Nowoczesny Bank Spółdzielczy | Technologie bankowe – Commvault | Cyfrową odporność banków lokalnych trzeba budować wspólnie
Obudowaniu architektury bezpieczeństwa lokalnej instytucji finansowej, optymalnym wykorzystaniu zasobów banków zrzeszających na rzecz wzmocnienia odporności cyfrowej, automatyzacji procedur jako rozwiązaniu problemu deficytu specjalistów, a także o nowym podejściu do cyberbezpieczeństwa, jakie ustanawia DORA, i implikacjach przyjęcia tego aktu prawnego dla spółdzielców dyskutowali uczestnicy debaty eksperckiej „Miesięcznika Finansowego BANK”, zorganizowanej we współpracy z firmą Commvault. Panel, moderowany przez Pawła Minkinę, redaktora naczelnego „Miesięcznika Finansowego BANK”, odbył się w formule online.
W dyskusji wzięli udział Hubert Bator, prezes zarządu Banku Spółdzielczego w Belsku Dużym; Barbara Borowska, prezes zarządu Banku Spółdzielczego w Gnieźnie; Artur Frączak, wiceprezes zarządu ds. informatyki i bezpieczeństwa Banku Spółdzielczego w Skierniewicach; Łukasz Jarema, dyrektor Zespołu Technologii NICOLAUS Banku; Krzysztof Karwowski, prezes zarządu Banku Spółdzielczego w Szczytnie; Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa SGB-Banku; Marek Kuklewski, prezes zarządu Banku Spółdzielczego w Gogolinie; Arkadiusz Kurasz, wiceprezes zarządu Mikołowskiego Banku Spółdzielczego w Mikołowie; Łukasz Madajczyk, wiceprezes zarządu Kujawsko-Dobrzyńskiego Banku Spółdzielczego; Piotr Mazur, dyrektor IT SGB-Banku; Michał Pyszyński, Head of Security Department w Banku BPS; Przemysław Sporek, wiceprezes ds. rozliczeń i informatyki Banku Spółdzielczego w Kielcach; Zbigniew Staniaszek, kierownik Zespołu ds. Informatyki Banku Spółdzielczego w Ostrowi Mazowieckiej; Rafał Szafirski, wiceprezes zarządu Krakowskiego Banku Spółdzielczego; Marcin Warzański, wiceprezes zarządu nadzorujący obszar IT Banku Spółdzielczego w Czarnkowie i Krzysztof Wolniakowski, doradca ds. bezpieczeństwa IT w Banku Spółdzielczym w Gnieźnie. Partnera debaty, firmę Commvault, reprezentowali Przemysław Fąfara, Principal Sales Engineer, Jakub Lewandowski, Associate General Counsel EMEA i Marek Stodolak, Enterprise Account Manager.
Identyfikacja ryzyka warunkiem skutecznego zarządzania nim
Aż 54% Polaków uważa sektor bankowy za lidera cyberbezpieczeństwa, co oznacza lepszy rezultat, niż uzyskały organa ścigania czy administracja publiczna. Równocześnie jednak 94% instytucji finansowych na całym świecie padło w minionym roku ofiarą cyberataku – podkreślał moderator dyskusji. W tym kontekście pozycja lidera cyberodporności wiąże się z rozlicznymi wyzwaniami obejmującymi nie tylko zabezpieczenie infrastruktury bankowej, ale i zasobów swych klientów. Ci zaś coraz częściej twierdzą, iż zapewnienie im bezpieczeństwa leży po stronie sektora bankowego.
Sprostanie tym potrzebom wiąże się z rosnącymi nakładami finansowymi, ale i rozbudową kadr bankowych – w nadchodzących 12 miesiącach aż 46% instytucji zamierza przeprowadzić rekrutację w obszarze cyberbezpieczeństwa. To m.in. konsekwencja niedawnego wejścia w życie unijnego rozporządzenia w sprawie cyfrowej odporności operacyjnej (DORA). Dokument ten, jak podkreślał Jakub Lewandowski, reprezentujący firmę Commvault, miał na celu konsolidację i aktualizację wymogów dotyczących ryzyk związanych z ICT. Chodziło nie tylko o to, by skłonić podmioty rynku finansowego do zwiększenia inwestycji w cyberodporność, ale również ukierunkować te nakłady na budowę określonych kompetencji i zasobów. – Na mocy DORA osoby odpowiedzialne za bezpieczeństwo w bankach muszą się dokształcać – dodał reprezentant Commvault.
Odrębne wymogi dotyczą współpracy z dostawcami usług IT, a za zarządzanie ryzykami w tym zakresie odpowiedzialne są oczywiście instytucje finansowe, a ich powinności w tym zakresie określa m.in. art. 30 DORA. Niezbędnym warunkiem skutecznego zarządzania ryzykiem jest właściwie przeprowadzona identyfikacja. – Musimy odpowiedzieć, co naprawdę chronimy, jakie zasoby mamy pod kontrolą, jakie procesy wspierają te zasoby i jak bardzo są one dla nas krytyczne. Pozwala to przypisać odpowiednie ryzyka do poszczególnych elementów środowiska – zauważył Jakub Lewandowski.
Szczególne znaczenie z punktu widzenia odporności ma MBCO, czyli minimalny zestaw procesów pozwalających na realizację podstawowych celów i funkcji do czasu pełnego przywrócenia po ewentualnym incydencie. Rzecz w tym, że polskie tłumaczenie DORA istotnie odbiega od oryginału, w myśl starego, włoskiego przysłowia traduttore traditore (tłumacz zdrajca). Przedstawiciel Commvault podał przykład zapisu sugerującego, jakoby celem działań na rzecz cyberbezpieczeństwa była eliminacja ryzyk. – W wersji angielskiej mowa o zarządzaniu ryzykiem, a nie jego eliminacji – nadmienił Jakub Lewandowski. I wskazał, iż podejście takie stoi w sprzeczności z zasadniczą koncepcją, jaką przyjęli twórcy DORA, w myśl której całkowite uniknięcie incydentów co do zasady nie jest możliwe. – Nie chcę sugerować, byśmy interpretowali inaczej rozporządzenie DORA, ale patrzmy też na różne wersje językowe – dodał reprezentant Commvault.
IPS i bank zrzeszający wsparciem dla spółdzielców
DORA istotnie wpłynęła na zmianę podejścia banków spółdzielczych w obszarze bezpieczeństwa, choć spore znaczenie miał również incydent, który w minionym roku przydarzył się jednej z lokalnych instytucji finansowych – wskazywał Krzysztof Karwowski, prezes Banku Spółdzielczego w Szczytnie. Wspomniał o ambitnych projektach z dziedziny cybersecurity, realizowanych w ostatnim czasie przez zrzeszenie BPS, w tym utworzeniu security operations center (SOC) na poziomie Banku BPS. – Większość banków przystąpiła do tej inicjatywy – zaznaczył Krzysztof Karwowski. Rozwiązanie takie jest korzystne zwłaszcza dla niewielkich, lokalnych instytucji, które nie dysponują wyspecjalizowanymi kadrami z obszaru cyberbezpieczeństwa, choć i te większe też mają trudności z zaadresowaniem wszystkich wyzwań związanych z odpornością cyfrową. – Nasz bank bardzo chętnie przystąpił do tej inicjatywy zrzeszeniowej – dodał prezes BS w Szczytnie.
O wdrażaniu projektów zrzeszeniowych jako odpowiedzi na wymogi DORA mówił też Michał Pyszyński, dyrektor Departamentu Bezpieczeństwa w Banku BPS. Podkreślił on, iż działania te są realizacją nowej strategii zrzeszenia. – Skoncentrowaliśmy wiedzę i umiejętności, by zdjąć część odpowiedzialności i zadań, które leżą po stronie każdego banku – wskazał. I dodał, iż wsparcie Banku BPS w zakresie DORA to nie tylko SOC jako zespół ekspertów, ale również wsparcie w zakresie tworzenia dokumentacji (regulacji) oraz systemy (Threat Inteligence, EDR, skaner podatności czy system do symulacji ataków socjotechnicznych).
Michał Pyszyński podkreślił również, że to dopiero początek prac mających na celu przyjęcie jednolitego podejścia do cyberodporności na poziomie całego zrzeszenia. W prace te zaangażowany jest również System Ochrony Zrzeszenia BPS, który we współpracy z bankiem zrzeszającym w 2024 r. opublikował „Zasady zarządzania ryzykiem ICT w Zrzeszeniu BPS”. Dzięki tym wspólnym działaniom banki spółdzielcze otrzymują kompleksową ochronę przed cyber-zagrożeniami i budują swoją odporność cyfrową. Także w Grupie SGB IPS był zaangażowany w prace nad implementacją DORA. – Jest to duży obszar ryzyka IT, które ma odzwierciedlenie w regulacjach, przygotowywanych przez systemy ochrony – stwierdziła Barbara Borowska, prezes Banku Spółdzielczego w Gnieźnie. Jej doświadczenia ze współpracy na linii bank spółdzielczy-bank zrzeszający-IPS były nader pozytywne. – Jako pojedynczy bank spółdzielczy raczej nie poradzilibyśmy sobie, żeby te regulacje przygotowywać od zera w oparciu o wytyczne DORA. Nieodzowny był udział banków zrzeszających, które dysponują większymi zasobami ludzkimi, i nadanie kierunku regulacyjnego – mówiła Barbara Borowska.
Do podobnych wniosków dochodzą przedstawiciele banków zrzeszających; Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa w SGB-Banku, podkreślił, iż zwłaszcza mniejsze banki spółdzielcze mogą mieć trudności z realizacją wymagań DORA. Rozwiązaniem może być zakup usług cyberbezpieczeństwa od zewnętrznych dostawców, jednak wówczas otwarta pozostaje kwestia nadzoru nad realizacją usług, co wobec deficytu kompetencji może stanowić kolejne wyzwanie. Aby zaadresować oczekiwania banków spółdzielczych, bank zrzeszający we współpracy z IPS i przy wsparciu UKNF przygotował kompleksowe rozwiązania cyberbezpieczeństwa dla Zrzeszenia SGB. SGB-Bank jako operator usługi kluczowej podlega kontroli oraz nadzorowi ze strony UKNF, co gwarantuje wysoki standard i jakość dostarczanych usług cyberbezpieczeństwa dla banków spółdzielczych.
Zasoby ludzkie na wagę złota
Ograniczone zasoby ludzkie czy finansowe to nie jedyny powód, dla którego budowa cyberodporności banków spółdzielczych powinna wykorzystywać potencjał zrzeszeń. Łukasz Madajczyk, wiceprezes zarządu Kujawsko-Dobrzyńskiego Banku Spółdzielczego, przypomniał, iż piony odpowiedzialne za bezpieczeństwo muszą pracować całą dobę, co jest możliwe do zrealizowania w banku komercyjnym lub zrzeszającym, ale nie w lokalnej instytucji finansowej. Sam zakup technologii może pomóc jedynie wówczas, kiedy aplikacja zostanie odpowiednio skonfigurowana pod konkretny podmiot, jego specyfikę i potrzeby, o co w obliczu wspomnianych wielokrotnie deficytów kadrowych banków lokalnych niezwykle trudno. Bez tego zaś kosztowne oprogramowanie będzie przydatne co najwyżej do raportowania. Warto wreszcie wziąć pod uwagę fakt, iż z poziomu zrzeszenia łatwiej negocjować z dostawcami technologii, zapewniał Łukasz Madajczyk.
Wszystkie te fakty zdają się potwierdzać, iż zasoby ludzkie mają dziś kluczowe znaczenie w budowie bezpiecznej i odpornej cyfrowo instytucji finansowej. Dotyczy to również zarządzania ryzykiem, co w obliczu nowych zasad określonych w unijnym prawie i wdrożenia usług do zarządzania podatnościami stanowi całkiem ambitne zadanie dla pracowników działów IT. Raportowanie na bieżąco z użyciem nowoczesnych rozwiązań IT ujawniło wszak skalę potencjalnych ryzyk w obszarze cyberbezpieczeństwa. – Wyniki analizy wskazują, że usługi cyberbezpieczeństwa są nam bardzo potrzebne, żeby we właściwy sposób identyfikować ryzyko ICT – zauważył Daniel Krzywiec. Zwrócił uwagę, że dzięki wspólnym rozwiązaniom banki zrzeszające mają dostęp do informacji, dzięki którym są w stanie zarządzać ryzykiem na poziomie całej grupy. Przykładem może być zrzeszeniowa usługa antyfraudowa, dzięki której w ub.r. udało się udaremnić próby oszukańcze na łączną kwotę przekraczającą 11 mln zł. – To są pieniądze, których przestępcy nie ukradli – akcentował przedstawiciel SGB-Banku.
Ma to szczególne znaczenie w obliczu intensyfikacji cyberataków, w szczególności tych typu ransomware. – Mamy wrażenie, że na dzień dzisiejszy pytanie nie brzmi „czy”, ani nawet „kiedy”, tylko „jak często” tego typu incydenty będą się zdarzały – powiedział Marek Stodolak, reprezentujący Commvault. Dodatkowym wyzwaniem dla lokalnych instytucji finansowych jest rosnąca biurokracja, wskazywał Krzysztof Wolniakowski, doradca ds. bezpieczeństwa IT w Banku Spółdzielczym w Gnieźnie. Jego zdaniem, rozwiązania zrzeszeniowe mają przed sobą przyszłość, również w zakresie tworzenia wspólnych zespołów reagowania na incydenty, które w przypadkach takich jak ubiegłoroczny cyberatak na jedną z lokalnych instytucji finansowych mogłyby wesprzeć obsługę danego incydentu. Podobnie zresztą audyty realizowane przez IPS mogłyby odbywać się częściej, sugerował przedstawiciel BS w Gnieźnie. Należy jednak pamiętać, że zrzeszenia nie załatwią wszystkiego – na bankach spółdzielczych zawsze będzie spoczywać odpowiedzialność za edukację własnej załogi, by pracownicy nie ulegali sztuczkom socjotechnicznym, stwarzając tym samym kolejne podatności. – Nie ma systemów bezpieczeństwa, które nas zabezpieczą na 100% – zapewnił Krzysztof Wolniakowski.
Jak redukować cyberryzyka
Skuteczność inicjatyw zrzeszeniowych skłania do stawiania pytań o dalsze wykorzystanie potencjału obu grup polskich banków spółdzielczych. Piotr Mazur, dyrektor IT w SGB-Banku zastanawiał się, czy przeniesienie systemów banków lokalnych, albo chociaż ich punktów stycznych z internetem, do zasobów zrzeszeniowych nie byłoby zasadne. – Dyskutujemy jak obronić to, co mamy, a może powinniśmy pomyśleć, czy nie warto zmienić tej architektury, zmienić miejsc, gdzie ryzyka są generowane – rozważał przedstawiciel zrzeszenia.
Zdaniem Łukasza Madajczyka, główną przeszkodą dla takiego rozwiązania są względy psychologiczne – migracja własnych zasobów do infrastruktury zapewnianej przez zrzeszenie mogłaby być odebrana jako rezygnacja z samodzielności. Z drugiej strony współczesne zagrożenia w wirtualnym świecie są na tyle zaawansowane, że części z nich nie da się obsłużyć, dysponując jedynie własnymi, lokalnymi zasobami. – Administrując czy zarządzając ryzykami w organizacjach, bardzo szybko dochodzicie do wniosku, że wiele ryzyk, z którymi się stykacie, jest tak naprawdę poza Państwa kontrolą – wskazywał Jakub Lewandowski.
Rozwiązania zrzeszeniowe mają przed sobą przyszłość, również w zakresie tworzenia wspólnych zespołów reagowania na incydenty, które w przypadkach takich jak ubiegłoroczny cyberatak na jedną z lokalnych instytucji finansowych mogłyby wesprzeć obsługę danego incydentu. Należy jednak pamiętać, że zrzeszenia nie załatwią wszystkiego – na bankach spółdzielczych zawsze będzie spoczywać odpowiedzialność za edukację własnej załogi.
Uzmysłowienie tego faktu i wykreowanie adekwatnego podejścia do zarządzania ryzykiem było skądinąd jedną z głównych przesłanek przyjęcia rozporządzenia DORA. W zarządzaniu ryzykiem możliwe są wszak cztery zasadnicze postawy: albo jego akceptacja, albo unikanie (co, jak sugerował przedstawiciel Commvault, nie zawsze jest możliwe), ewentualnie transfer określonych ryzyk do podmiotu zewnętrznego lub ich redukcja. – Główną formą redukcji z naszego punktu widzenia jako dostawcy usług jest wdrażanie elementów w ramach państwa strategii redukcji ryzyka związanych z cyberodpornością – dodał Jakub Lewandowski.
O zmianie mentalności w zakresie zarządzania ryzykiem pod wpływem DORA mówił też Przemysław Fąfara, reprezentant partnera debaty. Odnosząc się do podobnego spotkania z przedstawicielami branży, które miało miejsce w maju ub.r. podczas Forum Technologii Bankowości Spółdzielczej, zwrócił uwagę, iż temat konsolidacji w obszarze cyberbezpieczeństwa nie budzi już emocji, traktowany jest raczej jako jedyne słuszne rozwiązanie. – Idea konsolidacji, standaryzacji, może być jedynym słusznym kierunkiem, szczególnie dla mniejszych banków. Ekspertów trzymajmy na poziomie banku zrzeszającego, podobnie jak backup – dodał Przemysław Fąfara. Wspomniał, iż utrzymanie odpowiednio kwalifikowanych fachowców w niedużym banku o zasięgu lokalnym jest obarczone wyjątkowym ryzykiem, że taki specjalista przejdzie np. do banku komercyjnego, który zaoferuje mu bardziej atrakcyjne warunki.
Kopia zapasowa uchroni przed szantażystami
W dyskusji na temat wyzwań z obszaru cyberbezpieczeństwa nie mogło zabraknąć odniesienia do problemu ransomware, który to proceder odpowiada za spory odsetek incydentów w instytucjach finansowych. Łukasz Jarema, dyrektor Zespołu Technologii w NICOLAUS Banku podkreślił, iż bank obserwuje i wychwytuje poprzez stosowane mechanizmy zabezpieczeń oraz codzienną pracę pracowników próby ataków na swoje zasoby, w głównej mierze te, które są dostępne bezpośrednio w sieci internet, jak chociażby witryny internetowe.
Jak w tym kontekście banki podchodzą do tworzenia i testowania kopii zapasowych? – Stosujemy formułę klasyczną, realizując kopie w modelu 3-2-1, czyli trzy kopie w co najmniej dwóch ośrodkach przetwarzania, w tym jedna tak zwana złota kopia – zapewnił Łukasz Jarema. Backupy te są oczywiście regularnie testowane i weryfikowane, głównie pod kątem integralności danych. Piotr Mazur podkreślał znaczenie analizowania tworzonych backupów pod kątem ransomware. Jego zdaniem, samo generowanie rozlicznych kopii nie na wiele się przyda, jeśli bowiem mamy do czynienia z malwarem, który jest w stanie je wszystkie zaszyfrować, to tak, jakby owych kopii nie było. – Trzeba kłaść nacisk na to, żeby mieć kopie zabezpieczone przed tego typu działaniami przestępców – stwierdził przedstawiciel SGB-Banku. Zaznaczył przy tym, iż reprezentowana przezeń instytucja rozważa uruchomienie usługi typu backup as a service dla banków spółdzielczych, która mogłaby być traktowana jako element opcjonalny.
O tym, że backup staje się dziś głównym celem cyberataku wspominał też Przemysław Fąfara; skuteczność takiego ataku co do zasady oznacza, iż sprawcy zrealizowali swój plan, bo pozycja negocjacyjna poszkodowanej organizacji obniża się wówczas znacząco. Należy wreszcie pamiętać o zagrożeniach natury politycznej, gdzie celem ataku nie jest wymuszenie haraczu, tylko zniszczenie zasobów wchodzących w skład infrastruktury krytycznej. Wszystkie te wyzwania skłaniają do tworzenia odrębnej, odseparowanej kopii, która nie musi jednakże zawierać całych zasobów cyfrowych banku.
Jak sugerował przedstawiciel Commvault, można tam przenosić tylko dane o charakterze kluczowym, niezbędne dla utrzymania ciągłości biznesowej. Należy wreszcie pamiętać, iż DORA określa tylko pewne standardy minimum, które mogą skądinąd ewoluować wraz ze zmianą cyberzagrożeń, nie opisuje natomiast środków, jakie powinny wdrożyć obowiązane organizacje. – DORA sama w sobie zawiera otwarte drzwi, wskazując na ENISA, główny organ Unii Europejskiej w zakresie cyberbezpieczeństwa, który będzie przygotowywać dodatkowe doprecyzowania obowiązujących wymagań czy też nowe wymagania, żeby przepisy mogły nadążyć za zmieniającymi się ryzykami. To wszystko będzie się odbywać na kanwie wyznaczonej przez DORA – podsumował Jakub Lewandowski.
Rafał Szafirski
wiceprezes KRAKOWSKIEGO BANKU SPÓŁDZIELCZEGO:
Jako przedstawiciel dużego, niezrzeszonego banku spółdzielczego trochę zazdroszczę kolegom z banków będących członkami zrzeszeń, którzy mieli silne wsparcie przy wdrażaniu DORA ze strony zrzeszenia czy IPS-u. Jako podmiot samodzielny nie mieliśmy tego komfortu, musieliśmy być w tym procesie „sami sobie sterem, żeglarzem i okrętem”. Oczywiście korzystaliśmy z usług firm doradczych, jednakże tego typu podmiotów pojawiło się wówczas na rynku bardzo dużo, i nie wszystkie posiadały odpowiednie przygotowanie w tematyce DORA. Wyzwania, z jakimi się zetknęliśmy przy wdrażaniu, nie odbiegały zbytnio od tego, co mówili przedmówcy: ograniczony i niewykwalifikowany personel IT oraz ograniczone zasoby budżetowe. Naszą strategię dostosowania do DORA oparliśmy w szczególności na właściwej priorytetyzacji działań oraz dokładnie ułożonej współpracy w ramach naszego banku.
