Bankowość spółdzielcza

DORA, AML i sektorowa odporność banków spółdzielczych

Karol Mórawski | BANK.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
DORA, AML i sektorowa odporność banków spółdzielczych
Fot. M. Wagner,
Nowe wymogi w zakresie cyberbezpieczeństwa, wynikające z takich aktów prawa europejskiego jak DORA czy nadchodzący pakiet AML, mają szansę stać się fundamentem współpracy pomiędzy bankami lokalnymi celem standaryzacji rozwiązań i tworzenia nowych usług wspólnych. Takie wnioski płyną z debaty, podsumowującej tegoroczne obrady Forum Liderów Banków Spółdzielczych.

– Chcemy porozmawiać o tym, w jaki sposób regulacje, pomimo ogromnych wyzwań, mogą stanowić okazję do budowy sektorowej i międzysektorowej współpracy oraz przekładać się na konkurencyjność banków spółdzielczych – zaznaczył już na starcie dyskusji jej moderator, mec. Paweł Szulik, radca prawny z Zespołu Bezpieczeństwa Banków Związku Banków Polskich.

Zwrócił on uwagę, że po trzech kwartałach obowiązywania DORA można już oszacować pierwsze doświadczenia, a co za tym idzie, rozplanować kolejne działania, jakie będą niezbędne w nadchodzącym czasie.

Od compliance do przewagi reputacyjnej

Działań na rzecz spełnienia wymogów DORA nie należy traktować jedynie jako ćwiczenia, mającego na celu zaspokojenie oczekiwań nadzorczych. Jak wskazywał Paweł Szulik, jest to przede wszystkim inwestycja w reputację i odporność, co ma szczególne znaczenie na lokalnych rynkach finansowych, gdzie utrata zaufania może mieć bardzo negatywne przełożenie na dalsze funkcjonowanie danego podmiotu.

Tymczasem unijne prawo zachęca spółdzielców do wymiany wiedzy o zagrożeniach i budowy centrów analitycznych, z czym wiąże się potrzeba zacieśnienia kooperacji w ramach zrzeszeń. Także uczestnicy panelu niejednokrotnie podkreślali, iż integracja jest w tym przypadku niezbędna, również dlatego że pojedynczych banków spółdzielczych nie stać na stworzenie i utrzymanie we własnym zakresie takich strukturu, takich jak SOC czy Threat Intelligence.

– Dzisiaj funkcjonowanie bez tego typu procesów jest, delikatnie mówiąc, nieodpowiedzialne – wskazywał Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa SGB-Banku. Przypomniał on, iż liczba cyberataków w Polsce sukcesywnie rośnie, w tych warunkach zrzeszenie jest w stanie przyjąć rolę koordynatora, który filtruje „surowe” dane i dostarcza bankom tylko te, przydatne dla nich z punku widzenia operacyjnego.

W ostatecznym rozrachunku idzie wszak o zapewnienie bezpieczeństwa klientom, a nie tylko o spełnienie oczekiwań regulacyjnych. Korzyści, płynące z realizacji projektów zrzeszeniowych na rzecz cyberbezpieczeństwa, dostrzegane są również na poziomie poszczególnych banków lokalnych.

Marek Kuklewski, prezes zarządu Banku Spółdzielczego w Gogolinie zaznaczył, iż realizacja projektów zrzeszeniowych SOC pozwoliła zrealizować to bez konieczności polegania wyłącznie na zewnętrznych dostawcach IT; w przeciwnym razie poszczególne banki nie miałyby wyjścia, nie dysponowałyby wszak wystarczającymi zasobami, by tak zaawansowany projekt sfinalizować we własnym zakresie.

– Koszty ograniczyliśmy dlatego, że zadziałaliśmy wszyscy razem – uzupełnił swoje wystąpienie Marek Kuklewski.

Wspólne standardy, wspólne zespoły, wspólne technologie

Po stronie zrzeszeń odpowiedzią na brak „proporcjonalności kosztowej” była centralizacja kompetencji i ujednolicenie standardów. Ma to znaczenie zwłaszcza w obliczu analogicznych reguł dla całego sektora. – DORA nie wprowadziła proporcjonalności dla bankowości spółdzielczej; wymagania są takie same jak w bankach komercyjnych – zauważył Michał Pyszyński, dyrektor Departamentu Bezpieczeństwa Banku Polskiej Spółdzielczości.

To zaś oznaczało, iż współpraca była po prostu koniecznością, choćby po to, by stworzyć centrum kompetencyjne, wspólne standardy w zakresie zarządzenia ryzykiem ICT czy też dokonywać hurtowych zakupów rozwiązań technologicznych.

– Pojedynczo nie byłoby to możliwe – dodał Michał Pyszyński. Równie istotnym obszarem, na który zapisy DORA kładą szczególną uwagę, jest zarządzanie ryzykiem w relacjach z dostawcami.

Skutecznym sprawdzianem, w tym zakresie będą efekty pierwszych kontroli, ocenił Robert Trętowski, wiceprezes Krajowej Izby Rozliczeniowej. instytucji infrastrukturalnej.

Zwrócił on uwagę na skalę ryzyka związanego z wyłudzeniami: tylko w przyszłym roku straty z tego tytułu w polskim sektorze bankowym mogą sięgnąć 2 mld zł, z czego 10% przypadnie w udziale spółdzielcom. Wiceprezes KIR na potrzebę zbalansowania zaufania do deklaracji vendorów z punktowymi, dobrze zaprojektowanymi sprawdzeniami.

– Wstępny research pokazuje, że 70% dostawców mamy wspólnych. Po co 500 razy iść do tego samego dostawcy? Zróbmy to raz, wysoko-standardowo, i oprzyjmy się na wynikach audytów branżowych” – apelował Robert Trętowski, popierając inicjatywy ZBP i zrzeszeń, które mają przejąć część ciężaru audytowego, aby nie paraliżować działalności dostawców i samych banków.

Jak chronić klienta przed… nim samym?

Drugim kluczowym wątkiem dyskusji był konsument jako główny cel ataków socjotechnicznych, a jednocześnie główny beneficjent sektorowych tarcz.

– Człowiek jest najsłabszym ogniwem, dlatego uruchomiliśmy testy socjotechniczne, w tym symulowane kampanie phishingowe – mówił Michał Pyszyński, wskazując m.in. potrzebę cotygodniowego skanowania podatności w infrastrukturze.

Jednocześnie sektor kieruje wzrok na masowe fraudy inwestycyjne: „Robimy prototyp, który pozwoli z wyprzedzeniem ostrzegać banki – whitelisty/blacklisty domen, numerów i wzorców zachowań. Klient bywa niewrażliwy na ostrzeżenia, bo został wcześniej ‘zaprogramowany’ przez przestępców” – relacjonował wiceszef KIR.

Dlatego tak ogromne znaczenie mają, wspomniane przez Michała Pyszyńskiego, masowe kampanie uświadamiające o zagrożeniach w gospodarce cyfrowej, jak choćby realizowana przez ZBP kampania pod prowokacyjnym hasłem „Nie pomóż się okraść”.

Czytaj także: Bezpieczeństwo finansów to wspólna odpowiedzialność – Związek Banków Polskich kontynuuje kampanię edukacyjną nt. cyberbezpieczeństwa

– Sami pozwalamy się okraść przestępcom bez wykorzystania różnych technologii czy próby włamań do banków – dodał przedstawiciel BPS. Tymczasem nowym polem starcia stają się… boty.

– Po drugiej stronie nie ma już przestępcy z telefonem, tylko skrypty i sztuczna inteligencja. Potrafią nie tylko zbierać hasła i kody, ale też podszywać się pod klienta w call center – mówił Daniel Krzywiec.

W tle narasta przygotowanie do unijnego pakietu AML. „Od lipca 2027 r. wchodzi olbrzymi pakiet – PEP-y, sankcje krajowe, beneficjenci rzeczywiści, źródła majątku… Wbrew pozorom mamy niecałe dwa lata, by zrobić to sektorowo” – ostrzegał wiceprezes KIR, zachęcając do ścisłej współpracy zrzeszeń, ZBP i banków komercyjnych w ramach Sektorowego Centrum Usług AML.

W tej logice mieści się też ambicja wyjścia poza „compliance”: sektorowe KYC i AML mają pomagać już na etapie onboardingu i monitoringu relacji, bazując nie tylko na danych banku, ale i całego sektora.

– Rosnąca skala ataków i fraudów sprawia, że jedyną odpowiedzią jest współpraca: sektorowa, ponad-zrzeszeniowa, z wykorzystaniem pełnego katalogu danych – tym stwierdzeniem Paweł Szulik podsumował przeszło godzinną debatę.

Zwrócił on uwagę, iż w obliczu tempa zmian regulacyjnych i technologicznych, rozstrzygające będzie to, czy sektor, bez względu na wielkość instytucji, zdoła budować wspólne standardy, automatyzować się i mówić jednym głosem do dostawców i klientów. Tylko wtedy DORA i AML staną się nie kulą u nogi, lecz trampoliną konkurencyjności.

Źródło: BANK.pl