Bankowość i finanse | Bezpieczeństwo – Firechat | DORA nie przyniosła przełomu, raczej naturalną ewolucję procesów

Jak ocenia pan wpływ regulacji DORA na cyberodporność sektora bankowego? Choć formalnie obowiązuje ona od połowy stycznia, banki przygotowywały się do niej od lat. Czy wdrożenie tych przepisów przynosi już wymierne korzyści?

– Z perspektywy Banku Pekao regulacje, które wprowadzają nowe standardy, nie mają aż tak dużego znaczenia, jak w przypadku międzynarodowych grup bankowych – nasz bank musiał spełniać jedynie polskie regulacje – zaś podmioty działające w wielu krajach miały często bardziej skomplikowaną sytuację, związaną ze specyficznymi przepisami danego kraju. W tej chwili, dzięki regulacji paneuropejskiej, mamy jednorodny standard, który z pewnością upraszcza procesy i pomaga przyjąć spójne zachowania. To znacznie ułatwia zarządzanie, a także dostosowanie organizacji do nowych wymagań.

Jeszcze w listopadzie rozmawiałem z kilkoma przedstawicielami banków zachodnich. Co ciekawe, żadna z tych osób nie traktowała DORA jako zła koniecznego, lecz raczej jako narzędzie porządkujące, upraszczające procedury, ale także zmuszające do refleksji nad tym, jak zarządzamy naszymi systemami. To dobra okazja do spojrzenia na to, co już zrobiliśmy, jak nasze systemy są zarządzane oraz jak podchodzimy do cyberbezpieczeństwa w ogóle.

Z perspektywy instytucji finansowej, pełniącej rolę organizacji zaufania publicznego, takie podejście jest nieocenione. Banki przechowują nasze pieniądze, a więc musimy zadbać o to, by były one bezpieczne. Właśnie dlatego tak istotne jest wdrażanie odpowiednich standardów i procedur z zakresu cyberbezpieczeństwa, które zwiększą naszą odporność na nowe zagrożenia.

A jak wyglądała sytuacja w zakresie cyberbezpieczeństwa w Banku Pekao SA przed wdrożeniem regulacji DORA? Na ile okres przygotowawczy przyniósł istotne zmiany, a na ile bank już wcześniej spełniał wysokie standardy bezpieczeństwa?

– Bank Pekao był dobrze przygotowany do wprowadzenia zmian. Wiele z kwestii, o których mówi DORA, było już częścią naszej codziennej praktyki, zatem nie jest to dla nas coś całkowicie nowego. W podobnej sytuacji znajdują się również inne instytucje. Nie widzę tu zatem rewolucji ani przełomu, raczej naturalną ewolucję procesów. Z pewnością konieczne było dostosowanie procedur dotyczących zarządzania incydentami i zapewniania ciągłości działania, ale to wcale nie jest rewolucja – raczej naturalny krok do przodu. Obraz przygotowania banku jest bardzo zbliżony do tego, jaki mieli koledzy z instytucji zagranicznych.

Największym wyzwaniem dla nas, jak i dla wielu innych banków, okazało się uporządkowanie relacji z dostawcami i firmami trzecimi. Z podpisaniem odpowiednich aneksów, związanych z dużą liczbą systemów i umów, wiązało się sporo pracy. Bank zazwyczaj posiada od 200 do 500 systemów. Niektóre z nich są krytyczne dla ciągłości naszej działalności, a inne – ważne, ale nie krytyczne. Kluczowym ćwiczeniem było określenie, które systemy rzeczywiście są kluczowe dla ciągłości działania banku, a które są istotne, ale bardziej związane z obsługą klienta.

To wymagało głębszej refleksji oraz dostosowania umów i aneksów, co wiązało się z dużym wysiłkiem organizacyjnym z naszej strony. Również dla dostawców, zwłaszcza tych międzynarodowych, było to wyzwanie, ponieważ proces podpisania lokalnych umów trwał dłużej niż w przypadku wykorzystania ich standardów międzynarodowych. Jednak podchodzimy do tego elastycznie, weryfikując standardowe aneksy – i te, które były dobrze przygotowane, zostały przez nas zaakceptowane i podpisane po angielsku.

Czy umowy z dostawcami w kontekście DORA były standaryzowane, czy też każdą współpracę dostosowywano indywidualnie do specyfiki danego partnera?

– Dla nas była to procedura jak najbardziej ustandaryzowana, na tyle, na ile było to możliwe. Przygotowaliśmy zestawy wzorców dostosowanych do różnych kategorii dostawców, które następnie były wysyłane do odpowiednich partnerów.

Jednak podeszliśmy do tematu elastycznie. Największe firmy, takie jak Google, Microsoft, Oracle czy inni globalni gracze posiadali własne wzorce umów, które były zaakceptowane oraz spełniały wymogi ustawy i były także akceptowalne dla banku.

Jakie kluczowe wyzwania w zakresie cyberbezpieczeństwa stoją przed bankami w tym roku w obliczu coraz bardziej zaawansowanych ataków cyberprzestępców?

– Musimy pamiętać, że jesteśmy na pierwszej linii frontu. Ataki nie dotyczą tylko banków, ale także instytucji publicznych, rządowych i innych organizacji.

Przy obronie przed atakami kluczową rolę odgrywają testy, organizacja banku, a także tzw. red team i blue team, czyli zespoły specjalistów wewnętrznych oraz zewnętrznych, którzy badają odporność naszych systemów i zachowanie w sytuacjach kryzysowych – zarówno z wiedzą, jak i bez wiedzy pracowników banku. To bardzo istotne, aby przygotować się na niespodziewane. Kolejnym elementem, który bank już dawno wprowadził, są szkolenia. Są one niezwykle ważne zarówno dla pracowników, jak i naszych klientów. Ich rolą jest uświadamianie o pojawiających się zagrożeniach, ale także nauka odpowiednich postaw i reakcji na próby wyłudzenia informacji, czy to przez telefon, e-mail, czy poprzez strony internetowe.

Dobrze wiemy, jakim problemem jest phishing, który pojawia się niemal codziennie w różnych odmianach, a jego skala wciąż rośnie. W związku z tym prowadzenie wewnętrznych kampanii phishingowych, mających na celu uświadamianie pracowników, to istotny krok w poprawie naszej odporności. Co ważne, planujemy zwiększyć liczbę cyklicznych szkoleń z zakresu bezpieczeństwa.

Jeśli chodzi o wyzwania, to ogromnym zagrożeniem stają się także ataki wykorzystujące sztuczną inteligencję. Z jednej strony korzystamy z takich narzędzi, by się bronić, ale zarazem widzimy, że przeciwnicy również je wykorzystują. Wykorzystanie Gen AI w zaawansowanych kampaniach phishingowych czy w tworzeniu deepfake’ów to wyzwania niezwykle trudne, by im przeciwdziałać. Przykład z USA, w którym głos osoby został zmanipulowany na podstawie zaledwie ośmiu sekund nagrania, pokazuje jak łatwo można wprowadzać w błąd. Z tego powodu nasz zespół cyberbezpieczeństwa współpracuje bardzo ściśle z zespołem zajmującym się AI, aby badać te narzędzia i przeciwdziałać nowym zagrożeniom.

Klienci często postrzegają bank jako głównego gwaranta bezpieczeństwa ich środków, co z jednej strony buduje zaufanie, ale z drugiej może prowadzić do braku ostrożności. Jak można skutecznie edukować użytkowników usług bankowych, aby zwiększyć ich świadomość zagrożeń i odpowiedzialność za własne bezpieczeństwo finansowe?

– Jednym z kluczowych działań, które podejmujemy, jest edukacja. W ramach tej inicjatywy stworzyliśmy program #cyberPEKAO, który działa już od pewnego czasu. Celem tej inicjatywy jest podniesienie świadomości naszych klientów na temat zagrożeń, z jakimi mogą się spotkać, oraz na co powinni zwracać szczególną uwagę.

Działania obejmują nie tylko komunikaty o zagrożeniach, które pojawiają się na naszej stronie internetowej, ale również w mediach społecznościowych. Ważnym elementem jest także edukacja dotycząca tego, jak będziemy się z naszymi klientami komunikować, a także powtarzanie kluczowych zasad – jak chociażby to, że bank nigdy nie prosi o hasło i nigdy nie wymaga, aby klienci klikali w podejrzane linki.

Drugi istotny element to szeroko zakrojona kampania informacyjna, mająca na celu dotarcie do jak najszerszej grupy odbiorców. Jak wiele innych banków w Polsce, również i my staramy się edukować naszych klientów, ponieważ jesteśmy świadomi, że najsłabszym ogniwem w zabezpieczeniach jest człowiek. To dotyczy zarówno klientów, jak i pracowników. Dlatego inwestowanie w edukację to także inwestycja w bezpieczeństwo całego banku.

Czy kontynuowanie wspólnych inicjatyw edukacyjno-informacyjnych, prowadzonych zarówno przez pojedyncze banki, jak i sektorowo przez ZBP, to według pana właściwy kierunek w budowaniu świadomości klientów odnośnie cyberbezpieczeństwa?

– Zgadzam się, że to jest słuszne podejście. Czy można zrobić więcej? Oczywiście, zawsze można podjąć dodatkowe działania. Jednym z pomysłów może być lepsza koordynacja inicjatyw między bankami i podejmowanie wspólnych działań w tym zakresie. To jest temat, który wymaga dalszej dyskusji i analizy.

Niezależnie od tego, każda instytucja finansowa będzie kontynuowała swoje programy edukacyjne i informacyjne. To kluczowy element w budowaniu świadomości i bezpieczeństwa. Jednakże koordynowanie niektórych działań czy monitorowanie wspólnych zagrożeń to bardzo dobry pomysł, który może przynieść korzyści w walce z cyberzagrożeniami.

Warto także pamiętać, że mamy duże wsparcie ze strony mediów, które odgrywają ważną rolę w informowaniu społeczeństwa. Wiele kampanii phishingowych jest regularnie nagłaśnianych w mainstreamowych mediach, co pozwala na szybkie dotarcie do szerokiego kręgu odbiorców. Ataki te rotacyjnie obejmują wszystkie banki, dlatego tak istotna jest współpraca i wymiana doświadczeń w zakresie bezpieczeństwa.

Uważa pan, że sektor bankowy otrzymuje wystarczające wsparcie ze strony regulatorów w zakresie cyberbezpieczeństwa i edukacji klientów? Jak ocenia pan wpływ regulacji, takich jak DZIEŃ+1 (D+1) przy transakcjach nieautoryzowanych, na postrzeganie odpowiedzialności banków za bezpieczeństwo środków klientów?

– Zgadzam się z tą obserwacją, że przesuwanie całkowitej odpowiedzialności na banki nie jest najlepszym rozwiązaniem. Z perspektywy regulatora może to wydawać się łatwe, bo banki dysponują odpowiednimi zasobami i środkami. Ale trzeba pamiętać, że bezpieczeństwo musi iść w parze z użytecznością rozwiązań.

Oczywiście, najbezpieczniej byłoby zamknąć się w sejfie i nie wychodzić z niego, ale to nie jest rozwiązanie, które mogłoby funkcjonować w dzisiejszym świecie. Trzeba znaleźć złoty środek, który pozwala zapewnić odpowiednią ochronę, nie ograniczając przy tym wygody i dostępności usług dla użytkowników.

Regulator ma swoją perspektywę i linię działania, a my aktywnie bierzemy udział w dyskusjach na różnych forach, także z UOKiK, aby zmienić niektóre założenia w tym obszarze. Uważam, że potrzebujemy jeszcze trochę czasu, by zobaczyć konkretne efekty tych rozmów. Niezależnie od tego, na bankach jednak spoczywa ogromny obowiązek tworzenia takich interakcji z klientami, które będą maksymalnie bezpieczne, przy jednoczesnym zachowaniu jak najwyższej użyteczności obowiązujących rozwiązań.

Czy pana zdaniem obowiązki informacyjne wynikające z DORA, głównie wobec KNF, mogą sprawić, że nadzorca stanie się silnym wsparciem i sojusznikiem sektora bankowego w obszarze cyberbezpieczeństwa?

– Realizujemy już zapisy zawarte w regulacji DORA i będziemy kontynuować prace w tym kierunku. Dobrym znakiem jest uchwała KNF, która uchyliła komunikat chmurowy i rekomendację D, co pomogło usunąć duplikowanie się wymiany informacji. To krok w stronę uproszczenia komunikacji. Z tego, co wiem, dyskusje wewnątrz KNF-u wciąż trwają, zatem spodziewam się dalszych regulacji w tym zakresie.

Jednak DORA to tylko początek. Przygotowujemy się również na ewolucję tych regulacji, w tym możliwe wprowadzenie DORA 2 lub DORA Plus, które zwiększą odporność organizacji na długotrwałą niedostępność systemów i ciągłość działania. Warto również rozważyć kwestie związane z odtwarzaniem całego banku z chmury jako część strategii disaster recovery, szczególnie jeśli tradycyjne metody utrzymania ciągłości działania okażą się niewystarczające. Dyskusje w Brukseli na ten temat są w toku, więc za jakiś czas możemy spodziewać się nowych regulacji. Warto mieć to na uwadze, ponieważ dzisiejsza DORA to nie koniec zmian, a raczej początek długofalowych działań w tym obszarze.

Jak ocenia pan funkcjonowanie systemu wymiany informacji o zagrożeniach – zarówno między bankami, jak i pomiędzy bankami a instytucjami państwowymi? Czy sektor jest już na właściwym poziomie, czy wciąż są obszary do poprawy?

– To rzeczywiście trudne pytanie. Jeśli chodzi o interakcje między bankami, to uważam, że moglibyśmy zrobić więcej. Istnieją już pewne kanały komunikacyjne, ale niestety wszyscy są dość ostrożni w dzieleniu się szczegółami dotyczącymi swoich zabezpieczeń, co w pełni rozumiem. Z natury rzeczy, im mniej osób wie o wewnętrznych mechanizmach ochrony, tym zabezpieczenia te stają się bezpieczniejsze.

Natomiast jeśli chodzi o wymianę informacji z instytucjami publicznymi, to w Banku Pekao mamy już sprawdzone kanały, które dobrze funkcjonują. Oczywiście zawsze można coś zrobić lepiej. Stale dążymy do usprawnienia tych procesów. Niemniej jednak, nie traktuję tego jako powodu do niepokoju i nie jest to coś, co powoduje, że nie śpię po nocach.