada br. minął kolejny termin ustawowy. Cześć banków, szczególnie tych większych (w tym banki zrzeszające), staje się tzw. operatorami usługi kluczowej. W związku z tym ciążą na nich szczególne obowiązki związane z zapewnieniem cyberbezpieczeństwa własnego oraz swoich klientów.

Budowa wewnętrznej skutecznej infrastruktury cyberbezpieczeństwa zaczęła się w zrzeszeniach oczywiście wcześniej, zanim pojawiła się ustawa. Ale nadal nie jest to proces, o którym można powiedzieć, że został zakończony. Nie chodzi tylko o nakłady w nowe technologie i pracę nad wdrożeniami. Zespoły typu Security Operation Center (SOC) działają w obu bankach zrzeszających. Jednak coraz powszechniejsza jest świadomość, że im więcej cyfryzacji w naszym życiu, tym więcej potrzeba specjalistów do jej obrony. W ciągu 9-ciu ostatnich lat liczba pracowników, w szeroko rozumianej infrastrukturze technologicznej w całym sektorze bankowym (w tym w sektorze banków spółdzielczych), wzrosła kilkukrotnie, przy czym szczególnie poszukiwani są specjaliści w zakresie cyberbezpieczeństwa. Można przy tym zastanawiać się, czy nie lepszym rozwiązaniem byłoby ich „fizyczne” rozproszenie i powierzenie im pracy zdalnej w ramach SOC – przy zachowaniu oczywiście wszystkich norm bezpieczeństwa (przede wszystkim bezpiecznego łącza), zamiast komasowania informatyków w jednym budynku – co prawda, w obwarowanych szczegółowymi przepisami „pancernych” pomieszczeniach, ale narażonych na zmyślny atak hakerski na zewnętrzny system, np. zasilania energetycznego.

Co musi zrobić tzw. operator usługi kluczowej?
Bankowcy, wchodząc w rolę ustawowego operatora usługi kluczowej, są zobligowani w ciągu 3 miesięcy m.in. do stworzenia wewnętrznych struktur do zarządzania cyberbezpieczeństwem (przede wszystkim SOC), wdrożenia programu systematycznej analizy i zarządzania ryzykiem. Także do uruchomienia sprawnie funkcjonującego procesu zarządzania incydentami bezpieczeństwa. Raporty na ich temat muszą być teraz przekazywane zarówno do KNF, jak i do sieci naukowej i akademickiej NASC. Tak zwane poważne incydenty (określone w Rozporządzeniu RM z dnia 11 września 2018 r. „w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych”) będą musiały trafiać do krajowego zespołu CSIRT, czyli do sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego w czasie nieprzekraczającym 24 godzin od ich wykrycia.

Na tym jednak nie koniec. W kolejnym terminie ustawowym (6 miesięcy) operatorzy usług kluczowych zostali zobowiązani: przygotować zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po kolejnym roku muszą dopuścić zewnętrznego audytora bezpieczeństwa do badania efektów tych prac. Później audyty mają być przeprowadzane co dwa lata, ale jeśli zlekceważą którykolwiek z tych obowiązków ustawowych, mogą zostać ukarani.

Co z bankami spółdzielczymi?
Ustawa o KSC nie obliguje banków spółdzielczych do raportowania do NASK czy KNF na temat zdarzających się incydentów cyberbezpieczeństwa. Oczywiście zdarzenia takie mogą wychwytywać banki zrzeszające i służyć zrzeszonym bankom wsparciem – o ile tego wsparcia potrzebują. O incydentach może dowiedzieć się także KNF. Niektóre banki mogą same zawiadamiać zarówno bank zrzeszający, jak i KNF w swoim dobrze pojętym interesie.

Po co najmniej kilku latach okaże się, jak w praktyce działają mechanizmy cyberbezpieczeństwa w sektorze. Nie można też wykluczyć, że część banków spółdzielczych zostanie z czasem uznana przez nadzorcę rynku i regulatora za operatorów usług kluczowych, co nałoży na nie nowe obowiązki.

powrót do listy wpisów