FLBS 2023 o cyberbezpieczeństwie i rozporządzeniu DORA
Do tematyki sesji wprowadził uczestników Forum Paweł Minkina, wiceprezes zarządu Centrum Procesów Bankowych i Informacji, redaktor naczelny „Miesięcznika Finansowego BANK”. Jak stwierdził, badania przeprowadzone na świecie wskazują, że blisko 94% firm padło w 2022 roku ofiarą cyberataku.
Bankowość jest szczególną kategorią przedsiębiorstw nadzorowanych i regulowanych, a także obdarzonych zaufaniem klientów, tak wynika z badania opinii społecznej w Polsce. Banki w oczach klientów to liderzy w zakresie cyberbezpieczeństwa, tak wskazuje ponad 50% Polaków, a dopiero na dalszych miejscach znalazły się firmy technologiczne oraz takie instytucje jak wojsko i policja.
Ma to też swoją drugą stronę, bo klienci cedują odpowiedzialność za bezpieczeństwo na banki. To dla banków wyzwanie edukacyjne, ale również związane z przeciwdziałaniem wszelkim socjotechnikom skierowanym na klientów banków. Obecnie to także przeciwdziałanie socjotechnikom wykorzystującym technologie, takie jak sztuczna inteligencja i nauczanie maszynowe.
Blisko 46% ankietowanych bankowców planuje w ciągu 12 miesięcy zwiększyć zatrudnienie w obszarze cyberbezpieczeństwa. Jeśli chodzi o wdrożenie DORA w sektorze banków spółdzielczych to, jak wskazują badania firm doradczych, blisko 70% prac w tym zakresie zostało już przeprowadzonych, ale nadal pozostaje jeszcze 30% do wykonania, a termin obowiązywania DORA jest coraz bliżej.
Czytaj także: FLBS 2023 o ryzyku prawnym i regulacyjnym
„Spojrzenie na wymagania aktu DORA z perspektywy polskiego regulatora”
Taki był temat wystąpienia Pawła Rzewuskiego, zastępcy Dyrektora Departamentu Cyberbezpieczeństwa w UKNF.
Zagrożenia dla rynku finansowego to między innymi zwiększający się zakres cyfryzacji, wejście technologii w każdy obszar i zależność od niej. Z drugiej strony mamy niespójne wymagania dla różnych sektorów rynku finansowego. Usługi przekraczają granice i są dostępne wszędzie oraz wzrasta ryzyko ze strony dostawców i całego ich łańcucha.
Ekspert zwrócił uwagę na cele wdrożenia rozporządzenia. To zarządzanie ryzykiem ICT — zgodnie z zasadą proporcjonalności oraz odpowiedzialności podmiotów nadzorowanych. Także ujednolicenie, rozbudowanie i scentralizowanie zgłaszania incydentów poważnych ICT przez podmioty finansowe na poziomie krajowym i unijnym. Testowanie operacyjnej odporności cyfrowej, w tym cykliczne testy penetracyjne systemów, protokołów oraz narzędzi ICT, testy TLPT. Kolejny cel to zarządzanie ryzykiem dostawców usług ICT, w tym rozszerzenie obowiązków związanych z analizą ryzyka koncentracji, a także stworzenie ram kontroli i nadzoru krajowych oraz unijnych organów nadzoru, także nad kluczowymi dostawcami usług ICT i łańcuchem dostaw.
Paweł Rzewuski wspomniał też o powiązanych aktach – takich jak: dyrektywa NIS2 dotycząca cyberbezpieczeństwa, o ustawie o krajowym systemie cyberbezpieczeństwa (dotyczy operatorów usługi kluczowej) oraz dyrektywie CER, dotyczącej ochrony infrastruktury krytycznej.
Podkreślił, że banki spółdzielcze nie są wyłączone z obowiązków związanych z DORA i nie będą. Zgodność z rekomendacją D ułatwi wdrożenie DORA, ale go nie zastąpi. Omówił też wymagania w stosunku do zarządu banków spółdzielczych.
Czytaj także: FLBS 2023 o wspólnych działaniach banków spółdzielczych
„DORA – projekt Zrzeszenia SGB”
To przedsięwzięcie przedstawił Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa w SGB-Banku. Jak poinformował, projekt w Zrzeszeniu już wystartował. Choć jest jeszcze półtora roku to zakres prac, które trzeba jeszcze wykonać i poziom wsparcia, które trzeba dostarczyć bankom spółdzielczym Zrzeszenia – jest duży. Ekspert pokazał, jak bardzo zmiany te dotykają procesy, które są dziś realizowane.
Jak stwierdził, stosowanie zasady proporcjonalności w przypadku DORA może być trudne. Wynika to np. z tego, jak bardzo precyzyjnie są one zdefiniowane w rozporządzeniu i w aktach wykonawczych. Jest wprost podane, z jaką częstotliwością i jaki zakres mają mieć testy bezpieczeństwa i trudno szukać tu jakiegoś niedoprecyzowania.
Zwrócił uwagę na funkcję krytyczną lub istotną. W Art. 3 jest to określone jako funkcja, której zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu, lub której zaprzestanie, lub wadliwe, lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia, lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych.
Jak stwierdził, testy bezpieczeństwa mogą być największym wyzwaniem dla banków. Żeby zrealizować nowe zadania, które się pojawiają, trzeba będzie wdrożyć też nowe narzędzia informatyczne.
Czytaj także: Rośnie pozycja kapitałowa banków spółdzielczych
Podczas tej sesji Bartosz Kublik mówił również o obowiązku barwienia banknotów i związanym z tym wyzwaniem dla banków spółdzielczych. To dla sektora obowiązek specjalnego wyposażenia bardzo dużej liczby bankomatów – z wyjątkiem tych, które znajdują się wewnątrz obiektów i pomieszczeń objętych stałą, bezpośrednią ochroną fizyczną.
***
Podsumowując obrady tegorocznego Forum Liderów Banków Spółdzielczych 2023 wiceprezes ZBP Bartosz Kublik podkreślił znaczenie dyskusji o tym, jak wykorzystać dobry okres dla banków.
Trzeba też wracać do korzeni bankowości spółdzielczej oraz szukać innych aktywności poza finansowaniem agrobiznesu.