Czy za 4 lata usługi bankowe będą musiały mieć certyfikaty cyberbezpieczeństwa?
Robert Lidke: Usługi i produkty bankowe będą podlegały certyfikacji pod kątem cyberbezpieczeństwa. Takie przepisy wprowadza Unia Europejska. Co to zmieni w działalności sektora finansowego w naszym kraju?
Dr inż. Elżbieta Andrukiewicz: Certyfikacja produktów i usług bankowych będzie miała olbrzymie znaczenie w wielu aspektach działania tego sektora. Zarówno jeśli chodzi o część, która jest realizacją usług, jak i tę część od strony klientów.
Po pierwsze regulacje europejskie mają dwa cele. Jeden mówi o tym, że unikamy fragmentacji rynku i certyfikat cyberbezpieczeństwa wydany w jednym kraju UE, w odpowiednich warunkach, z odpowiednimi rygorami technicznymi i organizacyjnymi będzie miał znaczenie i prawne uznanie we wszystkich krajach europejskiego obszaru gospodarczego.
Ale z drugiej strony celem regulacji jest wzrost zaufania wszystkich uczestników rynku do cyberbezpieczeństwa, produktów i usług, które są realizowane, które są oferowane w Europie. Dotyczy to wszystkich podmiotów, a w szczególności dotyczy to sektora bankowego.
Dlatego, że zgodnie z poprzednio uchwaloną i wdrożoną dyrektywą NIS (Network and Information Systems Directive ) sektor bankowy jest w obszarze usług kluczowych. Czyli dotyczą go specjalne wymagania cyberbezpieczeństwa, wynikające z regulacji dotyczących poziomu bezpieczeństwa systemów i usług teleinformatycznych.
Więcej informacji na temat dyrektywyPSD2>>>
Pojawiają się podmioty trzecie, które na podstawie dyrektywy PSD2 będą miały dostęp do bankowości dzięki zgodom klientów. Czy podmioty trzecie też będą podlegały certyfikacji bezpieczeństwa?
− Zdecydowanie tak. Tutaj certyfikacja jest oczywiście przedmiotowa, tzn. nie certyfikujemy samego dostawcy, ale produkt i usługę. Czyli w obszarze zapewnienia bezpieczeństwa tak złożonych systemów, w których uczestniczą zarówno przedstawiciele sektora bankowego jak usługodawcy, którzy tworzą całą usługę płatniczą, zgodnie z dyrektywą PSD2 – tutaj olbrzymie znaczenie będzie miało bezpieczeństwo interfejsu, produktu, usług, które stanowią kompleksową całość oferowaną dla klienta.
Dlatego będą to obszary, w których certyfikacja będzie miała ogromne znaczenie.
Czytaj także: Cyberpolisa dla firmy to jak ubezpieczenie na (prze)życie
Certyfikaty bezpieczeństwa będą obowiązywały w całej Unii. Czyli każdy kraj UE, jakaś instytucja w danym kraju będzie wystawiała te certyfikaty. Co oznacza, że bank, który będzie chciał działać w Polsce, może mieć certyfikat z Litwy czy z Malty.
− Europejskie Programy Certyfikacji Cyberbezpieczeństwa będą miały stosowne wymagania techniczne i organizacyjne, a nie są to wymagania niskiego poziomu. Są bardzo wyśrubowane. I w dzisiejszym stanie regulacji europejskich, tylko niektóre kraje były zdolne organizacyjnie i technicznie do realizacji tego typu certyfikacji.
W Polsce również zaczynamy te działania i mamy już duże osiągnięcia. Jesteśmy w tych Programach Europejskich. Ale to nie będzie tak, że w każdym kraju i każda, dowolna organizacja będzie mogła tego typu certyfikaty wydawać.
Mogą więc być kraje Unii Europejskiej, które nie będą wydawały tych certyfikatów.
− Tak jest w tej chwili, i tak będzie w przyszłości. Nie wszystkie kraje UE mają tę zdolność, może będą ją miały w najbliższym czasie. Nie wszystkie będą też widziały ekonomicznego uzasadnienia do utrzymywania tego typu struktur organizacyjnych. Tym bardziej, że duża część tych struktur, to podmioty działające komercyjnie, np. Laboratoria Ocen Bezpieczeństwa działają komercyjnie.
W związku z tym, jest to też kwestia oceny potencjału rynku. W których krajach jest to możliwe, w których to już działa? Na razie takie struktury są tylko w kilku krajach tzw. starej UE.
W Polsce to jest dopiero jeden przykład, gdzie system organizacyjny, schemat organizacji certyfikacji, cyberbezpieczeństwa zaistniał. Jest to program Krajowy System Oceny i Certyfikacji, zgodny z Common Criteria, projekt R&D. Ten program autentycznie działa, jestem kierownikiem tego projektu.
Czytaj także: Czego potrzeba do stworzenia nowoczesnej bankowości 2.0?
Co się stanie, jeżeli jakiś bank, nie będzie miał certyfikatu cyberbezpieczeństwa?
− Dzisiaj jeszcze, na podstawie rozporządzenia UE ta certyfikacja jest dobrowolna. Ale jest przewidziany mechanizm, w którym część związana ze świadczeniem usług kluczowych, zgodnie z dyrektywą NIS będzie podlegała obowiązkowej certyfikacji.
I wtedy jest to już kwestia prawna. Czyli będzie obowiązek stosowania certyfikatów cyberbezpieczeństwa w odniesieniu do produktów i usług świadczonych. Będzie to trwało kilka lat, ale nie jest to bardzo długa perspektywa czasowa. To będą 3 – 4 lata maksimum.
Wprowadzenie certyfikacji bezpieczeństwa to jest nałożenie ram, swoistego „kagańca”. A z drugiej strony mamy dynamicznie rozwijające się technologie. Czy wprowadzenie certyfikatów bezpieczeństwa nie zahamuje rozwoju rynku? Nie spowoduje tego, że pewne rozwiązania, które były wygodne, klienci je polubili, nie będą mogły funkcjonować?
− Trudno odpowiedzieć na to pytanie. Do tej pory certyfikacja cyberbezpieczeństwa nie hamowała rozwoju, innowacyjności, technologicznych rozwiązań. Natomiast nie była obowiązkowa.
Stąd certyfikacja cyberbezpieczeństwa dotyczyła obszarów, w których ryzyko użycia jakiegoś rozwiązania technologicznego uzasadniało potrzebę użycia dodatkowego, niezależnego sprawdzenia bezpieczeństwa.
Z dużym poziomem rygoru tego sprawdzenia, co oczywiście przekładało się na koszty tego rozwiązania. Ale w zasadzie dotyczyło ono głównie takich systemów, takich produktów, które miały niezwykle istotne znaczenie dla gospodarki, albo dla bezpieczeństwa obrotu gospodarczego, czy innego typu obrotu.
Najlepszym przykładem są m.in. dokumenty podróżne, paszporty, gdzie certyfikacja cyberbezpieczeństwa tego rozwiązania była jednym z najważniejszych elementów i była przeprowadzona. Polskie rozwiązania również były certyfikowane, ale nie w Polsce.
Natomiast mówimy również o większym zastosowaniu tego mechanizmu, jakim jest certyfikacja cyberbezpieczeństwa, co oznacza większy zasięg tego rozwiązania oraz przekłada się na niższe koszty.
Certyfikacja będzie się rozpowszechniała, i nie będzie hamowała rozwoju innowacyjności. Ponieważ w bardzo wielu przypadkach rozwiązania R&D również się certyfikuje.
Czytaj także: Certyfikacja produktów i usług teleinformatycznych a cyberbezpieczeństwo sektora bankowego