Są zmiany, a czasu mało. Wytyczne EBA ws. zarządzania ryzykami IT oraz bezpieczeństwa
Ważne jest też to, jak wpływają one na niedawno opublikowane wytyczne EBA w sprawie outsourcingu (oraz komunikat KNF w tej sprawie), a także potencjalnie projekt komunikatu KNF w sprawie wykorzystania chmury obliczeniowej.
Wytyczne mają znaczenie zarówno dla banków, jak i dostawców usług płatniczych, którzy są obowiązani do posiadania ramowego systemu zarządzania ryzykiem, w tym krajowych instytucji płatniczych.
Banki a dostawcy usług płatniczych
Posiadanie odpowiednich rozwiązań w zakresie zarządzania ryzykiem bezpieczeństwa oraz ICT to wymóg „rozsiany” po wielu regulacjach.
Z punktu widzenia banków najistotniejsze będzie Rozporządzenie Ministra Finansów w sprawie zarządzania ryzykiem, wytyczne EBA w sprawie zarządzania wewnętrznego, ale również ustawa o cyberbezpieczeństwie i akty delegowane, a także rekomendacje ws. bezpieczeństwa opracowane przez grupę ds. PolishAPI przy Związku Banków Polskich.
Z kolei z punktu widzenia dostawców usług płatniczych kluczowa będzie ustawa o usługach płatniczych (w szczególności art. 64a) oraz ww. wytyczne wraz z wytycznymi EBA w sprawie udzielania zezwoleń pod PSD2. Głównie z perspektywy dostawców usług inicjowania płatności oraz dostępu do informacji o rachunku.
Przy tej okazji warto zwrócić uwagę na krótki okres na wdrożenie (czerwiec 2020), tym bardziej, że wytyczne dotyczą również umów
Nowa definicja ryzyka
Co wysuwa się na plan pierwszy, to nowa definicja ryzyka ICT oraz bezpieczeństwa. W pewnym uproszczeniu (na razie brakuje polskiej wersji językowej) jest to:
ryzyko utraty integralności systemów oraz danych, niepoprawnego działania lub niedostępności systemów lub danych, czy też możliwości „podmiany” stosowanej technologii informatycznej w rozsądnym czasie i za rozsądne pieniądze, które powstały wskutek utraty poufności (nieuprawnionego dostępu).
Definicja ta wskazuje, że tego typu ryzyka mogą powstać w szczególności w związku z niewłaściwymi procedurami wewnętrznymi, w tym brakiem kontroli dostępu na zasadzie „wiedzy koniecznej” lub zewnętrznymi zdarzeniami, które mogą obejmować ataki cybernetyczne lub niewłaściwe zabezpieczenia fizyczne.
Na tą definicję warto zwrócić uwagę przede wszystkim ze względu na proces zarządzania incydentami, opisany m.in. w wytycznych EBA w tej sprawie oraz komunikacie KNF w sprawie raportowania incydentów.
Strategia ICT!
Podmiot musi posiadać odpowiednią strategię ICT. To z kolei wymaga posiadania odpowiedniego, doświadczonego i „wyedukowanego” personelu, który będzie w stanie ją zaimplementować.
Zarząd odpowiada również za zapewnienie przeszkolenia, np. w kontekście nowych zagrożeń w zakresie cyberbezpieczeństwa. Warto zwrócić uwagę, że w wytycznych znajdziemy nowe obowiązki związane z tzw. ICT project management.
Taka strategia powinna być dostosowana do strategii biznesowej instytucji, która jest przyjmowana najczęściej przez zarząd. Musi ona zawierać:
− informacje, jak podmiot zamierza zapewnić prawidłowe wykonywanie ogólnej strategii biznesowej oraz dostosowywać się do wymogów zmieniającego się otoczenia;
− planowane działania oraz „ewolucję” architektury informatycznej, również w odniesieniu do wykorzystania outsourcerów;
− jasną informację odnośnie celów komórki bezpieczeństwa oraz tego, jak będzie ona realizować te cele.
Taki plan działania (strategia) powinien być regularnie aktualizowany i nie mieć charakteru wyłącznie życzeniowego. Musi mu towarzyszyć odpowiedni zestaw narzędzi.
Co istotne, taka strategia (lub jej część) powinna być komunikowana do wszystkich pracowników podmiotu, ale także dostawców usług outsourcingowych, a nawet tzw. Third Party Providers.
Outsourcing a cyberbezpieczeństwo
Nowe wytyczne kładą nacisk na obowiązki związane ze współpracą z podmiotami trzecimi. Najważniejsze jest tutaj zapewnienie, że podmiot posiada efektywne środki zarządzania ryzykiem, które uwzględniają, że niektóre czynności operacyjne (w tym związane z usługami płatniczymi) mogą być powierzane podmiotom zewnętrznym
lub też infrastruktura IT wykorzystywana jest przez podmioty trzecie (np. w ramach otwartej bankowości z użyciem Application Programming Interface.
Znaczenie będzie tutaj miała nie tylko polityka (procedury) zarządzania ryzykiem, ale odpowiednio dostosowana polityka outsourcingu.
Same polityki i procedury nie będą jednak efektywne, choć na etapie „projektowania” współpracy będą istotne, jeżeli nie będzie im towarzyszył odpowiednio „skrojony” kontrakt.
Z tego względu bardzo istotne będzie zapewnienie, że w umowach z outsourcerami mamy określone tzw. Service Level Targets oraz:
− zasady wymiany informacji i realizacji obowiązków w zakresie bezpieczeństwa (w tym minimalne standardy w zakresie cyberbezpieczeństwa – pomocne mogą być tutaj wytyczne OWASP);
− zasady rozwiązywania (i zgłaszania) incydentów operacyjnych i bezpieczeństwa, a także sposobu eskalowania zidentyfikowanych problemów oraz raportowania.
W umowie (oraz właściwych procedurach) należy określić zasady monitorowania oraz weryfikowania spełnienia wszelkich poziomów (np. dostępności usługi) istotnych z punktu widzenia podmiotu.
Będzie to miało kluczowe znaczenie w przypadku outsourcingu szczególnego (vide projekt komunikatu KNF) czy outsourcingu obejmującego funkcje istotne.
Pewne elementy będą musiały znaleźć się również w planach ciągłości biznesowej (BCP) oraz planach recovery.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315,
Counsel w Citi Handlowy, założyciel www.finregtech.pl
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.