BANK 2025/05

Bankowość i finanse | Technologie – Debata redakcyjna | Budujmy bezpieczeństwo cyfrowe banków przy współpracy z dostawcami IT

| Miesięcznik Finansowy BANK
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Bankowość i finanse | Technologie – Debata redakcyjna | Budujmy bezpieczeństwo cyfrowe banków przy współpracy z dostawcami IT
Fot. Donald/stock.adobe.com
Zapewnienie należytego poziomu cyberbezpieczeństwa stanowi jedno z głównych wyzwań dla instytucji finansowych. Nowe generacje cyberataków bazujące na komponentach AI skłaniają do gruntownej redefinicji podejścia do odporności cyfrowej banku, podobnie zresztą jak regulacje, takie jak DORA czy NIS2, mające za cel podwyższenie poziomu bezpieczeństwa cyfrowego w branży finansowej.

O tym, w których obszarach instytucje bankowe są w największym stopniu narażone na aktywność cyberprzestępców, jak skutecznie udaremniać ich zamiary, o roli współdziałania pomiędzy bankami a dostawcami IT w celu zwiększania odporności sektora na cyberincydenty, a także o wykorzystaniu AI jako skutecznej broni przeciw cyberprzestępcom dyskutowali uczestnicy debaty eksperckiej „Miesięcznika Finansowego BANK”. Partnerem dyskusji, moderowanej przez redaktora naczelnego „Miesięcznika Finansowego BANK” i wiceprezesa Centrum Procesów Bankowych i Informacji Pawła Minkinę, była firma T-Mobile.

DORA: rewolucja czy kolejny etap ewolucji?

Cyberincydenty w instytucjach finansowych skutkować mogą zmaterializowaniem się ryzyk, obejmujących zarówno sferę finansową, jak też prawną czy reputacyjną. Który z obszarów przestępczej aktywności stanowi szczególny problem dla sektora finansowego? Artur Rudziński wskazał na wszelkiego rodzaju ataki, wymierzone w zdalne kanały komunikacji, a więc również incydenty typu DDoS, które same w sobie nie generują finansowej straty u klienta. Rzecz w tym, że współczesny konsument oczekuje stałej dostępności usług bankowych, zatem choćby krótkoterminowa przerwa przyczynia się do spadku zaufania wobec sektora.

Musimy starać się tak konstruować zabezpieczenia, żeby klienci w jak najmniejszym stopniu byli narażeni na straty, nawet jeśli ich zachowania bywają bardziej ryzykowne – dodał przedstawiciel Alior Banku. Zgodził się z nim Marcin Sereda. Wskazał przy tym nową perspektywę, jaką dla odporności cyfrowej wyznacza rozporządzenie DORA. – Mówimy o oddziaływaniu odczuwalnym przez klienta, odczuwalnym przy reakcji regulatora i oczywiście wpływającym na nasze przychody – zaznaczył. W ostatecznym rozrachunku troska o bezpieczeństwo, ale i dostępność usług finansowych przekłada się na poziom zaufania klienta, dlatego, jak przypomniał Daniel Krzywiec, wszelkiego rodzaju uchybienia po stronie podmiotów sektora finansowego będą surowo sankcjonowane. Z tym faktem wiąże się kolejny rodzaj ryzyka, tym razem compliance’owego, dodał przedstawiciel SGB-Banku.

Zdaniem Mariusza Sudoła, DORA wprowadza gruntowną zmianę podejścia do cybersecurity – nie jest już ono postrzegane jako część ryzyka operacyjnego, stając się kategorią zupełnie samoistną. – Gdyby doszło do incydentu, skutkującego zaszyfrowaniem danych banku lub inną długotrwałą niedostępnością, mogłoby to doprowadzić do znacznych reperkusji – nadmienił przedstawiciel Nest Banku. Reputacyjnie byłby to szczególnie poważny cios z uwagi na oczekiwania klientów, zwłaszcza młodego pokolenia, dla których wszelkie usługi finansowe powinny być realizowane w czasie rzeczywistym.

Paweł Dobrzański CSO T-Mobile; Członek zarządu T-Mobile Business Solutions.
Paweł Dobrzański
CSO T-Mobile; Członek zarządu T-Mobile Business Solutions.

Paweł Kaczmarek CISO, Centrum Eksperckie – Cyberbezpieczeństwo i Ryzyko IT, ING Bank Śląski.
Paweł Kaczmarek
CISO, Centrum Eksperckie – Cyberbezpieczeństwo i Ryzyko IT, ING Bank Śląski.

Renata Kania Liderka Zespołu Produktów Security, Główna Specjalistka ds. Security Awareness w T-Mobile Polska.
Renata Kania
Liderka Zespołu Produktów Security, Główna Specjalistka ds. Security Awareness w T-Mobile Polska.

Daniel Krzywiec dyrektor Departamentu Cyberbezpieczeństwa, SGB-Bank.
Daniel Krzywiec
dyrektor Departamentu Cyberbezpieczeństwa, SGB-Bank.

Biorąc pod uwagę zarówno rolę bankowości w gospodarce, jak i specyfikę rynku, banki ewolucyjnie dostosowywały się do wysokich wymogów w zakresie cyberbezpieczeństwa, dzięki czemu, jak zaznaczyła Aneta Legenza, wejście w życie DORA nie było dla bankowości zaskoczeniem ani rewolucją. – To był kolejny etap ewolucji, którą od wielu lat przechodzimy, usankcjonowanie i sformalizowanie pewnych kwestii dotychczas uwzględnianych w bankowości – sugerowała przedstawicielka Banku Millennium. Jej zdaniem, największe wyzwanie stanowić będzie współpraca banków z partnerami zewnętrznymi, których dojrzałość w dziedzinie cyberodporności odbiega od poziomu, jaki reprezentują banki. Z tego punktu widzenia ważne będzie wejście w życie dyrektywy NIS2, wprowadzającej analogiczne wymagania dla firm z innych segmentów rynku. – Będą oni musieli uporządkować i budować całe swoje podejście do cyberbezpieczeństwa wewnątrz, co na pewno wzmocni nasze poczucie komfortu współpracy z tymi organizacjami – dodała Aneta Legenza.

Duzi czy mali: komu łatwiej spełnić wymogi DORA?

O trudnościach towarzyszących wdrażaniu postanowień unijnego prawa w relacjach z outsourcerami, nie tylko z obszaru ICT, opowiadał też Michał Pyszyński, dodając, iż w sektorze bankowym „nikt nie obawiał się DORA”. Rzecz w tym, że partnerzy instytucji finansowych nie zawsze byli skłonni, by w pełni dostosowywać się do wymogów tego rozporządzenia, również dlatego, że – w przeciwieństwie do banków – nie podlegają oni zinstytucjonalizowanemu nadzorowi dysponującemu instrumentami egzekucji przepisów. Zjawisko to dotyczy nie tylko mniejszych firm; Daniel Krzywiec zasugerował wręcz, że rynkowym potentatom trudniej adaptować się do nowego otoczenia regulacyjnego niż mniejszym podmiotom, dla których relacje z bankami mają szczególne znaczenie.

Nieco inne spojrzenie na relacje z partnerami ICT zaprezentował Artur Rudziński – jego zdaniem, duzi dostawcy mają zarówno większe możliwości, by sprostać oczekiwaniom banków, jak i silniejszą motywację dla utrzymania współpracy. Wyraził również przekonanie, iż z uwagi na bezpośrednie stosowanie DORA na terenie całej UE instytucje współpracujące z bankami nie będą mieć wyjścia, chcąc dalej utrzymywać te relacje. Innego rodzaju problemy z aktualizacją umów dostrzegają reprezentanci partnerów technologicznych banków. Paweł Dobrzański stwierdził, iż spotykał się zarówno z krótkimi i precyzyjnymi dokumentami, jak i takimi, w których główną treść stanowiły wyciągi z poszczególnych norm. Jego zdaniem, każda usługa powinna być indywidualnie ujęta w aneksie, a to z uwagi na poważne zróżnicowanie usług, pod­miotów, jak i ich relacji z partnerami.

Każdy jest unikalny – podkreślił przedstawiciel T-Mobile. I dodał, że równie trudnym zadaniem jest realizacja testów i audytów bezpieczeństwa. Zwrócił uwagę, iż celem nowych regulacji europejskich jest nie tylko chęć zapewnienia ciągłości działania branż o znaczeniu krytycznym, ale i wyeliminowania niewiarygodnych podmiotów, których usługi generują istotne ryzyko dla klientów i sektora. Innym wyzwaniem, przed którym przestrzegł Paweł Dobrzański, są tzw. systemy legacy (często nieposiadające żadnego wsparcia producenta), które występują w każdej instytucji, pełniąc nie raz istotne funkcje, i będąc zarazem niezwykle trudne oraz kosztowne w migracji na nowoczesne rozwiązania. – Jednym z najważniejszych wyzwań dla sektora finansowego jest strategia podejścia do podmiotów, które tylko na papierze mogą deklarować swoją gotowość do spełnienia wymogów rozporządzenia DORA, natomiast w praktyce są zbyt małe i obarczone zbyt dużymi ograniczeniami technologicznymi, żeby im sprostać – podkreślił reprezentant T-Mobile.

Aneta Legenza Head of Cyberdefense Operations, Bank Millennium.
Aneta Legenza
Head of Cyberdefense Operations, Bank Millennium.

Sebastian Pióro Lider Zespołu Sprzedaży Rynek Finansowy, T-Mobile Business Solutions.
Sebastian Pióro
Lider Zespołu Sprzedaży Rynek Finansowy, T-Mobile Business Solutions.

Michał Pyszyński dyrektor Departamentu Bezpieczeństwa, Bank Polskiej Spółdzielczości.
Michał Pyszyński
dyrektor Departamentu Bezpieczeństwa, Bank Polskiej Spółdzielczości.

Artur Rudziński dyrektor Działu Ryzyka i Ciągłości Działania IT, Alior Bank.
Artur Rudziński
dyrektor Działu Ryzyka i Ciągłości Działania IT, Alior Bank.

Zdaniem Anety Legenzy, usunięcie podatności leży w interesie każdego podmiotu, nie tylko z uwagi na oczekiwania regulatorów czy klientów z branży bankowej. – Niezabezpieczone i najbardziej wrażliwe podmioty będą pierwszym celem dla przestępców – nadmieniła przedstawicielka Banku Millennium. Dodała, że problem wysokich kosztów da się rozwiązać, korzystając m.in. z oferty as a service. W jej opinii tworzenie kolejnych wyjątków od zasady, również z uwagi na legacy, skutkować będzie zwiększeniem podatności. Paweł Kaczmarek zwrócił uwagę, że w ostatecznym rozrachunku wszelkie koszty zostaną przeniesione na klientów, choć będzie to przebiegać sukcesywnie, dlatego nie powinniśmy się obawiać gwałtownego skoku opłat za usługi bankowe. Jego zdaniem, niezbędne jest proaktywne podejście do relacji z dostawcami, w tym wspieranie ich w budowie bezpieczeństwa. Dotyczy to szczególnie małych i średnich firm, które bywają najsłabszym ogniwem.

Daniel Krzywiec przypomniał, że zgodnie ze stanowiskiem nadzoru współpraca z dostawcą niespełniającym wymagań zdefiniowanych przez instytucję finansową wiązać się będzie z koniecznością sporządzenia planu wyjścia. Dokument taki stanowić może zarazem cenne ćwiczenie dla banku, ukazując alternatywy dla dalszej relacji z dotychczasowym partnerem. Paweł Kaczmarek powiedział, że istotnym aspektem planów wyjścia jest prawdziwa możliwość ich zastosowania i wdrożenia w wymagającej tego sytuacji. Dobrą stroną raptownych wydarzeń globalnych, jak te zahaczające o amerykański rynek usług chmurowych, jest fakt poważnego traktowania ćwiczeń dotyczących możliwego wyjścia z takich usług i większe prawdopodobieństwo wytworzenia planu możliwego do realizacji.

Przygotowywane kilka lat temu plany, w dobie braku percepcji zagrożenia dla tych usług, często nie są możliwe do wcielenia w życie. – Bank nie może sobie pozwolić na uzależnienie od jednego partnera, niezależnie od jego wielkości – sugerował Przemysław Wolek. Z opinią tą zgodził się Mariusz Sudoł, dodając, iż ujednolicenie wymogów na terenie całej UE ma w myśl unijnego prawodawcy zwiększyć poziom operacyjnej odporności cyfrowej sektora. Ma to szczególne znaczenie w czasach, gdy świadomość i oczekiwania klientów względem banków są bardzo wysokie, a konsument nie jest skłonny zrezygnować z elastyczności i prostoty usług nawet na rzecz bezpieczeństwa. W tym kontekście partnerzy banków, niechętnie wdrażający wysokie standardy bezpieczeństwa, mogą podzielić los takich firm jak Kodak czy Nokia, podkreślał przedstawiciel Nest Banku.

Marcin Sereda dyrektor Biura Bezpieczeństwa Informacji, Credit Agricole Bank Polska.
Marcin Sereda
dyrektor Biura Bezpieczeństwa Informacji, Credit Agricole Bank Polska.

Marcin Schubert dyrektor Departamentu Technologii Cyberbezpieczeństwa i Transformacji Cyberbezpieczeństwa, Santander Bank Polska.
Marcin Schubert
dyrektor Departamentu Technologii Cyberbezpieczeństwa i Transformacji Cyberbezpieczeństwa, Santander Bank Polska.

Mariusz Sudoł dyrektor Departamentu Compliance, Nest Bank.
Mariusz Sudoł
dyrektor Departamentu Compliance, Nest Bank.

Przemysław Wolek CISO, Santander Bank Polska.
Przemysław Wolek
CISO, Santander Bank Polska.

Banki liderami cyberodporności

W dyskusji na temat nowych rozwiązań prawnych z obszaru cyberbezpieczeństwa nie mogło zabraknąć popularnego w ostatnim czasie wśród polityków, nie tylko w Europie, wątku deregulacji. Czy trend ten powinien również objąć takie przepisy jak DORA? Daniel Krzywiec zaznaczył, iż największym problemem jest dublowanie się wymagań, zapisanych w różnych regulacjach. W tym kontekście wskazane byłoby wystandaryzowanie, jak i uproszczenie obowiązków, np. w zakresie raportowania, ponieważ dziś każda inspekcja żąda innego zasobu danych i w różniących się formatach. Zdaniem Artura Rudzińskiego, zasadność deregulacji zależy od konkretnej sytuacji – kontrprzykładem może być tzw. komunikat chmurowy KNF, a wcześniej Rekomendacja D. Były to najbardziej szczegółowe uregulowania dla tego obszaru wśród państw UE, czego jednak nie należy traktować jako błąd. To dzięki tego rodzaju regulacjom polskie banki nie miały problemów z przyjęciem DORA.

Przedstawiciel Alior Banku wspomniał też, że jedną z konsekwencji DORA będzie objęcie grupy największych dostawców ICT dla sektora finansowego bezpośrednim nadzorem EUNB, co powinno się przełożyć na świadomość tych podmiotów. Niektóre z nich, jak choćby T-Mobile, mają kwestie cyberbezpieczeństwa w swoim DNA. – Nas nie stać, żeby czekać na regulację. My musimy dbać o bezpieczeństwo – podkreślił Paweł Dobrzański, dodając, iż troska o wysoki poziom odporności cyfrowej ma podstawy nie tylko prawne, ale przede wszystkim wizerunkowe. Przypomniał, iż popularne ostatnio ataki ransomware, w przeciwieństwie do klasycznych kampanii DDoS, mogą sparaliżować instytucję na dłuższy czas.

Jednym z podstawowych elementów strategii cyberbezpieczeństwa jest dziś umiejętność odtworzenia się od zera – dodał reprezentant T-Mobile. W tym kontekście tworzenie rozbudowanych łańcuchów dostaw, w których uczestniczą firmy o zróżnicowanym poziomie wiarygodności, wymagałoby równie rozbudowanych procedur kontrolnych.

Świadomy klient, nie tylko indywidualny, to podstawa

Troska o klienta stanowi faktycznie jeden z silniejszych czynników determinujących działania na rzecz cyberbezpieczeństwa, także z uwagi na rosnące oczekiwania konsumentów. Marcin Sereda przypomniał, iż jeszcze kilka lat temu mieliśmy presję ze strony klientów indywidualnych, by nie trzeba było używać credentiali podczas logowania się do banku. Rosnąca świadomość konsumentów pomogła im zrozumieć, jak dużą rolę w zapewnieniu bezpieczeństwa ich własnym środkom odgrywa silna autentykacja. Generalnie edukacja społeczeństwa w zakresie cyberbezpieczeństwa pozwala uniknąć kłopotów klientom, ale i bankom. Przedstawiciel banku Credit Agricole podał przykład nocnych przerw w funkcjonowaniu bankowości elektronicznej: świadomy klient zdaje sobie sprawę, że w tym czasie wdrażane są rozwiązania zwiększające poziom ochrony. Dla banków oznacza to oczywiście olbrzymią odpowiedzialność za edukację finansową swych klientów, Marcin Sereda wskazywał, iż przekaz dotyczący cyberbezpieczeństwa powinien być skoordynowany na poziomie całego sektora, co obok większej skuteczności pozwalałoby obniżyć koszty dla banków.

Paweł Minkina redaktor naczelny „Miesięcznika Finansowego BANK”.
Paweł Minkina
redaktor naczelny „Miesięcznika Finansowego BANK”.

Karol Mórawski redaktor prowadzący „Miesięcznika Finansowego BANK”.
Karol Mórawski
redaktor prowadzący „Miesięcznika Finansowego BANK”.

Paweł Kaczmarek odniósł się do rosnącego zagrożenia phishingiem w bankowości biznesowej i korporacyjnej – wraz ze wzmacnianiem ochrony segmentu detalicznego i rosnącą świadomością użytkowników indywidualnych sprawcy w coraz większym stopniu koncentrują się na atakowaniu firm, zwłaszcza małych i średnich, choć wykorzystują również ujawnione podatności dużych korporacji. W tym kontekście szczególnego znaczenia nabiera edukacja przedstawicieli tych podmiotów, obecnie obserwujemy wszak swoistą dychotomię – osoby, wykazujące się należytą przezornością jako konsumenci, padają jakże często ofiarą oszustów, wykonując czynności służbowe. Marcin Sereda podkreślił, że z podobnym zjawiskiem mamy do czynienia w samorządach terytorialnych, gdzie niskie standardy bezpieczeństwa idą w parze z wysokimi przepływami pieniężnymi. – Jeden incydent wymierzony w JST potrafi przynieść większe straty niż wszystkie fraudy w segmencie detalicznym za cały rok – dodał przedstawiciel banku Credit Agricole. Podobnie jak przedmówca, wskazywał on konieczność realizacji działań edukacyjnych na rzecz tego typu klientów instytucjonalnych.

Problem nie dotyczy jedynie niższej rangi pracowników. Paweł Dobrzański zwrócił uwagę na rosnącą liczbę incydentów typu whale phishing, wymierzonych w kadrę zarządzającą. Działalność sprawców znacząco wspierają rozwiązania z obszaru AI, zwłaszcza coraz doskonalsze deepfake’i, umożliwiające zasymulowanie nawet zdalnej konferencji z realistycznym wizerunkiem i głosem jej uczestników. – Można postawić tezę, że wszelkiego rodzaju ataki będą coraz częściej przeprowadzanie z użyciem sztucznej inteligencji. Nie będziemy w stanie ich odpierać, nie korzystając z AI – zauważył Artur Rudziński. Przypomniał on, iż już w tym roku ok. 70% danych na świecie będzie przetwarzanych w chmurach, co wymusi istotne zmiany w funkcjonowaniu nie tylko banków, ale i pozostałych sektorów.

DDoS, czyli codzienność

Rzecz w tym, że chmura to z jednej strony istotna poprawa bezpieczeństwa, z drugiej jednak z jej upowszechnieniem wiążą się, nieuwzględniane wcześniej, ryzyka geopolityczne. Większość dostawców cloudu to firmy amerykańskie, a niedawne doświadczenia z wojnami celnymi, wypowiadanymi przez USA całemu światu, skłaniają do refleksji, czy istnieje alternatywa dla dostawców IT, w tym chmury, zza oceanu. Nie chodzi tu oczywiście o skrajny wariant odcięcia od dostawców, ale np. zwiększone koszty wskutek polityki celnej amerykańskich władz jak najbardziej trzeba brać pod uwagę, zwłaszcza wskutek braku zamienników. – Europa nie ma dziś wystarczającej przestrzeni obliczeniowej (capacity), by być samowystarczalną – ocenił Paweł Dobrzański.

Do ryzyk geopolitycznych należy też doliczyć agresywną aktywność służb państw niedemokratycznych w cyberprzestrzeni, ukierunkowaną nie na kradzież pieniędzy czy danych, ale destabilizację infrastruktury krytycznej. Paweł Minkina przywołał tu przykład niedawnego ataku na czeski system ksiąg wieczystych, którego efekty przełożyły się na sprzedaż kredytów hipotecznych. Przemysław Wolek podkreślił, iż Polska należy do najczęściej atakowanych krajów, co niesie za sobą zaskakujące konsekwencje – polskie banki traktowane bywają w swych globalnych grupach jako centra kompetencyjne w materii cybersecurity. – Jeszcze niedawno można było liczyć dni z atakami DDoS, teraz bardziej właściwe byłoby wskazywanie dni, albo godzin, kiedy do nich nie doszło – zauważył Daniel Krzywiec.

Marcin Sereda odniósł się do perspektywy wykorzystania AI przez sprawców; nie negując tego zagrożenia, uważa on, iż w wielu przypadkach, jak choćby kontakty sprawców z ofiarami, w dalszym ciągu będą wykorzystywani ludzie, którzy w wielu jurysdykcjach są po prostu tańsi niż algorytmy, a zarazem wciąż lepiej radzą sobie z komunikacją interpersonalną. Nie oznacza to, iż sytuacja w najbliższym czasie nie ulegnie zmianie – już dziś bariera językowa w atakach phishingowych nie odgrywa takiej roli jak jeszcze kilka lat temu, zauważył Artur Rudziński. – Nauczyliśmy się żyć z atakami i odpierać je, ale musimy mieć świadomość, że sprawcy też się rozwijają i w przyszłości te incydenty mogą być jeszcze groźniejsze – wskazał przedstawiciel Alior Banku. Problemem mogą być np. wspomniane przez Daniela Krzywca incydenty hybrydowe, uderzające jednocześnie w kilka warstw infrastruktury.

W tych uwarunkowaniach szczególną rolę ma do odegrania regulator. Marcin Schubert podkreślił, że skala wykorzystania deepfake przez cyberoszustów może przyczynić się do kryzysu reputacyjnego odnośnie do korzystania z instrumentów elektronicznych. Zwłaszcza że – jak to podkreślił przedstawiciel Santander Banku Polska – „deepfake, które w tej chwili obserwujemy, to dopiero początek”. Według Marcina Schuberta, bez rozwoju świadomości pracowników i klientów czy wreszcie bez odpowiedniej kultury organizacji skuteczne przeciwdziałanie tego typu fraudom może być nader dyskusyjne. Na podsumowanie trwającej przeszło 90 minut dyskusji jej uczestnicy wskazali najważniejsze w ich opinii wyzwania dla cyberbezpieczeństwa i odporności cyfrowej banków. Należą do nich oczywiście działania sprawców, ze szczególnym uwzględnieniem ransomware, ale również deficyt ekspertów z zakresu cybersecurity, potężne koszty wdrożeń czy przepisy prawa działające nierzadko jako bariera. Do tego trzeba dodać kłopotliwe dziedzictwo przeszłości, czyli systemy legacy, mogące generować poważne podatności w architekturze IT. Celną puentą spotkania była wypowiedź Marcina Schuberta, że „jesteśmy tak silni jak nasze najsłabsze ogniwo”.

Źródło: Miesięcznik Finansowy BANK