BANK 2025/08

NBS | Debata Redakcyjna – OMNILOGY | Cyberodporność banków spółdzielczych: realna potrzeba i stymulator rozwoju

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
NBS | Debata Redakcyjna – OMNILOGY | Cyberodporność banków spółdzielczych: realna potrzeba i stymulator rozwoju
Zdjęcia: CPBiI
Cyberbezpieczeństwo staje się kluczowym elementem decydującym o funkcjonowaniu współczesnych instytucji finansowych. Szybka absorpcja technik teleinformatycznych przez zorganizowane grupy przestępcze i podyktowane tym zagrożenie, rosnące wymogi regulacyjne w obszarze odporności cyfrowej banków stają się szczególnym wyzwaniem dla lokalnej branży finansowej. Dysponując ograniczonymi zasobami finansowymi, technologicznymi i ludzkimi, musi ona spełniać analogiczne standardy w sferze cyberbezpieczeństwa jak bankowość komercyjna.

Jak zatem skutecznie budować cyberodporność banku spółdzielczego w czasach, gdy upowszechnianie się generatywnej AI stawia przed rynkiem finansowym całkiem nowe wyzwania, a regulacje, takie jak DORA czy NIS2, wymuszają przebudowę struktury organizacyjnej banków, także lokalnych, w duchu zasady security by design? Odpowiedzi na to pytanie szukali uczestnicy debaty, zorganizowanej przez redakcję „Miesięcznika Finansowego BANK” przy współpracy z firmą Omnilogy. Panel, zorganizowany podczas tegorocznego Forum Technologii Bankowości Spółdzielczej, moderował Paweł Minkina, redaktor naczelny „Miesięcznika Finansowego BANK” i wiceprezes Centrum Procesów Bankowych i Informacji.

Strategia cyberbezpieczeństwa: dokument żywy czy martwy?

Jednym z pierwszych tematów debaty było znaczenie strategii instytucji finansowej, która w sposób wyczerpujący adresowałaby zarówno oczekiwania klientów, jak i wymogi regulacyjne, obejmując rzecz jasna także sferę szeroko rozumianego cyberbezpieczeństwa. Paneliści podkreślali, że dokument ten nie może być traktowany jedynie jako formalność. Strategia powinna być spójnym elementem codziennego funkcjonowania instytucji, osadzonym w jej procesach operacyjnych i dostosowanym do realiów działania konkretnego banku. Na taką potrzebę wskazywała m.in. Wioleta Ciulińska, wiceprezes zarządu ds. finansów i technologii informatycznych Banku Spółdzielczego w Płońsku, dodając, że bankowość lokalna wciąż uczy się kreowania holistycznej strategii działania. Wbudowanie tego dokumentu w codzienne procesy operacyjne pozwoli na zachowanie równowagi między bezpieczeństwem a funkcjonalnością tak, by środki zabezpieczające klienta banku nie generowały dyskomfortu w korzystaniu z usług finansowych. Wiceprezes Banku Spółdzielczego w Płońsku podkreślała, że zarówno niewystarczające bezpieczeństwo, jak i niski poziom user experience może być czynnikiem decydującym o przejściu konsumenta do innego banku. Dlatego właśnie nie powinno się separować działów sprzedaży i IT czy cyberbezpieczeństwa, podkreślił Radosław Kuleczka, członek zarządu Łódzkiego Banku Spółdzielczego. Także i w komunikacji z klientem należy wskazywać na wysoki poziom zabezpieczeń stosowanych przez bank, ale i konsekwentnie uświadamiać konsumentów odnośnie do zagrożeń w cyberprzestrzeni i sposobów bezpiecznego bankowania online. Ma to szczególne znaczenie w obliczu sukcesywnego przenoszenia odpowiedzialności za ochronę zasobów klientów na instytucje finansowe, nawet w przypadkach nieprzemyślanych zachowań po stronie samego użytkownika. Przywołując ten fakt, Mariusz Misiukanis, CCO, Cybersecurity & Observability, Omnilogy zaznaczył, iż cyberbezpieczeństwo ma dziś w branży finansowej absolutny priorytet, samo zaś zaufanie buduje się latami, podczas gdy utracić można zaledwie w jedną sekundę. Dlatego działania banków na rzecz ochrony klientów muszą mieć charakter proaktywny, łącznie z adekwatnym przygotowaniem pracowników, by byli w stanie przekazywać konsumentom wiedzę na temat bezpieczeństwa stosowanych rozwiązań w sposób jasny i przystępny. Michał Igor Dacko, Cybersecurity Architect, Omnilogy, zaproponował trójdzielny model podejścia do strategii cyberbezpieczeństwa: można oprzeć ją wyłącznie na przepisach, ewentualnie kopiować rozwiązania z rynku komercyjnego, najbardziej efektywne jest jednak podejście zorientowane na zagrożenia. Tylko analiza rzeczywistych wektorów ataku i potencjalnych skutków przerwania ciągłości działania może prowadzić do stworzenia systemu odpornego na współczesne ryzyka. Kamil Drzymała, architekt bezpieczeństwa IT w Banku Polskiej Spółdzielczości, podkreślił, że samodzielne budowanie pełnego systemu cyberbezpieczeństwa przez pojedynczy bank spółdzielczy jest praktycznie nierealne – zarówno ze względu na koszty, jak i na brak wykwalifikowanej kadry. Jego zdaniem, problemem nie jest dziś brak rozwiązań, ale opóźniona adopcja i niedostateczne wykorzystanie istniejących narzędzi. I właśnie projekty zrzeszeniowe w zakresie cyberbezpieczeństwa, realizowane przez Bank BPS, mają pomóc w tym procesie.

Skalowanie odporności: zrzeszenia, współdzielenie i automatyzacja

Model zrzeszeniowy, w jakim od lat funkcjonują banki lokalne, stanowi ich silną przewagę we wdrażaniu technologii z zakresu cyberbezpieczeństwa. I nie chodzi tu wyłącznie o zasoby pieniężne, jakimi dysponują banki zrzeszające, ale również o wykwalifikowanych specjalistów, niezbędnych choćby po to, by monitorować środowisko ICT banków. Bez tego zaś, jak sugerował Marek Kuklewski, prezes zarządu Banku Spółdzielczego w Gogolinie, nie da się uzyskać odpowiednych standardów bezpieczeństwa. Dlatego właśnie Bank Polskiej Spółdzielczości powołał do życia Security Operations Center (SOC), stanowiący istotny element cyberodporności całego zrzeszenia. Apelował do banków spółdzielczych, by przystępowały do projektów realizowanych w ramach SOC, dodając, iż jest to istotne zarówno z uwagi na konieczność spełnienia wymagań prawnych, jak i z powodów reputacyjnych. Każdy bowiem zmaterializowany incydent cyberbezpieczeństwa kładzie się cieniem na całym sektorze, dodał Marek Kuklewski. Piotr Mazur, dyrektor IT w SGB-Banku, przypomniał, że centra operacji bezpieczeństwa funkcjonują w obu zrzeszeniach, i choć ich modele zależą od specyfiki danej grupy, to zasadniczy cel jest ten sam: zapewnienie kompleksowej ochrony, przy uzyskaniu efektywności kosztowej, jakiej nie jest w stanie samodzielnie wynegocjować żadna z lokalnych instytucji finansowych. Takie inicjatywy realizują oczywiście podmioty funkcjonujące poza strukturą zrzeszeń, jak Bank Spółdzielczy w Brodnicy, który z uwagi na skalę prowadzonej działalności jest w stanie podjąć tak odpowiedzialne wyzwanie. Arkadiusz Kurasz, wiceprezes zarządu Mikołowskiego Banku Spółdzielczego, podkreślił, że funkcjonowanie banków spółdzielczych poza strukturami zrzeszeń i systemów ochrony instytucjonalnej (IPS) stanowi wyzwanie nie tylko organizacyjne, lecz także reputacyjne dla całego sektora. Zauważył, że rozproszenie systemowe utrudnia budowę jednolitych standardów odporności cyfrowej, komunikacji z klientami oraz rozwoju wspólnych systemów bezpieczeństwa. W tym kontekście zaapelował o intensyfikację działań na rzecz konsolidacji sektora, zarówno poprzez wzmacnianie i konsolidację zrzeszeń i zachęcanie banków niezrzeszonych do ponownego przyłączenia się do struktur systemowych, jak i poprzez dobrowolne procesy łączenia mniejszych banków z większymi, silniejszymi jednostkami, co pozwoliłoby osiągać efekt skali i synergię w obszarach takich jak: cyberbezpieczeństwo, automatyzacja, inwestycje IT czy zarządzanie ryzykiem. Skierował także uwagę na to, że konsolidacja nie oznacza rezygnacji z lokalnego charakteru bankowości spółdzielczej, ale może stanowić realną szansę na jej modernizację, zwiększenie konkurencyjności i zapewnienie trwałego zaufania klientów. W dobie dynamicznych zmian technologicznych i rosnących wymagań regulacyjnych, tylko poprzez współdziałanie i strategiczną integrację sektor może zapewnić bezpieczne i profesjonalne usługi finansowe na miarę XXI wieku. Grzegorz Głowacki, członek zarządu ds. informatyki i innowacji Banku Spółdzielczego w Brodnicy, akcentował rolę budowy kompetencji w zakresie cybersecurity we własnym zespole, zarówno jeśli chodzi o specjalistów z tego obszaru, jak i pogłębianie świadomości pozostałej części załogi. Nie wykluczył on również współpracy ze zrzeszeniami, o ile ich oferta okazałaby się korzystna. Również Bank Spółdzielczy Rzemiosła w Krakowie jako kolejna niezależna lokalna instytucja finansowa, spełnia wszystkie standardy w zakresie odporności cyfrowej. Krzysztof Brągiel, członek zarządu, Pion Operacji i Technologii Banku Spółdzielczego Rzemiosła w Krakowie, zauważył, iż najpoważniejszym wyzwaniem jest uświadamianie pracowników odnośnie do aktualnych zagrożeń, szczególnie tych z obszaru sprzedaży. Z opinią tą zgodził się Radosław Kuleczka, podkreślając znaczenie edukacji tej grupy bankowców, z uwagi na ich relacje z konsumentami. Te zaś, jak przypomniał Arkadiusz Kurasz, ulegają przewartościowaniu w związku z digitalizacją; technologia zastępuje dziś bliskość w ujęciu tradycyjnym. Dlatego niezbędne jest postrzeganie cyberbezpieczeństwa jako stymulatora rozwoju, a nie generatora kosztów, a chcąc dogonić bankowość komercyjną, warto pomyśleć o wspólnych rozwiązaniach IT. Sugerował również podjęcie procesów konsolidacyjnych na poziomie samych banków, by mniejsze, lokalne podmioty przekształcać w silniejsze instytucje finansowe. – Musimy przestać patrzeć przez pryzmat kosztów, a zacząć przez pryzmat klienta – dodał przedstawiciel Mikołowskiego Banku Spółdzielczego. Aby to osiągnąć, potrzeba zmiany mentalności spółdzielców tak, by wykazywali większe zaangażowanie we współpracę. Tylko w ten sposób we współczesnym świecie ten segment rynku finansowego jest w stanie zwiększać udział w rynku i budować zaufanie, co przekłada się na pozyskiwanie klientów i utrzymanie lojalności dotychczasowych.

Zdjęcia: CPBiI
Zdjęcia: CPBiI

Monitoring i automatyzacja – technologia w służbie reakcji

Jednym z kluczowych wątków debaty było pytanie o to, na czym powinien koncentrować się monitoring cyberzagrożeń. Paneliści byli zgodni: analiza ruchu sieciowego, zachowania użytkowników i anomalii w sesjach klienta to dziś fundamenty skutecznej ochrony. Kamil Drzymała wskazał, że szczególne znaczenie ma monitorowanie tego, co dzieje się bezpośrednio na stacjach roboczych – bo właśnie tam rozpoczyna się wiele współczesnych ataków.

Technologie klasy XDR i EDR pozwalają wykrywać nie tylko znane zagrożenia, ale również nietypowe zachowania, które mogą świadczyć o naruszeniu bezpieczeństwa. W tym kontekście tradycyjna analiza plików, w takiej formule jak to miało miejsce dotychczas, schodzi na dalszy plan, a monitorowanie przestępczej aktywności rozpoczyna się już po pierwszym sygnale o wykorzystaniu przez nich jakiejkolwiek podatności, wskazywał reprezentant banku zrzeszającego. Tu z kolei przydatne okazują się technologie bazujące na AI, dzięki którym można zautomatyzować żmudne czynności z obszaru monitorowania, wykonywane dotychczas przez dziesiątki pracowników. W opinii uczestników debaty, w tym kierunku powinien zmierzać sektor bankowości lokalnej, o ile będzie miał zapewnione odpowiednie wsparcie technologiczne i organizacyjne. Rzecz w tym, by w umiejętny sposób wkomponować cyberodporność w procesy biznesowe, co powinno stanowić realizację koncepcji security by design w praktyce. Tu jednak na przeszkodzie, nawet w niewielkich instytucjach finansowych, staje silosowość. Kamil Drzymała zwrócił uwagę na przypadki, kiedy wypracowania porozumienia pomiędzy osobami odpowiedzialnymi za biznes i cyberbezpieczeństwo napotyka na trudności. Tymczasem, jak to wskazywał przedstawiciel BPS, kluczowe w takich sytuacjach jest wzajemne zrozumienie zadań, realizowanych przez drugą stronę.

Piotr Mazur wskazał, że integracja centralnej aplikacji mobilnej z zaawansowanym systemem FDS daje bardzo dobre wyniki – ale tylko wtedy, gdy bank ma pełną kontrolę nad środowiskiem i dostęp do danych z różnych kanałów płatności. Automatyzacja jest tu kluczowa – pozwala nie tylko na szybszą reakcję, ale też na optymalizację kosztów. Odnośnie do tego ostatniego aspektu, Wioleta Ciulińska podkreślała, iż należy się pospieszyć z zakupem odpowiednich rozwiązań IT, a to z uwagi na perspektywę obniżek stóp procentowych, co ograniczy przychody banków lokalnych z działalności podstawowej. – Uczmy się na błędach popełnianych przez innych, bo własne są zawsze najdroższe – dodała wiceprezes Banku Spółdzielczego w Płońsku.

Realizm i świadomość: co faktycznie wdrożono, a co jest tylko na papierze?

Uczestnicy debaty nie unikali trudnych tematów. Łukasz Madajczyk, wiceprezes zarządu Kujawsko-Dobrzyńskiego Banku Spółdzielczego, wprost zadał pytanie: ilu uczestników faktycznie korzysta ze swoich strategii odporności cyfrowej, a ilu sporządziło je z założeniem schowania do szuflady? Wskazał, że największym zagrożeniem jest przekonanie, że zakup rozwiązania kończy pracę nad bezpieczeństwem. Tymczasem to dopiero początek: nowe narzędzia trzeba przetestować, dostosować, zintegrować z procesami biznesowymi i regularnie aktualizować. Odnosząc się do zasobów specjalistów IT, zwrócił uwagę na dodatkowe ryzyko, jakim jest możliwość ich rezygnacji z pracy i przeniesienia się do dużego miasta, co w przypadku osób zajmujących kluczowe stanowiska choćby w obszarze cybersecurity może oznaczać sparaliżowanie dalszych działań. Tymczasem wykwalifikowane kadry i wypracowanie odpowiednich procedur niezbędne jest również przy korzystaniu ze wsparcia zrzeszeniowego SOC, wskazywał wiceprezes Kujawsko-Dobrzyńskiego Banku Spółdzielczego. Rzecz w tym, że – jak podkreślał Michał Igor Dacko – dynamiczny rozwój technologii cybersecurity sprawia, że kompetencje w tej dziedzinie nader szybko ulegają dezaktualizacji, do tego stopnia, że doświadczony fachowiec, który przez pięć lat nie rozwijał swej wiedzy, dziś jest na poziomie debiutanta. Do tego wiedza na temat cyberbezpieczeństwa, podobnie zresztą jak w całej sferze IT, jest rozproszona w różnych źródłach, co też utrudnia budowę kwalifikacji załogi. – Problem jest wszędzie ten sam: skąd pozyskiwać aktualną wiedzę? – spytał przedstawiciel Omnilogy.

Temat ten powrócił również w kontekście planów odtworzeniowych. Kamil Drzymała i Michał Dacko ostrzegali, że wiele banków wciąż nie posiada kompletnych i aktualnych instrukcji disaster recovery. Zdarza się, że kluczowe procedury nie zostały dostosowane do zmian technologicznych – co w sytuacji kryzysowej może doprowadzić do paraliżu działania banku.

Szerszy kontekst: współpraca międzysektorowa i odpowiedzialność telekomów

W końcowej części debaty Paweł Minkina zapytał o współpracę między sektorami w kontekście zagrożeń, których źródłem nie są same instytucje finansowe czy ich klienci. Chodzi m.in. o fałszywe połączenia telefoniczne, podszywanie się pod pracowników banku czy rozsyłanie złośliwych wiadomości SMS. Ma to szczególne znaczenie w procesie zabezpieczania klientów, którzy komunikują się z bankiem za pomocą ogólnodostępnej infrastruktury telekomunikacyjnej.

Paneliści zgodzili się, że rola telekomów w systemie cyberbezpieczeństwa jest niedoceniana. Operatorzy mają narzędzia do blokowania wielu ataków na wczesnym etapie, ale często nie chcą brać za to odpowiedzialności – tłumacząc się rolą „neutralnego dostawcy usług”. Tymczasem – jak podkreślali uczestnicy – cyberprzestępcy korzystają z tych kanałów równie chętnie, jak z luk w systemach bankowych.

Zdjęcia: CPBiI
Zdjęcia: CPBiI

Potrzebna jest zatem szersza koordynacja – nie tylko między bankami a regulatorami, ale także z innymi uczestnikami rynku cyfrowego. Mariusz Misiukanis wskazał tu choćby na zewnętrznych dostawców aplikacji mobilnych, którzy choć są w stanie tworzyć doskonale działający system, to nie zawsze nadążają za wymogami w zakresie bezpieczeństwa. Współpraca międzysektorowa mogłaby znacząco zwiększyć skuteczność działań prewencyjnych, w rozumieniu zasady security by design, co poprawiłoby poziom ochrony klienta. Uczestnicy wskazywali również na zasadniczy problem, jakim są wygórowane oczekiwania konsumentów, a w jakiejś mierze także i regulatorów, odnośnie do poziomu zabezpieczenia klienta przed konsekwencjami jego nieświadomych bądź nieprzemyślanych zachowań. Kamil Drzymała podkreślał, że nawet najlepsze zabezpieczenie z reguły nie jest w stanie w pełni zabezpieczyć osoby, która udostępnia dane do logowania sprawcom, umożliwiając im w ten sposób aktywację zdalnego pulpitu. Podkreślił również, że systemy ochrony bankowości elektronicznej, które wykrywają zdalny dostęp do urządzenia, nietypowy sposób korzystania z klawiatury czy niespotykane wzorce kliknięć wspomagają wykrywanie takich zdarzeń, ale bardzo ważne jest budowanie świadomości klientów. Do tego dochodzi wspomniana wcześniej potrzeba wyrównoważenia pomiędzy bezpieczeństwem a wygodą korzystania z bankowych usług.

Podsumowanie: nie ma bezpieczeństwa bez współpracy

Debata jasno pokazała, że cyberbezpieczeństwo w bankowości spółdzielczej nie może być traktowane jako obszar pomocniczy czy poboczny. To element kluczowy dla funkcjonowania banku, jego reputacji i relacji z klientem. Choć zasoby w tym sektorze są ograniczone, jednak skala zagrożeń jest identyczna, jak w przypadku dużych instytucji komercyjnych.

Odpowiedzią na te wyzwania może być współdzielenie rozwiązań, współpraca w ramach zrzeszeń, automatyzacja i wzmacnianie kompetencji wewnętrznych. Ale równie ważna jest zmiana myślenia: od reagowania – do przewidywania, od izolacji – do integracji, od wymogu – do realnego działania. Tylko wtedy sektor bankowości lokalnej będzie mógł nie tylko przetrwać, ale też rozwijać się w bezpieczny i stabilny sposób.

uczestnicy debaty

Krzysztof Brągiel, członek zarządu, Pion Operacji i Technologii, Bank Spółdzielczy Rzemiosła w Krakowie; Wioleta Ciulińska, wiceprezes zarządu ds. finansów i technologii informatycznych, Bank Spółdzielczy w Płońsku; Michał Igor Dacko, Cybersecurity Architect, Omnilogy – partner technologiczny debaty; Kamil Drzymała, architekt bezpieczeństwa IT, Bank Polskiej Spółdzielczości; Grzegorz Głowacki, członek zarządu ds. informatyki i innowacji, Bank Spółdzielczy w Brodnicy; Piotr Koprucki, wiceprezes ds. finansów i bezpieczeństwa, Warmiński Bank Spółdzielczy; Łukasz Kotlarz, lider ds. rozwoju systemów i IT, NICOLAUS BANK; Marek Kuklewski, prezes zarządu, Bank Spółdzielczy w Gogolinie; Radosław Kuleczka, członek zarządu, Łódzki Bank Spółdzielczy; Arkadiusz Kurasz, wiceprezes zarządu, Mikołowski Bank Spółdzielczy w Mikołowie; Łukasz Madajczyk, wiceprezes zarządu, Kujawsko-Dobrzyński Bank Spółdzielczy; Piotr Mazur, dyrektor IT, SGB-Bank; Mariusz Misiukanis, CCO, Cybersecurity & Observability, Omnilogy; Waldemar Słojewski, kierownik Zespołu Informatyków (ASI), Bank Spółdzielczy w Pleszewie; Mariola Walendowska, prezes zarządu, Bank Spółdzielczy w Pleszewie; Marcin Warzański, wiceprezes zarządu nadzorujący obszar IT, Bank Spółdzielczy w Czarnkowie.

Źródło: Miesięcznik Finansowy BANK