Bank i Klient: Bezpieczeństwo jest bezcenne

Panie prezesie na tegorocznym Forum Bezpieczeństwa Banków, pojawił się wątek dotyczący cybertarczy dla całego polskiego sektora bankowego. Czy mógłby pan przedstawić zarysy tego projektu?

– Nie jest to jednostkowy projekt sensu stricte. Mowa jest raczej o koncepcji projektu tzw. parasolowego, w skład którego wchodzi kilkanaście mniejszych podprojektów, które swoim zasięgiem obejmują zarówno obszar wewnętrzny w ramach działalności Związku Banków Polskich, jak i zewnętrzny nakierowany na współpracę z instytucjami zewnętrznymi, a także szeroko rozumiane działania edukacyjno-pijarowe. Wśród tych subprojektów są takie, które dotyczą kwestii technologicznych – począwszy od budowy i rozwoju Bankowych Systemów Wymiany Informacji, poprzez zapewnienie środowisku bankowemu dostępu do rejestrów publicznych, a skończywszy na systemowym blokowaniu ataków typu DDOS. Są też takie, które dotyczą działań legislacyjnych, mających w konsekwencji doprowadzić m.in. do możliwości wymiany informacji pomiędzy uczestnikami rynku finansowego a innymi sektorami obrotu gospodarczego, jak też transgranicznej wymiany informacji w ramach współpracy międzynarodowej. Ważnym aspektem tych prac jest również doprowadzenie do zmian w obowiązującym prawie, umożliwiających np. blokowanie domen czy też serwerów C&C służących przestępcom do ataków hakerskich oraz udrożnienie wymiany informacji dotyczącej cyberprzestępczości pomiędzy sektorem bankowym, Policją, Interpolem, FBI, Rządowym Centrum Bezpieczeństwa, NASK-iem czy też CERT-ami branżowymi i krajowymi. Chodzi tu o zagrożenia cyberprzestępczością a także o osoby, które planują bądź dokonują takich ataków. Kolejna sfera dotyczy szeroko rozumianej edukacji: od tej wewnętrznej, skierowanej do samego środowiska bankowego, po zewnętrzną, nakierowaną na naszych klientów. Realizujemy to poprzez szkolenia i prowadzenie specjalistycznych warsztatów dla środowiska bankowego, sektorową i ponadsektorową wymianę doświadczeń (np. pomiędzy sektorem bankowym a ubezpieczeniowym) oraz prowadzenie wspólnych warsztatów ukazujących szczegółową problematykę sektora bankowego, np. z Policją czy też prokuraturą. Te działania przynoszą wymierne efekty

Jaka jest pełna nazwa tego projektu?

– Mówimy o Cybertarczy sektora bankowego, ale to wciąż robocza nazwa, mającej stanowić sektorowe dopełnienie większej całości – Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej, która została opublikowana w tym roku przez Biuro Bezpieczeństwa Narodowego. Doktryna dużo miejsca poświęca sprawom międzysektorowej koordynacji działań w obszarze bezpieczeństwa, dlatego część aktywności cybertarczy sektora bankowego wpisuje się niejako w treści tego dokumentu.

A co w dziedzinie pozyskiwania nowych baz danych na rzecz bezpieczeństwa? Podczas Forum Bezpieczeństwa Banków powiedział pan, że „te zbiory informacji, które można było dla sektora pozyskać już są pozyskane”. Czy kolejne kroki wymagają zamian legislacyjnych na poziomie parlamentu, aby banki miały do nich dostęp?

– Nie do końca jest tak, że zakres dostępnych czy też oczekiwanych przez banki danych został już wysycony. Bo nie jest tak, że stan informacyjny jest stały i nie podlega zmianom, jest to stan dynamiczny i wciąż pojawiają się nowe informacje, nowe modus operandi, które wymagają nowych danych dla celów walki z cybeprzestępczością. Dlatego stale pracujemy nad tym, żeby uszczelniać i usprawnić wymianę informacji, aby jak najwięcej instytucji korzystało z tych samych zasobów informacyjnych i przekazywało sobie nawzajem doświadczenia. Musimy pamiętać, że przestępcy już dawno przestali działać jednoosobowo, że są to grupy osób profesjonalnie przygotowanych do przeprowadzania ukierunkowanych ataków. Grupy przestępcze tworzą całe „przedsiębiorstwa”, posiadające elastyczne struktury organizacyjne, stworzone tylko i wyłącznie dla sprawnego przeprowadzania cyberataków w celu wyłudzenia lub kradzieży środków. ...