Miesięcznik Finansowy BANK 2025/12

Nie ma jednego modelu bezpieczeństwa: risk-based approach w praktyce

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Nie ma jednego modelu bezpieczeństwa: risk-based approach w praktyce
Fot. PwC Polska
Z Szymonem Grabskim, dyrektorem ds. cyberbezpieczeństwa w PwC Polska, rozmawiał Karol Mórawski.

W ostatnim czasie mieliśmy do czynienia z ofensywą unijnego regulatora w obszarze odporności cyfrowej. Na ile takie regulacje jak CER, NIS2 czy DORA, adresują wyzwania współczesności, a może rozwój technologii wyprzedził założenia unijnych legislatorów?

– Te regulacje mają jeden nadrzędny cel: harmonizację podejścia do odporności cyfrowej i stworzenie unijnych standardów dla podmiotów reprezentujących różne sektory rynku. Przed wejściem w życie tych przepisów nadzory finansowe w poszczególnych krajach (np. w Hiszpanii, Polsce, Czechach) mogły mieć nieco inne wymagania w zakresie odporności cyfrowej. W uproszczeniu – harmonizujemy po to, aby poziom odporności poszczególnych podmiotów był na jednolitym, wysokim i przewidywalnym poziomie. Cechą wspólną tych aktów prawnych jest podejście oparte na ryzyku (risk-based approach). Oznacza to, że regulacje nie wskazują konkretnych form, technologii czy mechanizmów zabezpieczających, a jedynie obszary, które powinny być uwzględnione. Zatem organizacje mogą dobierać mechanizmy zabezpieczające, które uznają za adekwatne do potrzeb i profilu ryzyka.

W tym kontekście szczególnego znaczenia nabiera właściwe podejście do wdrożenia regulacji w organizacji. Często obserwuję u klientów objętych rozporządzeniem DORA, czy dyrektywą NIS2, że podejście „compliance dla compliance” skutkuje tworzeniem listy polityk i procedur, które „trzeba wyprodukować” na potrzeby odstawienia na półkę i wykorzystania podczas ewentualnej kontroli. Mówimy wtedy nie o realnej odporności cyfrowej, tylko papierowej. Co w konsekwencji może prowadzić (i obserwujemy, że często prowadzi) do udanych ataków i gigantycznych strat finansowych.

Dostosowanie się do nowych regulacji powinno być poprzedzone refleksją, w jakim celu powstały, jakie kluczowe elementy adresują i czego wymagają od danego podmiotu. Przy takim podejściu da się zwiększyć poziom odporności. Przykładem jest DORA, która wprowadziła dodatkowe wymagania w zakresie zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT. To jeden z bardziej rewolucyjnych elementów tego aktu prawnego. Dla banków to realne wyzwanie, nie tylko z uwagi na potrzebę masowego aneksowania umów z dostawcami, lecz także na ryzyka, których wcześniej nie dostrzegano. Sam fakt, że DORA dotknęła tego obszaru, podniósł poziom odporności: instytucje finansowe, które poważnie podeszły do wdrożenia, zaczęły zwracać uwagę na łańcuch dostaw i generowane przez niego ryzyka. Jeśli jednak efektem byłoby wyłącznie stworzenie „polityki zarządzania dostawcami” w kilku rozdziałach, de facto nic się nie zmieni.

Unijny ustawodawca zwiększa poziom bezpieczeństwa sektora bankowego, zarazem otwierając go na nowe podmioty w ramach koncepcji open-finance. Czy te działania da się pogodzić?

– Uważam, że jest to jak najbardziej realne. To duże wyzwanie dla banków i całego sektora, ale właśnie takie wyzwania generują też postęp. Przykładem może być chmura obliczeniowa: gdybyśmy zapytali jeszcze kilka lat temu, czy bank może korzystać z publicznej chmury, wielu złapałoby się za głowę. Później pojawił się tzw. komunikat chmurowy KNF, który dopuścił taką możliwość (i wytrącił argument „nie da się, bo to zakazane”). Dziś na rozwiązaniach chmurowych banki często opierają znaczną część działalności i nie jest to podyktowane wymogami regulacyjnymi. Po prostu, stosowanie nowych technologii ma pewną barierę wejścia związaną z tym, że wykraczmy poza tzw. business as usual, ale osiągamy w zamian szereg benefitów. Nie uważam więc, że open banking jest czymś fundamentalnie niebezpiecznym i stojącym w sprzeczności z odpornością. Tak jak przekazanie danych do chmury obliczeniowej nie musi obniżyć odporności. Ważne jest podejście: jeśli rzeczywiście bezpieczeństwo jest nadrzędnym celem, to open banking da się wdrożyć w adekwatny sposób. Natomiast wyzwania, z jakimi się mierzymy przy tej okazji, powodują często pozytywną transformację obszarów IT oraz bezpieczeństwa, a także poszerzenie kompetencji.

W ostatnim czasie dosyć modnym trendem jest deregulacja. Jeśli chodzi o przepisy bezpieczeństwa, w jakich obszarach byłaby ona zasadna, a gdzie mamy do czynienia ze zjawiskiem odwrotnym – prawo posiada luki, które należałoby jak najszybciej wypełnić?

– W kontekście deregulacji warto zwrócić uwagę, że najważniejsze regulacje dotyczące bezpieczeństwa i odporności cyfrowej, to regulacje unijne. Postulat deregulacji, jakkolwiek go rozumiemy, powinien być więc realizowany na poziomie europejskim. Rozumiem go raczej jako ustanowienie ram niż regulowanie wszystkiego, co się da, sztywnym prawem. W mojej ocenie, przynajmniej częściowo zmierzamy już w tym kierunku: DORA, RODO i NIS2 to regulacje, które wskazują cele, nie schodząc na poziom kazuistyki ze szczegółowym opisem kroków prowadzących do ich osiągnięcia.

W tym kontekście podejście oparte na ryzyku w dużej mierze wpisuje się w trend deregulacyjny, jeśli rozumiemy go jako eliminację zbyt drobiazgowych, zbytecznych przepisów. Oczywiście to prawo też nie jest idealne; należałoby np. przemyśleć poziom i sposób sprawowania nadzoru. Przykładowo – wprowadzenie DORA miało zharmonizować poziom odporności w całej UE, a jednocześnie egzekwowanie prawa przekazano regulatorom krajowym, którzy niekoniecznie sprawują ten nadzór w sposób zharmonizowany. Są kraje, w których regulator działa jak policjant wystawiający mandaty, i takie, w których rzeczywiście prowadzi konsultacje z rynkiem, tworzy standardy, rozmawia z uczestnikami sektora.

Do regulacji wpływających na cyberbezpieczeństwo zaliczyć należy AI Act. Czy w tym przypadku możemy mówić o kreowaniu standardów dla odpowiedzialnego wdrażania AI, a może, jak twierdzą niektórzy, to kolejny balast, wpływający negatywnie na konkurencyjność cyfrową Europy wobec USA i Dalekiego Wschodu?

– Zapóźnienie Europy w zakresie AI wynika przede wszystkim z niedofinansowania ośrodków badawczo-rozwojowych. Nie inwestujemy (tak jak nasi konkurenci) w naukę i instytucje, które mogłyby rozwijać sztuczną inteligencję, jak również w zasoby takie, jak moc obliczeniowa. AI Act w moim odczuciu wspiera budowę zaufania wobec rozwiązań bazujących na AI. Przeciętnemu odbiorcy trudno odróżnić, gdzie kończy się science fiction, a zaczyna rzeczywistość, która zapukała do naszych drzwi kilkanaście miesięcy temu; problematyczne jest to nawet dla części ekspertów. Kompleksowe uregulowanie tego obszaru w duchu odpowiedzialności może pomóc w budowaniu zaufania do technologii.

AI Act stosuje, podobnie jak wcześniej wspomniane regulacje, podejście oparte na ryzyku. Ścisłe uregulowanie obejmuje wyłącznie systemy wysokiego ryzyka, czyli wskazane w regulacji konkretne przypadki; nie ma ich wiele, dotyczą w największym stopniu systemów, których stosowanie może zagrażać np. zdrowiu, bezpieczeństwu czy prawom podstawowym. AI Act odpowiada na pytanie, w jakim świecie chcemy funkcjonować jako jednostki. Dla pozostałych systemów lista wymogów ujętych w AI Act nie jest na tyle rozbudowana, by twierdzić, że przepisy te powodują cofanie rozwoju lub jego spowalnianie. Wręcz przeciwnie: mówimy o jednym standardzie, który ułatwia skalowanie rozwiązań AI w Unii Europejskiej. To, co nas blokuje, to raczej właśnie nakłady na rozwój, czy wspomniane we wcześniejszej wypowiedzi stawianie czoła wyzwaniom niż zastanawianie się, czy nasze systemy AI nie profilują ludzi w sposób nieakceptowalny. Od tego są właśnie kategorie wysokiego ryzyka. Zanim przejdziemy do łatwej krytyki, należałoby postawić pytanie, czy jako Europejczycy chcielibyśmy mieć ochronę naszej prywatności na poziomie analogicznym jak w Chinach?

Wróćmy do cloud computingu. W pierwszej fazie konfliktu rosyjsko-ukraińskiego wskazywało się na jego przewagi, dziś coraz częściej mówi się o zaletach klasycznych serwerowni. Jak powinien wyglądać optymalny model przechowywania zasobów cyfrowych instytucji finansowej?

– Nie ma jednego idealnego modelu dla wszystkich podmiotów, co potwierdza słuszność podejścia bazującego na ryzyku. Zarówno chmura, jak i środowiska lokalne (on-premise) mają swoje wady i zalety. On-premise jest mało skalowalne, podatne na ataki fizyczne i wojnę kinetyczną, a także wrażliwe na ekstremalne zjawiska pogodowe, które w kontekście zmian klimatycznych będą nam coraz częściej towarzyszyć. Chmura z zasady jest niezależna od geografii. Z kolei w rozwiązaniach on-premise mamy pełną kontrolę, nie jesteśmy uzależnieni od dostawców usług chmurowych ani od rządów krajów, gdzie oni operują. Chmura jest dynamiczna, umożliwia skalowanie i szybką modyfikację środowiska i dostosowanie do potrzeb, ale jednocześnie, przez tę szybkość i skalowalność, zwiększa ryzyko błędów konfiguracyjnych.

Prawda jest taka, że trudno jednoznacznie odpowiedzieć, czy dla każdej organizacji lepsze będzie środowisko chmurowe, czy on-premise. Na rynku dominuje architektura hybrydowa: organizacje starają się czerpać korzyści z obu podejść, jednocześnie adresując ryzyka. Często pracuję z klientami, którzy chmurę obliczeniową stosują np. jako środowisko zapasowe, dlatego że jest odporniejsza na skutki wojny kinetycznej i zjawisk pogodowych. Odpowiedź na te wątpliwości zależy od konkretnej organizacji – jej profilu, apetytu na ryzyko i środków, jakie chce przeznaczyć na bezpieczeństwo. Podsumowując, jedno i drugie podejście ma swoje wady i zalety i powinno zostać przeanalizowane pod kątem najlepszego dopasowania do danej organizacji.

Źródło: Miesięcznik Finansowy BANK