Bankowość spółdzielcza

Dostawcy usług i banki spółdzielcze o wymogach DORA

Jacek Ramotowski | BANK.pl
Dostawcy usług i banki spółdzielcze o wymogach DORA
Fot. M. Wagner,
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Przyspieszenie w pracach nad bezpieczeństwem cyfrowym objęło w tym roku cały polski sektor banków spółdzielczych. Dwa zrzeszenia rozbudowują centra bezpieczeństwa operacyjnego (SOC) wykorzystując najnowsze dostępne technologie. Ale jest jeszcze dużo rozwiązań i obszarów, które czekają na wdrożenie.

Biuro Informacji Kredytowej chce trafić z ofertą swoich nowych produktów także do sektora banków spółdzielczych. To m.in. platforma antyfraudowa, w której uczestniczy już 40 instytucji. Wysyła ona uczestniczącym w niej stronom w czasie rzeczywistym alerty, gdy składany jest budzący podejrzenia wniosek kredytowy. Do tej pory zatrzymała wnioski o łącznej wartości ponad jednego mld zł.

„Pozwala to całemu sektorowi minimalizować skutki i skalę ataków” – mówiła podczas debaty na Forum Technologii Bankowości Spółdzielczej Agnieszka Szopa-Maziukiewicz, Wiceprezes Zarządu Biura Informacji Kredytowej S.A., Prezes Zarządu Digital Fingerprints.

Platforma weryfikacji behawioralnej BIK jest z kolei odpowiedzią m.in. na ataki socjotechniczne. Pozwala ona zatrzymywać nieuprawnione logowania do bankowości elektronicznej. Weryfikuje parametry urządzenia i sposób logowania, i jeśli bank oznaczy urządzenie jako podejrzane, następuje wymiana informacji pomiędzy wszystkimi uczestnikami systemu.

Pozwala zatrzymać transakcje na podstawie wyłudzonych danych do logowania, pochodzące z fałszywych linków, podstawianych użytkownikom aplikacji zdalnych pulpitów. 

„Wiadomo, że banki komercyjne mają dużo więcej zasobów. Wiemy o wszystkich wyzwaniach banków spółdzielczych i staramy się współpracować z bankami zrzeszającymi, i z dostawcami usług” – mówiła Agnieszka Szopa-Maziukiewicz.

Dostawcy usług o DORA

Dostawcy usług dla banków spółdzielczych w różny sposób podchodzą do nich potrzeb, jak również do europejskiego prawa. Przypomnijmy, że obowiązujące od stycznia unijne rozporządzenie DORA kładzie szczególny nacisk na wymogi bezpieczeństwa dostarczanych instytucjom sektora finansowego usług i technologii przez zewnętrznych dostawców.

Nakazuje także prowadzenie audytów bezpieczeństwa kontrahentów. Nie wszyscy dostawcy to dobrze rozumieją, choć bankowcy mówią, że kontrakty nawet z globalnymi gigantami technologicznymi – z punktu widzenia prawa – są „akceptowalne”.   

„Nie mieliśmy problemów z kluczowymi dostawcami krajowymi, z wielkimi podpisywane dokumenty są akceptowalne” – mówił Piotr Mazur, Dyrektor Departamentu Informatyki w SGB-Bank S.A.

Co innego jednak akceptowalność umów z punktu widzenia prawa, a co innego umiejętność dostosowania się kontrahentów do konkretnych, lokalnych potrzeb.

„Światowe brandy wykazują elastyczność betonu” – powiedział Marek Stodolak, Enterprise Account Manager w firmie Commvault.  

„Przyszła pora na to, żebyśmy kochali polskich dostawców” – dodał Włodzimierz Kiciński, Wiceprezes Związku Banków Polskich, moderujący debatę.

Każdy punkt końcowy stał się celem ataku

Usługi dla instytucji finansowych nie kończą się na odpowiednim wyposażeniu centrów bezpieczeństwa (SOC). Idą znacznie dalej. Grzegorz Biel, Kierownik działu technicznego w Fast IT Solutions Sp. z o.o. stawia bankowcom pytanie – co zrobicie, jeśli utracicie dane powstałe po przeprowadzeniu ostatniego backupu?

I oferuje narzędzie pozwalającą odtworzyć dane, które powstały od momentu utworzenia ostatniej kopii zapasowej (co z reguły odbywa się w nocy) – do niemal do ostatnich sekund pracy systemu.

„Każdy bank spółdzielczy powinien regularnie wykonywać testy odtworzeniowe” – powiedział.

„Praca zdalna radykalnie zmieniła podejście do bezpieczeństwa w organizacji. Pracownicy w biurze wykonywali zadania na urządzeniach połączonych w pewnym „obwodzie”, zwykle lepiej lub słabiej chronionym przed ingerencją z zewnątrz. Były systemy firewall, serwery proxy, urządzenia monitorujące ruch sieciowy” – tłumaczy Robert Zimoń, Client Relationship Manager w Lenovo Technology B.V. Sp. z o.o.  

„Wymogi bezpieczeństwa przesunęły się do użytkowników danych, aplikacji w modelu rozproszonym. Każdy punkt końcowy stał się celem ataku” – mówił.

Mariusz Gąsiorek-Tatarski, B2B Services Business Development Manager w Motorola Mobility zaprezentował system grupy Lenovo, który buduje bezpieczeństwo rozwiązań na trzech poziomach – łańcucha dostaw, połączeni softwaru z hardwarem oraz bezpieczeństwo w chmurze. Zwraca uwagę, że zabezpieczenie urządzenia końcowego, które ma dostęp danych prywatnych i służbowych jest w obecnym modelu pracy hybrydowej kluczowe.

„Najważniejsze jest to, że wszystko spięte jest w jeden system – od kieszeni do chmury” – powiedział.

Policja ostrzega przed turystyką bankową

Inspektor Daniel Palacz, Zastępca Dyrektora Biura Zwalczania Przestępczości Ekonomicznej w Komendzie Głównej Policji wskazywał, że prócz technologii dla zwiększenia bezpieczeństwa potrzebne byłyby także zmiany w prawie.   

Mówił, że do Polski zaczęły przyjeżdżać na dużą skalę wycieczki z krajów spoza Unii. Wcale nie po to, żeby podziwiać koronację Bolesława Chrobrego, Wawel czy nawet przekop Mierzei Wiślanej. Po to, żeby zakładać rachunki w bankach.

Takie rachunki mogą być nawet miesiącami uśpione. Są tylko po to, żeby kiedyś trafił na nie przelew – z kradzieży lub wyłudzenia. Dlatego twierdzi, że policja powinna mieć ustawowe prawo do tego, żeby być organem, który zawiadamia bank, by wprowadził blokadę rachunku, gdy tylko sama przyjmie zawiadomienie o przestępstwie.

„Czas jest tu krytyczny” – powiedział.

„Kiedyś przestępczość była prymitywna (…) Dziś wiele razy sam nie dowierzałem, że można być tak mocno zmanipulowanym” – dodał.

Źródło: BANK.pl