Ryzyko to chleb powszedni bankowości

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

logo.bez.napisu.400x267Trwa Forum Technologii Bankowości Spółdzielczej. Drugą jego część rozpoczęły wystąpienia przedstawicieli partnerów generalnych konferencji.

Zbigniew Forenc, wiceprezes Zakładu Usług Informatycznych NOVUM, omówił kierunki działań podejmowanych przez instytucje finansowe w celu zwiększenia bezpieczeństwa, ze szczególnym uwzględnieniem odwiecznego konfliktu pomiędzy wygodą korzystania z nowoczesnych technologii płatniczych a bezpieczeństwem zgromadzonych środków.

Cezary Cichocki z OpenBIZ sp. z o.o. skoncentrował się na rozwiązaniach ułatwiających zarządzanie bezpieczeństwem bankowych systemów IT. Wskazał na konieczność inwentaryzacji kanałów zagrożeń jako pierwszy krok budowy odpowiedniego systemu ochrony.

Forum Technologii Bankowości Spółdzielczej 2015:

O tym, jak dokonywać analizy ryzyka w oparciu na postanowieniach Rekomendacji D, mówił dr Andrzej Bobyk z Instytutu Analiz i Prognoz Rynkowych. Przypomniał, jakie kroki należy podjąć, aby w odpowiedni sposób minimalizować ryzyka. Pierwszym posunięciem jest określenie prawdopodobieństwa wystąpienia zagrożeń: jak często dane ryzyko może się zmaterializować? Kolejny etap, ważny acz często niedoceniany, to ocena skutków tego ryzyka. – Będziemy szli właściwą drogą tylko w sytuacji, kiedy nastąpi monetaryzacja tych skutków – powiedział. -Kiedy już mamy projekcje skutków poszczególnych ryzyk – zarówno dla banku, jak i klientów – wówczas należy zastanowić się, jak efektywnie to ryzyko zminimalizować. Jest kilka opcji: pierwsza – to oczywiście zwalczanie, wprowadzanie zabezpieczeń. Drugim sposobem może być przeniesienie części ryzyka na inny podmiot, specjalizujący się w takich problemach – a więc outsourcing. Wreszcie ostatnia, niekiedy najlepsza metoda – zaakceptować istnienie ryzyka, co bynajmniej nie jest tożsame ze zbagatelizowaniem. – Jeśli właściwie przeprowadzimy taką analizę i zastosujemy odpowiednie środki, wtedy możemy powiedzieć: wydaliśmy na bezpieczeństwo tyle, co potrzeba. Nie więcej i nie mniej – zaznaczył przedstawiciel IAiPR.

150519.ftbs.01.600x368

Fot. Marzena Stokłosa

Już 11 czerwca na Stadionie Narodowym!

hb.logo.300x100

Zarejestruj się na aleBank.pl/HB

Analizie ryzyka, również w oparciu na postanowieniach Rekomendacji D KNF, poświęcona była debata ekspercka, moderowana przez Andrzeja Kawińskiego – prezesa Instytutu Analiz i Prognoz Rynkowych. W panelu udział wzięli: Paweł Masadyński – wiceprezes zarządu SGB-Banku S.A., Dariusz Olkiewicz – wiceprezes zarządu Banku Polskiej Spółdzielczości, Andrzej Sieradz – wiceprezes zarządu BGŻ S.A. w latach 2010-2015, dr Mieczysław Groszek – wiceprezes Związku Banków Polskich oraz Krzysztof Góral, zastępca dyrektora Departamentu Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych KNF.

– Czy analiza ryzyka informatycznego jest w bankowości spółdzielczej w ogóle potrzebna? Na co ona może mieć wpływ? – z tym pytaniem moderator zwrócił się do przedstawicieli obydwu zrzeszeń. Zdaniem Pawła Masadyńskiego z SGB jest to sprawa wręcz fundamentalna, tylko dzięki takiej analizie zoptymalizować można nakłady inwestycyjne na zabezpieczenia czy wprowadzić nowe standardy pozwalające na ograniczanie ryzyka, nie tylko zresztą te związane z atakami hakerów. – Mówimy o cyberprzestępczości, ale nie zapominajmy o fraudach wewnętrznych czy błędach w sprawozdawczości – przypomniał.

– Pytanie powinno brzmieć nie „czy”, ale „jak” Te czynności trzeba wykonywać w każdym banku. Pytanie – jak to robić skuteczniej – ocenił z kolei Dariusz Olkiewicz. Wg niego błędem jest cedowanie wszystkich obowiązków z tego zakresu na prezesów poszczególnych banków. – Mamy gotowy raport o tym, co w bezpieczeństwie jest niewłaściwe – nie musi tego czytać prezes. Powinna tym zajmować się na bieżąco osoba, która się na tym zna, wie jakie luki to oznacza i jak na nie zareagować – zaznaczył przedstawiciel BPS. I dodał, że banki spółdzielcze nierzadko mają problem z pozyskaniem takich osób.

Udzielając głosu Krzysztofowi Góralowi z KNF, Andrzej Kawiński przypomniał jego słowa z wcześniejszego wystąpienia, iż „wdrożenie Rekomendacji D to nie jest proces który się zakończył”. – Jakie są oczekiwania KNF? Czego oczekujecie od banków, jeśli chodzi o analizę ryzyka? – zapytał moderator.

– Pewnie nie ma w tej chwili w Polsce banku, który zgodnie ze swoim profilem ryzyka wdrożył Rekomendację U – zaznaczył Krzysztof Góral, potwierdzając tym samym fakt, iż dostosowywanie się do standardów w tej dziedzinie jest ciągłą powinnością instytucji finansowych. Jego zdaniem dokument KNF mimo swej objętości jest dość ogólny – co daje szanse, iż nie zdezaktualizuje się w ciągu najbliższych kilku lat. – Zwróciłbym uwagę na to, że obok Rekomendacji D pojawiać się będą wytyczne nie tylko ze strony KNF. Widzimy szczególną aktywność regulatorów europejskich – przypomniał przedstawiciel KNF. Sformułowanie jednoznacznych reguł utrudnia też różnorodność na bankowym rynku. – Pisząc rekomendację, zastanawialiśmy się, jak te banki posegmentować. Niestety, nie znaleźliśmy żadnego klucza pozwalającego na jednoznaczną kwalifikację – dodał Krzysztof Góral.
– Rekomendacja D, która teraz obowiązuje (…) uwzględnia rzeczy, które w IT zmieniły się w ostatnich 10 latach – przypomniał z kolei Andrzej Sieradz. Jego zdaniem, banki komercyjne miały w tej dziedzinie łatwiejsze zadanie aniżeli spółdzielcze; rekomendacja de facto rozwiązywała bowiem problemy, które w tych bankach były po części opanowane. Prelegent zwrócił uwagę na to, że utożsamianie bezpieczeństwa teleinformatycznego jedynie z pionem IT to kardynalny błąd.

– Rekomendacja D nie jest typu „przyjdą informatycy i to zrobią”. Mówi o konieczności szerokiej współpracy wewnątrz banku, nie wszystkie ryzyka pochodzą bowiem z dziedziny IT. Mamy tu w równym stopniu zagadnienia typu HR-owskiego – podkreślił Andrzej Sieradz.

Wiceprezes Związku Banków Polskich dr Mieczysław Groszek przypomniał, że ZBP grupuje zarówno podmioty z sektora komercyjnego, jak i spółdzielczego. Daje to szanse na wymianę informacji o zagrożeniach oraz metodach ich zwalczania pomiędzy poszczególnymi podmiotami, a wsparcie ze strony dużego banku komercyjnego, zmagającego się na co dzień z cyberatakami, dla małej placówki spółdzielczej jest nie do przecenienia.

Wiceprezes ZBP odniósł się również do zasady proporcjonalności, sformułowanej przez KNF. Jego zdaniem, doświadczenia będą pozwalały na kalibrowanie wymogów. Należy wspólnie z regulatorem prowadzić poszukiwania metody na to, żeby kalibrować zasadę proporcjonalności w zakresie Rekomendacji D. – ZBP i banki spółdzielcze deklarują udział w tego typu poszukiwaniach – podkreślił.

W jaki sposób stawić czoło coraz bardziej pomysłowym rabusiom internetowym? Dariusz Olkiewicz uważa, że wyzwaniem – zwłaszcza dla małych banków – mogą być niewystarczające zasoby ludzkie. – Kwestia w tym, kto to będzie robił. Te problemy mają nawet najwięksi, którzy wydają na bezpieczeństwo nieporównanie większe kwoty – zauważył.

Jak budować wiedzę i doświadczenie? Zdaniem Andrzeja Sieradza zadanie jest o tyle trudne, że mamy potężną dysproporcję między małym bankiem nieposługującym się wyrafinowanymi rozwiązaniami IT i dużym podmiotem stosującym takie rozwiązania. Tymczasem cyberprzestępcy z reguły przenoszą się z sektorów lepiej chronionych do tych mających gorsze zabezpieczenia. – Najsłabszym punktem relacji jest klient – przypomniał.

Jaka może być rola zrzeszeń w ograniczaniu ryzyka teleinformatycznego? Dariusz Olkiewicz z BPS uważa, że bank zrzeszający powinien brać na siebie takie zadania, jak organizacja szkoleń dla pracowników czy grupowe zakupy licencji na systemy bezpieczeństwa teleinformatycznego, a także grupowe zarządzanie tymi systemami. Niestety, banki członkowskie nie zawsze korzystają z tej oferty. – Jako bank zrzeszający nie mamy takiej siły, jak firmy IT obecne na rynku. (…) Być może z tej przyczyny zainteresowanie tym, co robimy jest stosunkowo niewielkie – zaznaczył przedstawiciel BPS.

Z kolei Paweł Masadyński z SGB zwrócił uwagę na konieczność przedefiniowania podejścia do bezpieczeństwa. – Musimy mieć nowe podejście. Wiąże się to z nowymi kadrami bankowców. Widzimy jednak ryzyko – tych kadr nie ma na rynku – zaznaczył.

Jaką rolę w zwiększaniu bezpieczeństwa teleinformatycznego banków odgrywa ZBP? – Bezpieczeństwo działalności bankowej w zakresie teleinformatycznym jest priorytetem – podkreślił wiceprezes Mieczysław Groszek. Wymienił też niektóre aktywności ZBP w tym zakresie: to m.in. wymiana informacji o zagrożeniach, udział w ćwiczeniach Cyber Exe pokazujących stan zaawansowania sektora bankowego we wdrażaniu systemów bezpieczeństwa czy najnowszy projekt cybertarczy. Ważne jest też, aby wymieniać się doświadczeniami – do czego dochodzi na licznych konferencjach organizowanych lub współorganizowanych przez ZBP, takich jak Forum Bezpieczeństwa Banków, IT@BANK czy właśnie Forum Technologii Bankowości Spółdzielczej. Niezwykle istotnym zagadnieniem podejmowanym przez ZBP jest edukacja klientów banków w zakresie bezpieczeństwa korzystania z bankowości elektronicznej.

Na problemy związane z nikłą świadomością klientów banków zwrócił również uwagę Krzysztof Góral. – Klient to  najsłabsze ogniwo (…) jego wiedza o rozwiązaniach, z jakich korzysta jest naprawdę mała – zaznaczył przedstawiciel KNF.

Karol Jerzy Mórawski