Bankowość i finanse | TECHNOLOGIE – DEBATA REDAKCYJNA | Bank odporny nie tylko na wojnę
Ewa Bąkowska
KIEROWNIK ZESPOŁU BEZPIECZEŃSTWA INFORMACJI I CIĄGŁOŚCI DZIAŁANIA W UNIQA
Kinga Dudek
P.O. DYREKTORA DEPARTAMENTU ZARZĄDZANIA RYZYKIEM OPERACYJNYM W SANTANDER BANKU POLSKA
Giorgio Fadda
DYREKTOR DEPARTAMENTU RYZYKA I BEZPIECZEŃSTWA
TECHNOLOGICZNEGO W EUROPA UBEZPIECZENIA
Mariusz Kaczmarek
WICEPREZES ZARZĄDU PRIVATBANKU UKRAINA
Robert Kazanecki
EKSPERT DS. ZARZĄDZANIA RYZYKIEM IT I BEZPIECZEŃSTWA IT W MBANKU
Katarzyna Kowalska
WICEPREZES ZARZĄDU KUKE
Paweł Minkina
REDAKTOR NACZELNY „MIESIĘCZNIKA FINANSOWEGO BANK”
Karol Mórawski
REDAKTOR PROWADZĄCY „MIESIĘCZNIKA FINANSOWEGO BANK„
Leszek Nitychoruk
MENEDŻER DS. BCP I KONTROLI BEZPIECZEŃSTWA INFORMACJI
W CITI HANDLOWYM
Sylwia Samulczyk
DYREKTOR ASSECO SERVICES W ASSECO POLAND
Mariusz Sowiński
DYREKTOR CENTRUM PRZETWARZANIA DANYCH ASSECO POLAND
Piotr Śmiechowski
SENIOR BCM OFFICER W BNP PARIBAS BANKU POLSKA
Adam Wnorowski
SENIOR ACCOUNT EXECUTIVE EQUINIX
System bankowy stanowi krwiobieg współczesnej gospodarki, a zachwianie jego stabilności może być równoznaczne z odcięciem ludzi od dostępu do pieniędzy czy sparaliżowaniem obrotu gospodarczego. Jak zapewnić gotowość instytucji finansowych na rozmaite scenariusze, by w przypadku ich zmaterializowania się utrzymać ciągłość działania, bez uszczerbku dla bezpieczeństwa? Dlaczego już dziś należy planować nie tylko funkcjonowanie organizacji w warunkach kryzysowych, ale i stopniowe odzyskiwanie dostępu do zasobów po ustaniu zagrożenia? Pytania te zadają nie tylko bankowi eksperci z zakresu BCM i cyberbezpieczeństwa, ale również przedstawiciele instytucji otoczenia okołobankowego czy nadzoru. Okazją do dyskusji na te tematy była debata ekspercka „Miesięcznika Finansowego BANK”, poświęcona ciągłości działania instytucji finansowych w obliczu kryzysów. Panel, zorganizowany w ramach tegorocznej konferencji Horyzonty Bankowości, prowadzili Paweł Minkina, redaktor naczelny czasopisma oraz Karol Mórawski, jego redaktor prowadzący. Partnerami debaty były firmy Asseco Poland oraz Equinix.
Gotowi na scenariusz niemal nieprawdopodobny
Głównym zagrożeniem, uwzględnianym w strategiach bezpieczeństwa instytucji finansowych na przestrzeni minionych lat, była cyberprzestępczość. Wybuch konfliktu zbrojnego za naszą wschodnią granicą wykazał, iż banki muszą być gotowe również na wyzwania, które zarówno pod względem zasięgu, skali działania, jak i charakteru znacząco odbiegają od najpoważniejszych incydentów kryminalnych. Jednym z kluczowych zadań dla ukraińskich instytucji finansowych w obliczu agresji rosyjskiej była migracja zasobów do chmury. Mariusz Kaczmarek przypomniał, że przed wybuchem konfliktu Narodowy Bank Ukrainy, pełniący funkcję regulatora, nie zezwalał na przetwarzanie i przechowywanie danych poza granicami kraju. Tymczasem po 24 lutego br. obydwa data center PrivatBanku, oddalone od siebie o 500 km, znalazły się w strefie działań wojennych. Gdyby w tych okolicznościach doszło do zniszczenia obu lokalizacji bądź ich przejęcia przez nieprzyjaciela, bank utraciłby zdolność prowadzenia działalności.
Szczęśliwie regulator niezwłocznie zezwolił ukraińskim instytucjom finansowym na przechowywanie zaszyfrowanych danych w chmurze, a następnie również na ich procesowanie poza terytorium Ukrainy, ze wskazaniem na państwa UE, USA i Kanadę, zarówno przez czas wojny, jak i przez dwa lata po jej zakończeniu. – Migracja czterech petabajtów danych zajęła nam około pięciu dni – podkreślił Mariusz Kaczmarek. I dodał, iż przygotowania obejmowały m.in. sprzątanie i backup danych, a także przeniesienie konfiguracji serwerów i systemów. – W naszym przypadku pierwszym zadaniem było zmigrowanie kluczowych aplikacji do prowadzenia działalności – dodał. Było to ważne z uwagi na konieczność zapewnienia klientom dostępu do środków płatniczych. Po 45 dniach od rozpoczęcia migracji, czyli pod koniec kwietnia, bank w 75% korzystał z rozwiązań chmurowych, które obsługiwały bankomaty, punkty obsługi czy terminale POS. Sukces tego bezprecedensowego przedsięwzięcia był możliwy także dzięki synergii pomiędzy działaniami samego banku i instytucji regulatora.
Giorgio Fadda sugerował, by tego rodzaju kooperację podejmować z wyprzedzeniem, tak by w przypadku zaistnienia danego zagrożenia być gotowym do natychmiastowego działania. – Te wydarzenia pokazują nam, że powinniśmy przygotować się wcześniej również na sytuacje, które wydają się bardzo mało prawdopodobne. Powinien być przynajmniej zarys scenariusza, żeby można było później pracować dalej – wskazywał przedstawiciel Europa Ubezpieczenia. W podobnym tonie wypowiedziała się Kinga Dudek. – Mamy duże doświadczenie w reagowaniu na sytuacje nadzwyczajne, ale w tym przypadku wyzwaniem było rozmawianie o scenariuszach wydawać by się mogło zupełnie nieprawdopodobnych – dodała przedstawicielka Santander Banku Polska.
Receptą współpraca i dzielenie się informacjami
Bezpieczeństwo to obszar, w którym banki mówią jednym głosem. Schematem tym warto objąć inne segmenty rynku finansowego, mówili uczestniczący w debacie reprezentanci zarówno branży bankowej, jak i ubezpieczeniowej. – Bezpieczeństwo to nie jest przewaga konkurencyjna. Jeżeli będziemy się szybko wymieniali informacjami, to będzie to korzystne dla nas wszystkich i przede wszystkim dla naszych klientów. Razem będziemy również silniejsi w rozmowie z regulatorem – zauważyła Katarzyna Kowalska. Zwróciła uwagę na to, iż zakłady ubezpieczeń mają około ośmiu lat zaległości w stosunku do banków, jeśli chodzi o wypracowywanie wytycznych dla branży w obszarze IT. – W tym kontekście ważne jest, żebyśmy rozmawiali o całym sektorze finansowym, a nie o bankach i ubezpieczycielach odrębnie – mówiła przedstawicielka KUKE. I dodała, iż w przeciwnym razie dystans pomiędzy oboma segmentami będzie się pogłębiać. Należy wręcz przedstawiać nadzorowi własne propozycje gotowych rozwiązań, które będą stanowić dlań cenne wsparcie i pomogą przyspieszyć implementację innowacyjnych schematów.
Doświadczenia ukraińskie pokazują, iż współdziałanie stanowi właściwy kierunek. – Absolutnie trzeba korzystać z regulatorów. I zbudować lobby wspólne, dzielić się informacjami i korzystać z ekspertów w danej dziedzinie. Banki przeszły tę procedurę dzielenia się informacjami o zagrożeniach, sądzę, że firmy ubezpieczeniowe również to czeka – stwierdził Mariusz Kaczmarek.
Kinga Dudek zaproponowała podjęcie dialogu sektorowego, w celu wypracowania szybkich ścieżek działania na wypadek kryzysu. Rekomendacje takie powinny zawierać propozycje okresowego poluzowania regulacyjnego gorsetu, jeśli to możliwe bez uszczerbku dla bezpieczeństwa. – Banki są instytucjami zaufania publicznego, dane i środki finansowe są najwyższym dobrem, ale w pewnych sytuacjach powinny być wypracowane zasady postępowania, które pozwalają na pewne ustępstwa – oceniła przedstawicielka Santander Banku Polska.
Innym elementem, pozwalającym na podjęcie adekwatnych kroków w sytuacji ryzykownej, jest odpowiednia struktura i przypisanie odpowiedzialności poszczególnym osobom. – Musimy mieć ludzi z odpowiednimi kompetencjami, precyzyjnie zdefiniowanymi rolami i zakresem odpowiedzialności, dzięki czemu są w stanie reagować szybko, adekwatnie do sytuacji, i podjąć decyzję w momencie, kiedy jest to wymagane – postulowała Kinga Dudek, zwracając uwagę, że posiadanie odpowiednich poziomów decyzyjności powinno obejmować wszystkie poziomy.
Z opinią tą zgodził się Leszek Nitychoruk, jego zdaniem, w obliczu nieprzewidywalnych wyzwań nader istotne jest budowanie elastycznej struktury ciągłości działania, obejmującej wszystkie szczeble, od szeregowych pracowników po najwyższe kierownictwo, która sprawdzi się w przypadku wdrażania scenariuszy kryzysowych. Mariusz Kaczmarek akcentował rolę partnerów zewnętrznych w dostarczaniu współdzielonych usług, czy to chmurowych, czy tradycyjnych, porównując ich do dostawców wody, energii elektrycznej czy innych mediów. Stwierdził, iż skuteczne działanie PrivatBanku w obliczu wojny nie byłoby możliwe, gdyby polegał on jedynie na własnych zasobach i nie korzystał z oferty outsourcerów. – Nie bylibyśmy w stanie w tak ogromnej instytucji i przy tak ogromnym zagrożeniu zbudować kompetentnych zespołów, żeby 24/7 utrzymywały najwyższy poziom bezpieczeństwa, czy zapewniły proaktywne zarządzanie kryzysami w cyberprzestrzeni – zapewnił.
Z regulatorem trzeba rozmawiać
Poważnym wyzwaniem, jeśli chodzi o migrację zasobów instytucji finansowych do chmury, jest otoczenie prawno-regulacyjne. Mówiła o tym Katarzyna Kowalska w kontekście migracji niedużych firm ubezpieczeniowych do cloudu. Taka opcja pozwalałaby ograniczyć koszty, gdyż większość aplikacji działających w chmurze jest tańsza, niemniej poziom niepewności regulacyjnej sprawia, że małe zakłady ubezpieczeń boją się wejść w chmurę. Zdaniem wiceprezes KUKE, rozwiązaniem powinno być wypracowanie jednolitego stanowiska z poziomu całego sektora finansowego, we współpracy z nadzorcą.
– Próbowałabym przekonać naszego nadzorcę, żeby regulacje były spójne w całym obszarze Unii Europejskiej, żebyśmy nie odchodzili z naszymi regulacjami od języka, którym rozmawiają nasi partnerzy na poziomie grupy – podkreśliła z kolei Ewa Bąkowska. Jej zdaniem, istnieje w tej sferze problem komunikacyjny pomiędzy Polską a innymi państwami europejskimi, a jego rozwiązania należałoby szukać w dialogu na poziomie regulatorów. – Bardzo często Polska jest postrzegana jako podmiot, który blokuje ciekawe projekty. To jest nasz problem, wynikający z rozbieżności na poziomie wewnętrznych regulacji, szczególnie w obszarze cloud – stwierdziła przedstawicielka UNIQA.
Giorgio Fadda zasugerował, by w ramach współpracy z regulatorem stworzyć rodzaj rekomendacji dla dostawców rozwiązań cloudowych. Uzyskanie takiego swoistego certyfikatu jakości pozwalałoby na stosowanie uproszczonych procedur współpracy z instytucją finansową, co wpłynęłoby pozytywnie na rozwój technologiczny. Odnosząc się do tej kwestii, wiceszef PrivatBanku przypomniał, iż odpowiedzialność za bezpieczeństwo spoczywa nie tylko na dostarczycielu rozwiązań chmurowych, ale również na partnerach i pracownikach instytucji finansowej. – Można mieć dostawcę z certyfikatem bezpieczeństwa, i przy złym zarządzaniu własnych administratorów doprowadzić do poważnych problemów – dodał Mariusz Kaczmarek. Z kolei Leszek Nitychoruk przypomniał, że obecna sytuacja geopolityczna skłania do refleksji nad wdrażaniem chmury, choćby w celu zabezpieczenia kluczowych zasobów. – Powinniśmy w oparciu o te obecne doświadczenia przemyśleć, czy centrum podstawowe i zapasowe oddalone o kilkaset kilometrów są wystarczająco bezpieczne – zauważył przedstawiciel banku Citi Handlowy.
Robert Kazanecki przypomniał, że w ramach Związku Banków Polskich funkcjonuje grupa robocza, wypracowująca wytyczne w zakresie ciągłości działania. Efektem jej prac są m.in. dwa poradniki poświęcone BCM, które opierają się na doświadczeniach banków, ale pisane były z myślą o innych instytucjach finansowych. W tym samym gremium przygotowano komunikaty, związane z ograniczeniami dostępności gotówki w pierwszej fazie pandemii. Przedstawiciel mBanku podkreślił, że dzięki ujednoliconej formie udało się uniknąć paniki, która mogłaby wybuchnąć, gdyby treści były upowszechniane przez każdy bank z osobna. Doświadczenia z marca 2020 r. przydały się po wybuchu wojny. – Mieliśmy większe wolumeny wypłat, natomiast wypracowane rozwiązania w sektorze bankowym pozwoliły lepiej i sprawniej zarządzać zasilaniem oddziałów czy bankomatów – zauważył Robert Kazanecki. O atmosferze dialogu, jaka towarzyszyła działalności grupy, wspominał Piotr Śmiechowski. Zwrócił uwagę, że po czasie niezbędnym do wypracowania zaufania między członkami tego gremium, dyskusje skutkowały wypracowaniem efektywnych rozwiązań, niezmiernie cenna była też możliwość wymiany doświadczeń związanych z konkretnymi sytuacjami.
Cenne doświadczenia czasu COVID-19
Praktyki z początkowej fazy pandemii sprawdziły się w obliczu zagrożenia w Ukrainie. Wiceszef PrivatBanku przypomniał, iż od 80 do nawet 90% pracowników centrali pracuje online, nierzadko przebywając w bezpieczniejszej, zachodniej części Ukrainy, a wielu zatrudnionych wykonuje swe obowiązki w normalnym trybie z zagranicy. W przypadku banków jednym z wyzwań COVID było umożliwienie pracy zdalnej wszystkim pracownikom, a to wiązało się z zapewnieniem wystarczającej liczby laptopów i wydajnej infrastruktury dostępowej. – Pandemia pomogła nam zaktualizować nasze założenia dotyczące ciągłości działania, jak również poprawić posiadane procedury. Obecnie niemal 100% załogi może pracować zdalnie – wspomniał przedstawiciel mBanku.
Byli i tacy, którzy w COVID-19 wchodzili z gotową infrastrukturą. W KUKE pięć lat temu zaczęto realizować strategię, zakładającą szybkie przejście na model pracy zdalnej. – Pomyśleliśmy, że przyszłością jest praca zdalna i elastyczny czas pracy – stwierdziła Katarzyna Kowalska. W efekcie podjętych starań firma była przygotowana na wysłanie pracowników do domów na dwa tygodnie przed ogłoszeniem stanu zagrożenia epidemicznego. – Stało się tak nie dlatego, że przygotowywaliśmy plan ciągłości działania, tylko myśleliśmy perspektywicznie o zmieniającym się świecie i potrzebach pracowników – dodała wiceszefowa KUKE.
Oczywiście, w każdej instytucji finansowej istnieją obszary, których nie da się obsługiwać online. Leszek Nitychoruk wskazał na takie działania, jak dystrybucja gotówki czy obsługa bankomatów. W przypadku instytucji ukraińskich praca w tych segmentach wiązała się niekiedy z olbrzymim ryzykiem, dlatego władze PrivatBanku podjęły decyzję, by nie zmuszać nikogo do tych działań. – Oczekiwanie z naszej strony było takie, że każdy pracownik sam podejmuje decyzję czy chce pracować, czy woli przemieszczać się w bezpieczne miejsce regionu kraju – przypomniał Mariusz Kaczmarek. Pomimo tak liberalnego podejścia większość pracowników wykazała się aktywnym podejściem, dzięki czemu możliwe było utrzymanie funkcjonowania oddziałów czy bankomatów przy niewielkich stratach – z 20 tys. zatrudnionych jedynie osiem osób zginęło w toku działań zbrojnych.
Zagrożeniem, jakie może się zmaterializować w obliczu czy to wojny, czy choćby jej groźby, jest utrata przez bank zasobów ludzkich w związku z powołaniem pracowników do wojska. Kwestia ta dała się we znaki bankom ukraińskim, również w Polsce część zatrudnionych należy jednocześnie do Wojsk Obrony Terytorialnej. Jednym z rozwiązań takiej sytuacji może być odpowiednia dywersyfikacja załogi pod względem płci, wówczas kobiety mogą zastąpić mężczyzn powołanych do armii. Robert Kazanecki zwrócił uwagę na inny aspekt, a mianowicie potrzebę traktowania obronności w sposób holistyczny. Tak jak chirurga nie wysyła się na front, podobnie i bankowiec może być znacznie bardziej przydatny ojczyźnie, wykonując obowiązki służbowe aniżeli walcząc z bronią w ręku.
System tak bezpieczny, jak jego najsłabsze ogniwo
Istotna rola w działaniach na rzecz utrzymania ciągłości funkcjonowania banków i zapewnienia bezpieczeństwa sektorowi i jego klientom przypada w udziale instytucjom otoczenia okołobankowego, takim jak izby rozliczeniowe czy bazy danych kredytowych. Katarzyna Kowalska odwołała się do portugalskiego odpowiednika Krajowej Izby Rozliczeniowej, który w ramach swoich systemów uruchomił usługi antyfraudowe. – Informacja, która przechodzi przez te systemy dociera szybciej i szerzej, niż gdyby przechodziła przez każdy z banków z osobna. Dzięki temu można szybciej wykrywać próby ataków na operacje płatnicze i znacznie szybciej wychwytywać przestępcze trendy – powiedziała przedstawicielka KUKE, dodając, iż w chwili obecnej portugalski system uchodzi za najskuteczniejszy w Europie.
Kinga Dudek zwróciła uwagę na podejmowane działania mające na celu zwiększanie efektu synergii w ramach podmiotów należących do tej samej grupy kapitałowej – zwiększenie efektywności wymiany doświadczeń i informacji pomiędzy różnymi podmiotami, także w formie tworzenia centrów kompetencyjnych. W tym zakresie uproszczenie wymagań regulacyjnych zdecydowanie usprawniłoby osiąganie zdefiniowanych celów. Leszek Nitychoruk sugerował, by – wzorem rynku kapitałowego – zwiększyć częstotliwość wykonywania wspólnych testów okresowych dla użytkowników określonej infrastruktury. – Wydaje mi się, że mamy więcej elementów infrastruktury krytycznej, które wspólnie moglibyśmy testować i w takich testach uczestniczyć. Jak pokazują doświadczenia, testów nigdy za dużo – zauważył reprezentant banku Citi Handlowy. Robert Kazanecki przestrzegł przed jednowymiarowym postrzeganiem obszaru bezpieczeństwa. – Każdy element bezpieczeństwa jest ważny, najsłabsze ogniwo determinuje nasze całe bezpieczeństwo łącznie z zarządzaniem uprawnieniami użytkowników, w szczególności kontami administratorów – powiedział przedstawiciel mBanku.
Sylwia Samulczyk
Asseco Poland
Bank, przy wyborze dostawcy usług chmurowych, powinien zwrócić uwagę, czy dostawca spełnia wytyczne z komunikatu UKNF dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej, a także zweryfikować, ile wdrożeń miał dany dostawca i czy rzeczywiście specjalizuje się w sektorze bankowym. Asseco Poland świadczy usługi outsourcingowe i chmurowe, zna wymogi określone zarówno w komunikacie polskiego regulatora, jak i w wytycznych EBA dotyczących outsourcingu. Dzięki temu dostarczamy do banku usługę zgodną ze wszystkimi standardami wypracowanymi w ramach PolishCloud. Zaufanie to podstawa każdego biznesu, dlatego w outsourcingu szczególnie ważna jest również świadomość obu stron, że będą w tej relacji długi czas. Zarówno dostawca, jak i klient powinni dbać na co dzień o transparentną komunikację, dzielenie się sukcesami, konstruktywnie mówić o rzeczywistych problemach, a także wymieniać się doświadczeniami i dbać o wspólny rozwój. Ma to szczególne znaczenie w sytuacjach kryzysowych, takich jak konflikt zbrojny, kiedy kluczowe staje się zapewnienie ciągłości działania danej instytucji finansowej.
Adam Wnorowski
Equinix
Equinix od początku konfliktu w Ukrainie jest mocno zaangażowany w pomoc firmom ukraińskim w kontynuowaniu ich działalności i zapewnieniu niezbędnych usług wsparcia zasobów infrastruktury IT, w tym zapewnieniu zapasowych ośrodków przetwarzania danych. Zapewnienie bezpiecznego ośrodka danych, dzięki któremu firma może odtworzyć swoje usługi, nie dotyczy jednak jedynie Ukrainy. Zarówno firmy polskie, jak też z krajów bałtyckich dokonują niezbędnych zmian w planach Business Continuity. Proaktywne procesy i wdrażanie rozwiązań jest istotne i nie może być pozostawione na ewentualny rozwój konfliktu na teren RP. Wówczas może być za późno, by dane przemigrować lub fizycznie relokować do innego kraju. W tym procesie wspieramy firmy merytorycznie i fizycznie poprzez zapewnienie ośrodków Data Center oraz serwerów Bare Metal w lokalizacjach w całej Europy. Uzupełniając ofertę o prywatne połączenia na żądanie, zapewniamy wachlarz usług od A do Z w planowaniu Business Continuity Planning.