Certyfikacja produktów i usług teleinformatycznych a cyberbezpieczeństwo sektora bankowego
Za zgodą dr inż. Elżbiety Andrukiewicz przedstawiamy omówienie raportu „Certyfikacja produktów i usług teleinformatycznych z uwzględnieniem potrzeb sektora bankowego”, który będzie prezentowała podczas seminarium.
Cyberbezpieczeństwo i certyfikacja cyberbezpieczeństwa
Cyberbezpieczeństwo stało się w ostatnich latach centralnym zagadnieniem w wielu sektorach gospodarki, w tym bankowym. Wraz z rozwojem technologicznym, w tym zwiększeniem znaczenia usług mobilnych, zmienia się krajobraz zagrożeń dla cyberbezpieczeństwa.
Ogólnie można powiedzieć, że cyberbezpieczeństwo to wszystkie działania i mechanizmy wdrożone, by chronić system teleinformatyczny przed atakami, które mogłyby zagrozić poufności, integralności lub dostępności danych. W ramach cyberbezpieczeństwa mieszczą się metody prewencji ataku, wykrywania i reagowania na incydent bezpieczeństwa oraz odtworzenia funkcjonalności systemu po ataku.
Certyfikacja cyberbezpieczeństwa to potwierdzenie zgodności rozwiązań z określonymi kryteriami, dokonane przez niezależny podmiot na podstawie ewaluacji przeprowadzonej przez akredytowane laboratorium. W niektórych sektorach, np. technologii informacyjnych, certyfikacja jest szeroko rozpowszechniona i stanowi przewagę konkurencyjną firmy.
W sektorze bankowym certyfikacja cyberbezpieczeństwa nie jest powszechna, lecz można prognozować, że to się zmieni w związku z polityką UE promocji Wspólnego Rynku Cyfrowego.
Banki jako operatorzy usług kluczowych
Działania UE, istotne dla sektora bankowego w kontekście cyberbezpieczeństwa, postępują dwutorowo. Pierwszy tor wyznacza dyrektywa NIS, wprowadzona w Polsce ustawą o Krajowym Systemie Cyberbezpieczeństwa. Banki, jako operatorzy usług kluczowych, stają się elementem ogólnoeuropejskiego systemu zgłaszania i reagowania na incydenty cyberbezpieczeństwa.
Wśród najważniejszych wymogów stawianych operatorom usług kluczowych, należy wymienić obowiązek zapewnienia funkcjonowania zespołu reagowania, działającego w trybie ciągłym oraz punktu kontaktowego dla krajowych zespołów reagowania na incydenty (CSIRT), które są wskazane w Ustawie.
Zakres podmiotowy i przedmiotowy usług kluczowych będzie z pewnością przedmiotem dalszego zainteresowania regulacyjnego UE. Zgodnie z zapowiedziami Komisji Europejskiej, w 2020 roku należy spodziewać się przeglądu dyrektywy NIS i dalszych prac, które mogą podnieść wymogi dotyczące systemów ochrony cyberprzestrzeni.
Istotnym kierunkiem rozwoju usług w cyberprzestrzeni będą w najbliższym czasie wdrożenia rozwiązań chmurowych, przy uwzględnieniu wymagań bezpieczeństwa wynikających z Rozporządzenia 2018/1807[1] dot. swobodnego przepływ danych nieosobowych w ramach UE. Jednocześnie, w dalszym ciągu istotne wątpliwości i obawy natury prawnej (RODO) budzą rozwiązania chmurowe zapewniające przetwarzanie danych osobowych.
Ramy certyfikacji cyberbezpieczeństwa usług, produktów i procesów ICT
Drugim, komplementarnym torem podąża Akt o Cyberbezpieczeństwie,
rozporządzenie unijne wprowadzające ogólnoeuropejskie ramy certyfikacji
cyberbezpieczeństwa usług, produktów i procesów ICT. W wielu obszarach
rozdrobnioną certyfikację krajową zastąpi jeden, europejski certyfikat
bezpieczeństwa, który z pewnością będzie znacznie lepiej i powszechniej
odbieraną gwarancją zgodności z wymogami bezpieczeństwa.
Jednym z pierwszych obszarów wdrożenia Aktu o cyberbezpieczeństwie są rozwiązania chmurowe. Obecnie outsourcing usług, takich jak chmura, jest w sektorze bankowym ściśle regulowany, jednak rozpowszechnienie jednolitej certyfikacji może wpłynąć na zmianę tego stanu.
W toku prac nad Aktem o Cyberbezpieczeństwie pojawił się pomysł obowiązkowej certyfikacji cyberbezpieczeństwa. Choć w końcowym efekcie pozostała koncepcja dobrowolności, to należy przyjąć, że obowiązek certyfikacji cyberbezpieczeństwa w obszarze usług kluczowych pojawi się w bliskiej przyszłości, w perspektywie 2 − 3 lat.
Akt o Cyberbezpieczeństwie wprowadza zatem kontekst regulacyjny dla certyfikowanych produktów i usług stosowanych w sektorze płatniczym (będących usługami kluczowymi).
Jednocześnie, rynek certyfikacji jest zdominowany przez organizacje globalne tzn. EMVCo i PCI, stworzone przez prywatne podmioty będące operatorami płatności i jako takie wydają certyfikaty, które są poza zakresem stosowania Aktu o Cyberbezpieczeństwie.
Należy zatem spodziewać się znacznych zmian w sektorze płatniczym przy rosnącej roli certyfikacji produktów i usług, a kierunek i siła tych zmian na pewno w najbliższym czasie będą przedmiotem dyskusji i kolejnych regulacji.
Certyfikacja cyberbezpieczeństwa nie jest obecnie istotnym czynnikiem marketingu banków, kierowanego do klientów indywidualnych i biznesowych. Jednak – jak wskazują wszystkie dostępne badania − świadomość zagrożeń cyberbezpieczeństwa, przede wszystkim związana ze wzrostem znaczenia bankowości internetowej i mobilnej, rośnie.
Efekt braku zgłębienia kwestii certyfikacji bezpieczeństwa może wpłynąć w przyszłości negatywnie na opinię klientów o banku.
Dyrektywa PSD2, TPP i rozwiązania chmurowe
W kontekście znaczenia certyfikacji cyberbezpieczeństwa dla sektora bankowego, warto wspomnieć również o dyrektywie PSD2, wprowadzającej dla banków obowiązek udostępniania danych niezależnym usługodawcom, Third Party Providers (TPP).
Punkt styku pomiędzy systemem banku a zewnętrznym usługodawcą tworzy kolejny obszar, który należy chronić przed atakami hakerów. Certyfikacja platform i interfejsów, wykorzystywanych na połączeniach systemów, będzie potwierdzeniem bezpieczeństwa stosowanych rozwiązań.
Polityka Wspólnego Rynku Cyfrowego UE silnie promuje rozwiązania chmurowe, zatem jednym z pierwszych obszarów objętych ogólnoeuropejską certyfikacją ma być właśnie chmura. Obecnie certyfikacja rozwiązań chmurowych jest rozproszona i rozwijania w krajach członkowskich niezależnie.
Wprowadzenie unijnej certyfikacji cyberbezpieczeństwa spowoduje wzrost zaufania do rozwiązań chmurowych, co może pozytywnie wpłynąć na uelastycznienie podejścia KNF do outsourcingu.
Dr inż. Elżbieta Andrukiewicz,
kierownik Zakładu Cyberbezpieczeństwa,
Instytut Łączności – Państwowy Instytut Badawczy,
kierownik projektu KSO3C.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej.
Śródtytuły – portal aleBank.pl.