BANK 2024/08

Nowoczesny Bank Spółdzielczy | Debata o Cyberbezpieczeństwie | Nowe zagrożenia wymuszają zmianę podejścia spółdzielców do cyberbezpieczeństwa

Jerzy Rawicz | Miesięcznik Finansowy BANK
Nowoczesny Bank Spółdzielczy | Debata o Cyberbezpieczeństwie | Nowe zagrożenia wymuszają zmianę podejścia spółdzielców do cyberbezpieczeństwa
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Aktywność cyberprzestępców stanowi jedno z kluczowych wyzwań dla sektora finansowego, a banki lokalne nie są tu wyjątkiem. Rozpowszechnienie narzędzi typu cybercrime as a service znacząco ułatwiło prowadzenie kampanii phishingowych czy ataków ransomware, obok dominujących do niedawna zagrożeń natury kryminalnej pojawił się też nowy wektor ataku w postaci rosyjskich służb, dążących do destabilizacji zachodnich gospodarek.

Szczególnego znaczenia w obecnych, niestabilnych uwarunkowaniach nabiera budowa cyberodporności, zarówno poszczególnych podmiotów, jak i całych sektorów, czy wreszcie należyte zabezpieczenie klientów branży finansowej będących wszak najsłabszym ogniwem systemu bezpieczeństwa. Kwestia ta stała się priorytetem dla europejskiego ustawodawcy, czego wyrazem może być choćby uchwalenie takich aktów prawnych, jak rozporządzenie o cyfrowej odporności operacyjnej (DORA) czy dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2). Działania w celu zwiększania bezpieczeństwa cyfrowego instytucji finansowych podejmują też ich nadzorcy w poszczególnych krajach.

W przypadku banków spółdzielczych, które w przeważającej większości funkcjonują w ramach zrzeszeń, szczególna rola w doborze technologii bezpieczeństwa adekwatnych do aktualnych zagrożeń, jak i wdrożenie odpowiednich procedur przypada w udziale bankom zrzeszającym, które wykorzystując efekt skali, są w stanie dostarczać swym członkom najświeższe narzędzia na wyjątkowo atrakcyjnych zasadach.

O tym, jak wygląda obecna mapa zagrożeń, w jakich kierunkach ewoluować będą strategie zorganizowanych grup przestępczych w nadchodzących latach, o wyzwaniach towarzyszących inwestycjom lokalnych instytucji finansowych w cyberbezpieczeństwo, znaczeniu sztucznej inteligencji w budowaniu odporności cyfrowej banków, a także o kształtowaniu kultury organizacyjnej promującej świadomość cyberbezpieczeństwa i proaktywne podejście pracowników różnych departamentów do tej kwestii – dyskutowano podczas debaty eksperckiej „Miesięcznika Finansowego BANK”. Trwający przeszło półtorej godziny panel moderował Paweł Minkina, redaktor naczelny czasopisma i wiceprezes zarządu Centrum Procesów Bankowych i Informacji. Partnerem debaty była firma Commvault, reprezentowana przez Annę Rydel, Przemysława FąfaręMarka Stodolaka.

Anna Rydel
Anna Rydel

Przemysław Fąfara
Przemysław Fąfara

Marek Stodolak
Marek Stodolak

Banki lokalne wchodzą w infrastrukturę krytyczną

Wyzwania w zakresie bezpieczeństwa instytucji finansowych zmieniły się diametralnie na przestrzeni ostatnich kilku lat, przekonywał Przemysław Fąfara. O ile wcześniejsze incydenty wywoływały z reguły lokalne konsekwencje, dając działom cyberbezpieczeństwa możliwość odpowiedniej reakcji, to od niespełna dekady (co zbiega się w czasie z serią hakerskich ataków Not Petya) na celowniku sprawców znalazły się kopie bezpieczeństwa. – Kiedy klient nie ma backupu, to stoi pod ścianą – podkreślił przedstawiciel Commvault. I dodał, iż w takiej sytuacji próba wymuszenia okupu (ransomware) wcale nie musi być najczarniejszym scenariuszem. Znacznie gorzej, kiedy celem jest zniszczenie danych, jak to miało miejsce w przypadku rosyjskiej agresji na Ukrainę. Przemysław Fąfara wspomniał przypadek jednego z ukraińskich banków, który w ciągu zaledwie kwartału dokonał migracji całych zasobów do chmury AWS, nie chcąc dopuścić do ich utraty podczas bombardowań.

Paweł Gula
Paweł Gula

Cyberprzestępcy dysponują mnogością potencjalnych scenariuszy, co utrudnia działania prewencyjne, tymczasem odzyskiwanie utraconych danych czy dostępu do nich, nawet jeśli zakończy się sukcesem, trwać może tygodniami. – Cały czas reagujemy niejako post factum na to, co dzieje się na rynku – zaznaczył Paweł Gula, prezes zarządu spółki VerdIT. Zwrócił uwagę na fakt, że w myśl nowych regulacji, w szczególności zmienionej niedawno ustawy o krajowym systemie cyberbezpieczeństwa, banki lokalne zaczynają wchodzić w infrastrukturę krytyczną. Istotne zmiany paradygmatu w obszarze cyberodporności przyniosła pandemia COVID-19 i towarzyszące jej upowszechnienie pracy zdalnej. Z kolei doświadczenia wojny za naszą wschodnią granicą uzmysłowiły potrzebę odseparowania czy relokacji centrów zapasowych od głównych zasobów banku. Prezes VerdIT zapewnił, że w tych okolicznościach niezbędna jest budowa odpowiedniej świadomości zagrożeń – tak po stronie samych bankowców, jak i klientów instytucji finansowych. Zdaniem Pawła Guli, obecna dynamika zmian w pełni uzasadnia określenie „rewolucja przez ewolucję” – konsekwentny proces transformacji dynamicznie przyspieszył, z czego korzystają przestępcy, a banki muszą dotrzymać kroku aktualnym wyzwaniom. W tym scenariuszu miejsce dla AI jest po obu stronach.

Mariusz Kumorek
Mariusz Kumorek

Arkadiusz Kurasz
Arkadiusz Kurasz

Włodzimierz Kiciński
Włodzimierz Kiciński

Mariola Walendowska
Mariola Walendowska

Różne podmioty, te same zagrożenia

Jak w tym kontekście przedstawia się sytuacja bankowości lokalnej? Mariusz Kumorek, wiceprezes zarządu Krakowskiego Banku Spółdzielczego (KBS), podkreślił, że przy kilkuprocentowym udziale w aktywach polskiego sektora bankowego i silnym rozdrobnieniu lokalne instytucje finansowe nie są atrakcyjnym celem dla potencjalnych sabotażystów, którym zależy na rozgłosie czy sparaliżowaniu infrastruktury krytycznej w sporej części kraju. Nie oznacza to, że zagrożenia nie istnieją i należy je lekceważyć. Jego zdaniem, znacznie większe podatności stwarza niewystarczające wyszkolenie i nieświadomość pracowników, która ułatwia wystąpienie zagrożenia. Ma to znaczenie zwłaszcza dziś, w czasach olbrzymiej konkurencji na rynku pracy, przede wszystkim w sferze IT. – Inny jest koszt pozyskania dobrego specjalisty w Warszawie czy w Krakowie, inny w mniejszych miejscowościach, a zagrożenia wszyscy mamy takie same – dodał Mariusz Kumorek.

Każdy z banków ma wdrożone różne systemy, znacznie poprawiające poziom bezpieczeństwa, ale system nie rozwiąże za nie problemu bez odpowiedniego pracownika dysponującego odpowiednią wiedzą, pewnej świadomości oraz dyscypliny. Problem ten dotyka zwłaszcza podmioty funkcjonujące samodzielnie i niemogące liczyć na wsparcie ze strony zrzeszeń, które muszą same zapewnić odpowiedni, oczekiwany poziom bezpieczeństwa. Wiąże się to z ponoszeniem sporych nakładów finansowych, które nie są podzielone na grupę banków.

Wyzwaniem jest też konieczność pogodzenia wymogów bezpieczeństwa z oczekiwaniami klientów w zakresie dostępności usług. Wiceprezes KBS przypomniał, że przez wiele lat banki lokalne były niedoinwestowane pod względem technologicznym, dopiero od pewnego czasu widoczna jest skokowa poprawa w tym zakresie, co pozwala nadrabiać dystans względem instytucji komercyjnych. Zaapelował też o stosowanie zasady proporcjonalności regulacyjnej, tak by uwzględniać specyfikę bankowości lokalnej i typowe dla tego segmentu zagrożenia.

Arkadiusz Kurasz, wiceprezes zarządu Mikołowskiego Banku Spółdzielczego w Mikołowie, polemizował ze swym przedmówcą, wskazując, że skala prowadzonej działalności nie przekłada się wprost na zagrożenie cyberatakiem. Również skąpe zasoby finansowe lokalnych banków nie mogą być przesłanką dla obniżenia standardów w zakresie cyberbezpieczeństwa. – Jeżeli kogoś nie stać na to, żeby zapewnić kadrę informatyczną czy systemy dające najwyższy możliwy poziom bezpieczeństwa, to nie bierzmy się za bankowanie – podkreślił Arkadiusz Kurasz. Przypomniał, że klientami wielu banków spółdzielczych są samorządy terytorialne, a utrata środków przez te podmioty choćby w jednym banku mogłaby być poważnym ciosem w cały lokalny sektor finansowy, także od strony wizerunkowej, podkopując wartości i atuty sektora bankowości spółdzielczej. Dlatego standardy bezpieczeństwa powinny być na najwyższym poziomie w każdej z tych instytucji.

Zdaniem wiceprezesa mikołowskiego banku, takie regulacje jak DORA czy NIS2 należy traktować jako olbrzymią szansę, podobnie zresztą jak jednoznaczne stanowisko nadzoru – Musimy wywrzeć presję na banki zrzeszające i systemy ochrony, żeby doprowadzić do stworzenia rozsądnych systemów dostarczających wiedzę od nich – dodał Arkadiusz Kurasz. Podkreślił, że nie można zakładać, iż z racji wielkości lub skali działania pojedynczych banków spółdzielczych nie dojdzie do ataków na ich infrastruktury ICT. Trzeba działać z wyprzedzeniem, przygotowując się do zagrożenia zarówno od strony infrastruktury, jak i dbania o poziom wiedzy i świadomości wszystkich interesariuszy, zgodnie z maksymą: jeśli chcesz pokoju, szykuj się do wojny. Zaznaczył również, że w obecnym świecie można wygrać konkurencję z bankami komercyjnymi, pokazując klientom, że wraz z usługami finansowymi bank lokalny dostarcza im bezpieczeństwo i wsparcie w ramach relacji opartej na zasadach spółdzielczych, które są DNA sektora, dbając przy tym o wzrost świadomości konsumentów w tej dziedzinie.

Dominik Konieczny
Dominik Konieczny

Daniel Krzywiec
Daniel Krzywiec

Michał Pyszyński
Michał Pyszyński

Tomasz Mieszczak
Tomasz Mieszczak

Roland Węgrzynowski
Roland Węgrzynowski

Trzeba kształcić klientów i pracowników

O wspólne wypracowywanie architektury bezpieczeństwa na poziomie zrzeszeń apelował Włodzimierz Kiciński, wiceprezes Związku Banków Polskich. Podkreślał, iż jedynie uczestnictwo wszystkich członków danej grupy pozwoli sensownie wykorzystać środki przeznaczone na ten cel, jak również uzyskać optymalną skuteczność. – Bezpieczeństwo, tak samo jak płynność, nie ma ceny – ocenił Arkadiusz Kurasz. Stwierdził, że obecne przychody odsetkowe banków powinny zmobilizować sektor do realizacji odpowiednich projektów zrzeszeniowych. Ze stanowiskiem tym zgodził się wiceprezes ZBP; jego zdaniem, w realizacji takiego przedsięwzięcia powinny uczestniczyć wszystkie, nawet najmniejsze banki, zwłaszcza jeśli weźmie się pod uwagę obecną sprzyjającą kondycję finansową bankowości lokalnej w Polsce.

Z opinii przedstawicieli banków działających samodzielnie można było wywnioskować, że również oni chętnie przyłączyliby się do systemów, tworzonych przez grupy. – Przeznaczamy na bezpieczeństwo olbrzymie pieniądze, ale zdajemy sobie sprawę, że żadnego banku spółdzielczego nie będzie stać na to, żeby samodzielnie zaimplementować najlepsze systemy, jakie są na świecie. Musimy działać racjonalnie i optymalnie – spuentował Mariusz Kumorek.

Mariola Walendowska, prezes zarządu Banku Spółdzielczego w Pleszewie, wskazała inny problem, jakim jest rywalizacja o talenty IT z firmami informatycznymi, które chętnie podkupują zdolnych fachowców i gotowe są zaoferować im atrakcyjniejsze warunki finansowe. Problem ten dotyczy zwłaszcza banków funkcjonujących w mniejszych aglomeracjach. Innym wyzwaniem jest edukacja klientów, zwłaszcza w obliczu niekorzystnego dla banków trendu w zakresie przenoszenia odpowiedzialności za finansowe skutki transakcji nieautoryzowanej z konsumenta na dostawcę usług płatniczych.

Prezes zarządu Banku Spółdzielczego w Pleszewie podkreśliła, że kierowany przez nią bank regularnie organizuje szkolenia dla swych klientów, w tym młodzieży i seniorów, rzecz w tym, że nie chroni to przed ewentualnym późniejszym roszczeniem ze strony klienta, gdyby padł on ofiarą transakcji oszukańczej. Tymczasem psychotechniki stosowane przez sprawców są coraz doskonalsze i ich ofiarą mogą paść nawet osoby obeznane z cyberzagrożeniami.

To najlepszy czas, żeby się łączyć. Banki są dzisiaj zamożne, mają możliwości połączenia się w dobrym celu, żeby świadczyć lepsze i bezpieczne usługi – nadmienił Arkadiusz Kurasz. Ma to znaczenie także w obliczu cyberataków, które zmieniają swe oblicze, także za sprawą oprogramowania typu ransomware as a service. Przypomniał o tym Dominik Konieczny, dyrektor zespołu informatyków w Banku Spółdzielczym Rzemiosła w Krakowie. Dodał, iż możliwość ta zwiększa potencjalne grono sprawców. Dodatkowo cybergangi specjalizujące się w ransomware coraz częściej realizują więcej niż jeden cel. – Ostatnie tygodnie przyniosły ewolucję ataków ransomware’owych. Ich celem nie jest już tylko zaszyfrowanie i kradzież danych, ale np. zlecenie nieautoryzowanych transakcji – podkreślił Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa SGB-Banku. Zauważył, iż potencjał mniejszych banków spółdzielczych – wobec braku personelu, kompetencji i odpowiednich narzędzi cyberbezpieczeństwa – może utrudniać ochronę przed obecnymi zagrożeniami.

Bezpieczeństwo jako usługa na poziomie zrzeszenia

Dlatego banki spółdzielcze powinny rozważyć przeniesienie usług do podmiotów dysponujących wiedzą ekspercką, dostarczających zweryfikowane i bezpieczne usługi. SGB-Bank oferuje bankom spółdzielczym bezpieczne usługi, w tym adresujące nowe wymagania w zakresie DORA, przy czym w najszerszym zakresie (z uwagi na architekturę ICT) oferowane są bankom, które przystąpiły do Systemu Usług SGB (SUS). – W takich przypadkach, banki spółdzielcze nie potrzebują kompetencji eksperckich. Cały proces realizowany jest przez ekspertów banku zrzeszającego – dodał Daniel Krzywiec.

Odnosząc się do tej wypowiedzi, Włodzimierz Kiciński zasugerował, by zrzeszenia zmobilizowały wszystkich swych członków do uczestniczenia w tych inicjatywach, do których na zasadzie dobrowolności mogłyby dołączać też banki niezrzeszone. – To jest wyzwanie, żeby wszystkie banki w zrzeszeniu były zaangażowane i jednocześnie włączone w system bezpieczeństwa – dodał wiceprezes ZBP. – Gwarantuję, że te banki spółdzielcze, które funkcjonują samodzielnie, jakby miały możliwość kupienia sobie tego bezpieczeństwa na zasadzie usługi w bankach zrzeszających, to by się na to zapewne zdecydowały – skonstatował Mariusz Kumorek.

O tym, że budowa centrów kompetencji bezpieczeństwa na poziomie zrzeszenia po prostu się opłaca, mówił Michał Pyszyński, dyrektor Departamentu Bezpieczeństwa w Banku Polskiej Spółdzielczości. – Jako banki zrzeszające chcemy budować huby kompetencyjne, dzięki nim mamy szanse posiadać wysoko wyspecjalizowanych ekspertów i nowoczesne systemy bezpieczeństwa dostępne dla wszystkich zrzeszonych banków za racjonalne pieniądze. System kupiony do mniejszego banku czy dużej, komercyjnej instytucji finansowej to jest nadal ten sam system, czasami różni się liczbą licencji, koszt takiego pojedynczego systemu jest racjonalnie wysoki, ale gdyby wszyscy się na ten cel zrzucali, to koszty byłyby niewspółmiernie niższe. Jako bank zrzeszający będziemy budować niekomercyjne wewnętrzne usługi cyberbezpieczeństwa w zakresie: identyfikacji zagrożeń w cyberprzestrzeni, bezpiecznego dostępu do internetu, szkoleń cyberbezpieczeństwa, testów odporności cyfrowej, ochrony klientów bankowości elektronicznej czy wykrywania złośliwego oprogramowania. Cel jest jeden – zapewnić wysoki poziom cyberbezpieczeństwa w zrzeszeniu BPS. Aby go osiągnąć, wszystkie banki w zrzeszeniu muszą się na to zdecydować – dodał przedstawiciel BPS.

Włodzimierz Kiciński zasugerował, by decyzja w tej sprawie zapadła na walnym zgromadzeniu zrzeszenia, kiedy to może być podjęta większością głosów. Arkadiusz Kurasz sugerował, że problemem nie są zasoby finansowe, tylko mentalność. – Jeśli chodzi o bezpieczeństwo, nie możemy mówić o pieniądzach. A jak zrobimy to wszyscy, to te pieniądze można ograniczyć, zoptymalizować ich wydanie. Można zbudować bazę 30 czy 40 ekspertów w banku zrzeszającym, a nie tylko po jednym superekspercie w każdym z banków – dodał wiceprezes Mikołowskiego Banku Spółdzielczego. Ma to szczególne znaczenie również w kontekście podejścia nadzorcy do cyberbezpieczeństwa, a ten – jak przypomniał Daniel Krzywiec – oczekuje, by wszystkie banki stosowały jednolity standard bezpieczeństwa na poziomie zrzeszenia. – To dobrze, że KNF niejako wymogła tego typu podejście. To, czego banki same nie potrafiły do tej pory załatwić, będzie w dużym stopniu generowane poprzez regulację zewnętrzną nadzorcy – podsumował Włodzimierz Kiciński.

Tomasz Mieszczak, wiceprezes zarządu Nicolaus Banku, wskazał, iż inicjatywy w zakresie bezpieczeństwa cieszą się w Grupie SGB olbrzymim poparciem – ponad 96% ubiegłorocznego zebrania prezesów zadecydowało, by budować nowy system bezpieczeństwa w ramach zrzeszenia, a już w marcu br. usługa została udostępniona wszystkim bankom spółdzielczym. Rzecz w tym, że wdrażaniu nowoczesnych rozwiązań, również tych zrzeszeniowych, musi towarzyszyć budowa kompetencji wśród pracowników.

Roland Węgrzynowski, dyrektor zespołu technologii Gospodarczego Banku Spółdzielczego w Barlinku, sugerował, by każdy z banków wykonał swoisty rachunek sumienia, jakimi zasobami dysponuje, a czego mu jeszcze brak. – Sam system nic nie zrobi. Do tego musi być człowiek, jego kompetencje, wreszcie bieżąca analiza i praca – dodał. Jego zdaniem, korzystanie z hubów, także i zrzeszeniowych, nie zwalnia poszczególnych instytucji finansowych z konieczności dysponowania wykwalifikowaną kadrą IT, która będzie w stanie reagować na sygnały otrzymywane z hubu.

Tomasz Mieszczak wskazał na inny aspekt problemu, jaki ujawniła wojna za naszą wschodnią granicą – a mianowicie korzyści płynące z przeniesienia zasobów do chmury. – Myślę, że warto byłoby zastanowić się nad chmurą publiczną, żeby te backupy czy serwerownie zapasowe postawić gdzieś w wielkiej trójce: AWS, Azure czy Google. Mielibyśmy jasno wystandaryzowane rozwiązanie chmurowe, do którego dany bank może przystąpić, podpisuje umowę wystandaryzowaną, zaakceptowaną przez KNF, przygotowaną przez bank zrzeszający oraz dostawcę i tam ma przechowywane swoje dane – podkreślił wiceprezes Nicolaus Banku. Jego zdaniem, takie rozwiązanie zabezpieczy nie tylko przed ewentualnym sabotażem, ale i atakami przestępczymi.

Źródło: Miesięcznik Finansowy BANK