Forum Bezpieczeństwa Banków 2019. Banki rok po…

W tym roku podczas Forum Bezpieczeństwa Banków kilkuset przedstawicieli środowiska bankowego, akademickiego i biznesowego spojrzy na sektor przez pryzmat obowiązujących regulacji. Niebawem minie rok, od kiedy stosowane są przepisy unijnego Rozporządzenia o ochronie danych osobowych – słynne RODO oraz Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).

Uczestników przywitał Jerzy Bańka, wiceprezes Związku Banków Polskich.

– Dzisiejsze spotkanie odbywa się pod hasłem „Banki rok po…”.  Jako organizatorzy mamy na myśli RODO, ustawę o krajowym systemie cyberbezpieczeństwa i PSD2.  Jako bankowcy widzimy potrzebę regulacji sektora, choć w toku prac legislacyjnych nie raz przedstawialiśmy wątpliwości co do proponowanych zapisów. Wydaje się, że udało się wypracować kompromis, jednak o praktyce będziemy mogli zapewne porozmawiać za rok – informował Jerzy Bańka.

Czytaj także: Jerzy Bańka na Forum Bezpieczeństwa Banków: jako bankowcy widzimy potrzebę regulacji sektora, choć nie raz przedstawialiśmy wątpliwości >>>

CYBER-EXE to cykliczne ćwiczenia bezpieczeństwa przeprowadzane w sektorze bankowym. Podczas Forum poznaliśmy wyniki najnowszego badania pokazującego sposoby reakcji banków na przygotowany scenariusz „włamania”.

– Cały sektor uzyskał wynik 64 proc., co oznacza, że jesteśmy powyżej średniej. Ważne jest, że wszyscy poradzili sobie z zagrożeniami, a także wymienili się wynikami swoich prac. Bardzo efektywny okazał się system zarządzania ciągłością działania banku, nieco gorzej praktyczne zastosowanie zapisów o Krajowym Systemie Cyberbezpieczeństwa. Najważniejsze, żeby stale udoskonalać procedury i ćwiczyć, ćwiczyć, ćwiczyć, żeby jak najlepiej się przygotować na realne ataki – przekonywał Maciej Pyznar z Fundacji Bezpieczna Cyberprzestrzeń.

Czytaj także: Forum Bezpieczeństwa Banków 2019. RODO po roku doświadczeń >>>

Ustawa o cyberbezpieczeństwie

Uczestnicy Forum, przysłuchując się dyskusji panelowej, mieli możliwość poznania opinii praktyków rynkowych na temat ustawy o krajowym systemie cyberbezpieczeństwa. Czy zapisy prawne pomagają czy przeszkadzają w codziennej działalności banków? Na ten temat dyskutowali: Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków, Związek Banków Polskich (moderator), Marcin Fronczak, menager Wydziału Bezpieczeństwa Transakcji Elektronicznych mBanku, Piotr Moroz, dyrektor bezpieczeństwa Netii, Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji, Maciej Mackiewicz z Kancelarii – Kochański i Partnerzy, Maciej Pyznar z Fundacji Bezpieczna Cyberprzestrzeń oraz Krzysztof Silicki, zastępca dyrektora ds. cyberbezpieczeństwa i innowacji NASK.

Czy z perspektywy 6 miesięcy można uznać implementację ustawy o krajowym systemie cyberbezpieczeństwa za udaną?

– Sektor finansowy jest liderem i prawidłowo reaguje na ryzyka – zapewniał Robert Kośla.

– W sektorze bankowym nie nastąpiła wyraźna poprawa bezpieczeństwa po wprowadzeniu regulacji, gdyż już jest ono na wysokim poziomie – dodał Maciej Pyznar.

Ustawa, choć nowa, wymaga udoskonalenia, dostosowania do realnych warunków rynkowych. Kiedy może spodziewać się pewnych zmian?

– Prace przeglądowe prowadzimy niemal od początku. Podczas spotkań branżowych prosiliśmy o uwagi środowiska i je dostaliśmy. Zmiany będą szły w kierunku rozwiązań komplementarnych. Wprowadzimy je do kalendarza prac Sejmu w kolejnej kadencji –  zapowiedział Robert Kośla.

Czytaj także: Forum Bezpieczeństwa Banków 2019. PSD2: optymizm mimo obaw >>>

Współpraca wewnątrz sektorowa bywa skomplikowana, a zazwyczaj traci klient. Czy to prawo hamuje wypracowanie standardów?

– Tylko współpraca wewnątrz sektorowa i podejście holistyczne do bezpieczeństwa może zapewnić nam sukces.  Ważne jest budowanie partnerstw i tworzenie wspólnego frontu, bo prawo często nie nadąża za działaniami przestępców – przekonywał Maciej Mackiewicz.

– KSC to pewna rama systemowa, która daje możliwość, żeby powstało wspólne podejście do bezpieczeństwa, a także model zgłaszania incydentów. Powodzenie zależy od tego, czy ta rama będzie odpowiednio wypełniona mechanizmami, które ustawa przewiduje – zauważył Krzysztof Silicki.

Jak na ustawę o KSC patrzą praktycy?

– Ważna jest budowa narzędzi do dzielenia się informacjami. Nie powinniśmy ograniczać się jedynie do obowiązkowego raportowania, a tworzyć platformy wymiany informacji – apelował  Marcin Fronczak.

W czasie trwania panelu była przeprowadzana ankieta online. Na pytanie „Czy krajowy system cyberbezpieczeństwa daje faktyczne wsparcie bankom w zakresie utrzymywania cyberbezpieczeństwa banków oraz ich klientów?” 27 proc. uczestników odpowiedziało- tak, 38 – nie, a 35 – nie wiem.

Praktyczne działania

W kolejnej prezentacji Bartłomiej Chojnowski, specjalista ds. bezpieczeństwa IT PASSUS, przedstawił podejście do wdrożenia wymagań ustawy o KSC.

– Ustawa jest dobra, ale na poziomie standardów europejskich i dobrych praktyk bardzo ogólna. Jednak największym zagrożeniem wydaje się niechęć instytucji do dzielenia się z rynkiem zgromadzonymi danymi i informacjami. Warto też pamiętać, że nie ma systemów IT, które mogą zapewnić kompleksową ochronę przed cyberzagrożeniami. Zawsze ostatnim, najważniejszym ogniwem, jest człowiek, który jeśli jest źle szkolony, zarządzany – popełnia błędy – zauważył Bartłomiej Chojnowski.

Na potrzebę uwzględnienia kwestii bezpieczeństwa w cyfrowej transformacji organizacji zwrócił uwagę David Barnett, Head of CASB for EMEA, Forcepoint.

Z kolei Daniel Wysocki, Security Specialist oraz Hubert Ortyl, Business Development Manager z firmy Advatech przybliżyli uczestnikom Forum wykorzystanie systemów samo uczących się do optymalizacji działań w obszarze bezpieczeństwa.

– W dużej organizacji wykorzystywanych jest często kilkadziesiąt systemów zasilających organizację w dane. Najnowsze technologie umożliwiają scalenie wielu różnorodnych informacji i przekazanie administratorom najważniejszych wniosków. Jednak zidentyfikowanie incydentu bezpieczeństwa to dopiero początek. Systemy samo uczące mogą okazać się rozwiązaniem wielu problemów – twierdzi Daniel Wysocki.

Krajobraz zagrożeń

ZBP przymierza się do przeprowadzenia badania w zakresie cyberbezpieczeństwa. O głównych założeniach opowiedział Andrzej Wolski, wiceprezes CPBiI.

– Pozyskaliśmy finansowanie po rozmowach z prezesami banków. Chcemy, żeby nasze badania były użyteczne, żeby dawały odpowiedzi na najważniejsze i najczęściej zadawane w środowisku pytania. Dodatkowo zaproponujemy serie szkoleń kierowanych do środowiska bankowego – zapowiadał  Andrzej Wolski.

Ostatnie prezentacje pierwszej sesji Forum zostały poświęcone próbom zdefiniowania cyberzagrożeń zagrożeń czyhających na banki i ich klientów.

„Krajobraz zagrożeń – na jakie ataki musimy być gotowi” – przedstawił Robert Dąbrowski, SE Manager, Fortinet, a „Bezpieczeństwo w dobie współczesnych rozwiązań opartych na technologiach chmurowych” przybliżyła Joanna Dąbrowska z Trend Micro. Pierwszą sesję Forum Bezpieczeństwa Banków 2019 zakończył Artur Drobiecki, Sales Director Finance & Insurance Sector, COMP, wskazując praktyczne implementacje systemów i technologii informatycznych na styku z RODO.

– Zalewają nas różne „wirusy”: botnety, malware, ransomware, ostatnio cryptominery, czyli nielegalni „kopacze” kryptowalut. Warto mieć świadomość, że cyberprzestępcy mają dostęp do tych samych technologii co my, stojący po „jasnej stronie mocy”. Dlatego tak ważne jest wykorzystywanie nowych rozwiązań, a także uczestniczenie w warsztatach i szkoleniach z zakresu bezpieczeństwa – podsumował Robert Dąbrowski.