Miesięcznik Finansowy BANK 2026/05

Bezpieczeństwo danych jako element odporności banku

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Bezpieczeństwo danych jako element odporności banku
Fot. stock.adobe.com / Creator88
Bank może mieć polityki bezpieczeństwa, procedury, szkolenia i pozytywne wyniki audytów, a mimo to nie znać pełnej odpowiedzi na kluczowe pytanie: kto faktycznie miał dostęp do danych, w jakim celu i co z nimi zrobił. W bankowości spółdzielczej to pytanie ma szczególne znaczenie. Rozproszona struktura, praca oddziałów, współpraca z dostawcami technologii i kanały cyfrowe tworzą środowisko, w którym bezpieczeństwo danych staje się sprawdzianem dojrzałości zarządczej, a nie wyłącznie sprawą IT.

Mateusz Piątek
Senior Product Manager Safetica & Segura & Holm security, DAGMA Bezpieczeństwo IT

Dane klientów, dokumentacja kredytowa, raporty zarządcze czy dostęp do systemów krytycznych są dziś przetwarzane w aplikacjach centralnych, narzędziach biurowych, komunikacji elektronicznej i środowiskach zdalnych. Nie wystarczy więc chronić infrastrukturę przed atakiem z zewnątrz. Trzeba wiedzieć, czy uprawnienia są adekwatne do roli, czy dostęp jest wykorzystywany zgodnie z przeznaczeniem i czy organizacja potrafi wykazać realną kontrolę nad kluczowymi procesami.

Ten kierunek wzmacniają regulacje. DORA porządkuje podejście sektora finansowego do odporności cyfrowej, ryzyka  ICT, incydentów i dostawców technologii. NIS2 podnosi oczekiwania w zakresie zarządzania cyberbezpieczeństwem, odpowiedzialności kierownictwa i ciągłości działania. Dla banków spółdzielczych to presja, aby bezpieczeństwo informacji było mierzalne, udokumentowane i osadzone w codziennym funkcjonowaniu. 

Cyberbezpieczeństwo w realiach operacyjnych banku

W dyskusji o cyberbezpieczeństwie najwięcej uwagi przyciągają ransomware, phishing i działania zorganizowanych grup przestępczych. To zagrożenia realne, ale nie wyczerpują obrazu ryzyka. Równie istotne są zdarzenia mniej spektakularne: omyłkowe wysłanie pliku poza organizację, skopiowanie danych na prywatny nośnik, udostępnienie raportu niewłaściwemu odbiorcy czy pozostawienie aktywnego dostępu serwisowego.

W bankach spółdzielczych ryzyko często wynika nie z braku procedur, lecz z ograniczonej widoczności. Organizacja może wiedzieć, jakie zasady obowiązują, ale nie zawsze widzi, jak są realizowane w codziennej pracy, zwłaszcza przy niewielkich zespołach IT.

Kluczowe jest przejście od modelu reaktywnego do podejścia opartego na kontroli. Bank powinien wiedzieć, gdzie znajdują się dane, kto z nich korzysta, jak są przenoszone i które działania odbiegają od przyjętych zasad. Bez tej wiedzy polityka bezpieczeństwa pozostaje deklaracją.

Czynnik ludzki nie zawsze oznacza złą wolę

Wewnętrzne zagrożenia nie muszą wynikać z celowego działania. Wiele incydentów zaczyna się od rutynowej czynności: pracownik chce szybciej obsłużyć klienta, przesłać dokument do konsultacji albo dokończyć raport poza biurem. Ryzyko pojawia się wtedy, gdy wygoda zastępuje kontrolę, a organizacja nie potrafi odróżnić normalnej pracy od działania ryzykownego. Insider threat w sektorze finansowym to także nieświadome błędy, praca na nadmiarowych dostępach, korzystanie z nieautoryzowanych kanałów komunikacji lub przesyłanie danych do niewłaściwych odbiorców. Z perspektywy zarządu istotne jest ograniczenie prawdopodobieństwa zdarzenia i szybkie wykrycie nieprawidłowości.

W tym obszarze znaczenie zyskują rozwiązania klasy DLP i monitoringu aktywności użytkowników, takie jak Safetica. Ich celem nie jest nadzór dla samego nadzoru, lecz ochrona danych tam, gdzie faktycznie są używane: podczas kopiowania, drukowania, wysyłania wiadomości czy pracy z plikami. Specjalista ds. cyberbezpieczeństwa IT w Krakowskim Banku Spółdzielczym stwierdza wręcz: „Oprócz polityki bezpieczeństwa w banku, która obejmuje standardy postępowania pracowników z dokumentami i sprzętem komputerowym, kluczowe jest również wprowadzenie zautomatyzowanych, profesjonalnych rozwiązań bezpieczeństwa. Dzięki wdrożeniu Safetica osiągnęliśmy wyższy poziom bezpieczeństwa danych”.

Dostęp uprzywilejowany wymaga szczególnej kontroli

Drugim obszarem wysokiego ryzyka jest zarządzanie dostępami uprzywilejowanymi. Konta administratorów, dostępy serwisowe, uprawnienia do systemów transakcyjnych i narzędzi zdalnego wsparcia mają szczególną wartość dla atakujących. W wielu organizacjach są też trudne do uporządkowania: część powstała lata temu, część jest używana sporadycznie, a część dotyczy współpracy z partnerami technologicznymi.

Problem nie polega wyłącznie na tym, że konto uprzywilejowane może zostać przejęte. Równie ważne jest to, czy bank potrafi wykazać, kto z danego dostępu korzystał, w jakim celu, przez jaki czas i jakie czynności wykonał. W razie incydentu brak takiej wiedzy wydłuża analizę i zwiększa ryzyko regulacyjne.

Nowoczesne podejście do PAM zakłada, że dostęp administracyjny powinien być kontrolowany, czasowy, zgodny z rolą i możliwy do audytu. Rozwiązania takie jak Segura pomagają ograniczać stałe, współdzielone lub nadmiarowe uprawnienia oraz porządkują proces udzielania dostępu do zasobów krytycznych.

Jak podkreśla informatyk w Banku Spółdzielczym w Siedlcu: „Jako informatyk najbardziej w systemie SEGURA cenię to, że raz na zawsze rozwiązuje problem: kto ma dostęp do czego. Wcześniej wpuszczanie firm zewnętrznych do naszej sieci to był zawsze stres i dużo pracy z pilnowaniem haseł. Teraz dokładnie widzę, co robią firmy zewnętrzne na naszych serwerach, a dostęp włączam, kiedy jest potrzebny, i wyłączam, gdy praca jest skończona. Osoby z zewnątrz łączą się z naszymi systemami, ale nie znają do nich haseł”.

Ma to znaczenie również w relacjach z dostawcami IT. Zewnętrzne wsparcie jest często niezbędne, ale nie powinno oznaczać stale aktywnego i szerokiego dostępu do środowiska banku. Kontrola sesji, zatwierdzanie dostępu i ograniczanie uprawnień do rzeczywistych potrzeb stają się elementami podstawowej higieny bezpieczeństwa.

Dane w środowisku rozproszonym

Bank nie chroni dziś jednego systemu. Chroni sieć powiązanych procesów, aplikacji, użytkowników, urządzeń i partnerów. Im bardziej rozproszone środowisko, tym większe znaczenie ma klasyfikacja informacji i kontrola przepływu danych.

Organizacja powinna wiedzieć, które dane są najcenniejsze, gdzie są przetwarzane, kto ma do nich dostęp, jak mogą zostać wyniesione poza organizację i czy bank zauważy nietypowe użycie informacji. To pytania zarządcze, a nie wyłącznie techniczne.

Technologia nie zastąpi polityki bezpieczeństwa, ale może sprawić, że polityka stanie się egzekwowalna. Systemy DLP mogą ostrzegać przed ryzykownymi działaniami i wskazywać, gdzie procedury wymagają korekty. Systemy PAM ograniczają ekspozycję kont uprzywilejowanych i wprowadzają kontrolę tam, gdzie wcześniej opierano się na zaufaniu.

Regulacje jako impuls do dojrzałości

DORA i NIS2 warto traktować nie jako oderwane obowiązki, lecz jako element szerszej zmiany w podejściu do odporności organizacyjnej. Regulator oczekuje, że instytucja będzie identyfikować ryzyka, wdrażać adekwatne środki, monitorować skuteczność zabezpieczeń, raportować incydenty i dbać o ciągłość działania. W praktyce oznacza to konieczność posiadania nie tylko procedur, lecz także dowodów ich działania.

Dla zarządu banku istotne jest więc nie tylko pytanie, czy dokumentacja istnieje, ale czy można wykazać, że mechanizmy kontroli działają w praktyce. Kto miał dostęp do systemu? Na jakiej podstawie? Czy dostęp był czasowy i uzasadniony? Czy działanie zostało zarejestrowane? Czy pracownik lub dostawca mógł przenieść dane poza organizację? To pytania, które coraz częściej pojawiają się w kontekście audytu, kontroli wewnętrznej i odpowiedzialności kierownictwa.

Technologia wpisana w proces zarządzania

Wdrażając rozwiązania takie jak Safetica czy Segura, bank powinien unikać myślenia ograniczonego do instalacji systemu. Największe korzyści pojawiają się wtedy, gdy technologia zostaje wpisana w proces zarządzania ryzykiem: identyfikację najważniejszych danych, przegląd dostępów, określenie ról i analizę informacji dostarczanych przez systemy.

Safetica wspiera kontrolę nad przepływem danych i ryzykownymi zachowaniami użytkowników. Segura porządkuje dostęp uprzywilejowany, ograniczając zależność od współdzielonych kont, ręcznego przekazywania haseł i stałych dostępów dla firm zewnętrznych.

Podsumowanie: kontrola, rozliczalność i odporność

Safetica i Segura odpowiadają na dwa obszary, które w bankowości spółdzielczej bezpośrednio wpływają na bezpieczeństwo, zgodność i sprawność operacyjną. Pierwszy to ochrona informacji w codziennej pracy użytkowników: widoczność przepływu danych, ograniczanie błędów, wykrywanie ryzykownych zachowań i wzmacnianie świadomości pracowników. Drugi to kontrola dostępu do systemów krytycznych: zarządzanie połączeniami, eliminacja niekontrolowanego obiegu haseł i rozliczalność działań administratorów oraz dostawców.

Dla tej branży znaczenie takich rozwiązań wykracza poza techniczną ochronę systemów. Pozwalają przełożyć wymagania regulacyjne na konkretne mechanizmy działania: kto ma dostęp, do czego, na jakich zasadach, co robi z danymi i czy organizacja potrafi to udokumentować. W praktyce wspierają nie tylko zespoły IT, lecz także zarząd, compliance, audyt wewnętrzny i osoby odpowiedzialne za ryzyko operacyjne.

W bankach spółdzielczych przewagę zyskają te organizacje, które połączą lokalną sprawność działania z mierzalną kontrolą nad danymi i dostępem. DLP, monitoring aktywności użytkowników i PAM nie są kosztem technologicznym, lecz inwestycją w odporność. Wspierają zgodność z regulacjami, zmniejszają ryzyko incydentów i porządkują odpowiedzialność.

Źródło: Miesięcznik Finansowy BANK