Bankowość i Finanse | Technologie – Debata Redakcyjna | Ewolucja czy rewolucja w podejściu do cyberodporności?
Równocześnie rachunek ekonomiczny zmusza instytucje finansowe do traktowanej w sposób holistyczny optymalizacji kosztów, obejmującej zarówno proces zakupu technologii, jak i późniejszego utrzymania tych zasobów. Rzecz jasna, w przypadku cyberbezpieczeństwa redukcja nakładów nie może w żadnej mierze prowadzić do zmniejszenia odporności samych banków czy też osłabienia ochrony ich klientów. Wsparciem w wyważeniu tak istotnych racji i jednocześnie szansą, by nowe regulacje pozwoliły przejść na wyższy poziom w zarządzaniu bezpieczeństwem cyfrowym banku, może być odpowiednie ułożenie relacji pomiędzy instytucją finansową a dostawcą rozwiązań IT. Kompleksowa współpraca powinna obejmować cały obszar IT, w tym w szczególności wszystkie rodzaje sprzętu, łącznie z urządzeniami mobilnymi powierzonymi pracownikom, które mogą się stać pierwszym wektorem ataku ze strony cyberprzestępców. Takie podejście wiąże się z koniecznością rozwiązania wielu kwestii, jak choćby potrzeba zapewnienia równego poziomu ochrony dla rozwiązań pochodzących od wielu dostawców. O zmianach, jakie wejście w życie DORA i NIS2 wygeneruje w sferze zarządzania zasobami IT, gotowości polskiego sektora finansowego na przyjęcie nowych reguł, a także kształtowaniu się relacji pomiędzy instytucjami finansowymi a dostawcami technologii w nowym otoczeniu regulacyjnym dyskutowali uczestnicy panelu, moderowanego przez wiceprezesa Centrum Procesów Bankowych i Informacji i redaktora naczelnego „Miesięcznika Finansowego BANK”, Pawła Minkinę. Partnerem debaty były firmy Lenovo i Motorola.
Ryzyko cyberbezpieczeństwa jako odrębny byt
Mapa wyzwań dla sektora bankowego w obszarze cyberbezpieczeństwa zmienia się dynamicznie. Czynnikiem stymulującym pojawianie się nowych zagrożeń jest zarówno szybki rozwój technologii, na czele z upowszechnieniem sztucznej inteligencji, ale również sytuacja geopolityczna, by wziąć pod uwagę choćby toczący się konflikt w Ukrainie czy narastającą destabilizację na Bliskim Wschodzie – zauważył Paweł Minkina. Podkreślił, że równolegle wobec zwiększania odporności cyfrowej samych instytucji bankowych należy podejmować działania na rzecz zagwarantowania bezpieczeństwa klientom, z czym wiąże się ich zaufanie do sektora. Czy nowe prawo unijne oznaczać będzie ewolucję, czy może rewolucję w podejściu do cyberbezpieczeństwa?
Krzysztof Szczepański, dyrektor Departamentu Bezpieczeństwa i Ryzyka w KIR, stwierdził, iż zmiany mają na celu uporządkowanie rynku i ujednolicenie kryteriów dla sektora finansowego, by wszystkie podmioty na rynku unijnym zapewniały analogiczny poziom bezpieczeństwa i odporności cyfrowej. To większe wyzwanie dla nowych instytucji finansowych niż banków, funkcjonujących od lat w ścisłym reżimie regulacyjnym, dodał przedstawiciel KIR.
Zdaniem Pawła Guli, prezesa zarządu VerdIT, najistotniejsze wyzwanie pojawi się nie tyle od strony technicznej, ile biznesowej i operacyjnej. – To jest zupełnie inny poziom raportowania, analizy ryzyka, niemalże w trybie ciągłego reagowania – zaznaczył. Bartosz Lewszuk, CISO w Europejskim Funduszu Leasingowym, ocenił, iż implementacja DORA pomoże mniejszym organizacjom, takim jak niektóre firmy leasingowe, osiągnąć poziom dojrzałości cyfrowej właściwy dla banków. Sami leasingodawcy nie podlegają wprawdzie wprost pod tę regulację, są jednak zobowiązani do respektowania jej wymogów jako podmioty świadczące usługi ubezpieczeniowe.
Paweł Gula
prezes zarządu VerdIT.
Bartosz Lewszuk
CISO w Europejskim Funduszu Leasingowym.
Mariusz Sudoł
dyrektor Departamentu Compliance Nest Banku.
Marcin Schubert
dyrektor Departamentu Technologii Cyberbezpieczeństwa w Santander Banku Polska.
– Każdy musi tyle samo zainwestować, żeby zachować odpowiedni poziom bezpieczeństwa dla klientów, bo to jest naszą siłą jako sektora finansowego – stwierdził Krzysztof Szczepański. Tymczasem wejście w życie DORA wyodrębniło ryzyko cyberbezpieczeństwa z kategorii ryzyka operacyjnego, do której dotychczas kwalifikowano wszelkie incydenty, nadmienił dr Mariusz Sudoł, dyrektor Departamentu Compliance Nest Banku. Zarówno DORA, jak i NIS2 przenosi całą odpowiedzialność za ten obszar na zarząd, wprowadzając tym samym jednoznaczne wymogi w przeciwieństwie do dotychczasowych rekomendacji nadzorczych, traktowanych na zasadzie comply or explain. – To, na co się przygotowujemy jako sektor, to inne ramy nadzoru, który uzyskuje nowe uprawnienia czy kompetencje i nową rolę. Jesteśmy jeszcze wszyscy w trakcie dostosowywania się – powiedział reprezentant Nest Banku.
Jak firmy IT odnajdą się w nowych realiach
Dla instytucji finansowych wdrożenie nowych przepisów nie będzie aż tak poważnym wyzwaniem jak dla dostawców technologii, stwierdził Marcin Schubert, dyrektor Departamentu Technologii Cyberbezpieczeństwa w Santander Banku Polska. Zapewnił on, iż budowa odporności cybernetycznej musi się dokonywać na wielu poziomach, a dostawcy są jednym z nich, co ma szczególne znaczenie w obliczu postępującej ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI
