Forum Bezpieczeństwa Banków o dyrektywie AML
Czy klucze U2F staną się powszechną metodą uwierzytelnienia w banku? Na to pytanie odpowiedział w swoim wystąpieniu Krzysztof Góźdź, Sales Manager w firmie Secfense.
Dlaczego mamy stosować uwierzytelnianie dwuskładnikowe, wieloskładnikowe lub silne?
Trzy powody stosowania uwierzytelniania dwuskładnikowego
Pierwszy to statystyki pokazujące, że ponad 80% incydentów cyberbezpieczeństwa zaczyna się od przejęcia konta. Inne dane wskazują, że ok. 30% udanych włamań pochodzi z wnętrza organizacji. To nie znaczy, że aż tyle osób chce okraść pracodawcę lub zrobić mu na złość, ale są to raczej osoby nie w pełni tego świadome, bo np. klikają w jakiś link, uruchamiają jakieś załączniki i wykonują polecenia pochodzące od z „wewnętrznego” helpdesku.
Jeśli na niektórych komputerach cyberprzestępca zainstalował oprogramowanie, to dzięki tym komputerom może dostać się do wewnętrznej sieci, serwerów itp. Dlatego nie można zatrzymać się na zabezpieczeniu kont klientów, ale też ważni są partnerzy i dostawcy.
Drugi powód stosowania silnego uwierzytelnienia to regulacje, a trzeci to orzecznictwo.
Krzysztof Góźdź podał przykład, w którym sąd nakazał zwrócić utracone środki osobie, do której zadzwonił podający się za pracownika banku przestępca i polecił zainstalować oprogramowanie, które przejęło hasło. Rozwiązaniem jest wykorzystanie klucza U2F. Jak dodał, nie jest wcale konieczne udanie się osobiście do banku w celu jego aktywacji, bo bank może wykorzystać do tego relację, jaką już z danym klientem zbudował.
Jak stwierdził, klucz oferuje bardzo wysoki stopień bezpieczeństwa. Jednak jest przekonany, że klucz zostanie zastąpiony przez telefon komórkowy. Mówił o rozwiązaniu, które wykorzystuje pośrednika, brokera.
Cyfrowy bunkier, ostatnia linia obrony?
Najsłabszym ogniwem jest człowiek – jak w tym kontekście chronić dane? Mówili o tym Kamil Budak, Product Manager Senhasegura i Mateusz Piątek, Senior Product Manager Safetica z firmy Dagma.
Podali przykład, w którym pracownik pomimo odejścia kilka miesięcy wcześniej z organizacji, nadal miał dostęp do systemów pracowniczych i logował się z prywatnego komputera na platformę ZUS i miał dostęp do danych pracowników. Prezes UODO nałożył za to na jeden z banków karę ponad pół mln złotych.
Jeśli jest dużo systemów, na których się pracuje, trzeba pamiętać, żeby wyłączyć takie konto na każdym z nich. Jeśli mamy odpowiedni system, to wyłączając jedno konto, wyłączamy wszystkie konta takiego pracownika. Możemy też pójść dalej i nie udostępniać hasła pracownikowi, bo za niego zaloguje się system PAM. Rozwiązań klasy PAM, pozwalają na kompleksowe zarządzanie dostępem uprzywilejowanym w ramach organizacji.
Prelegenci przedstawili system PAM, Senhasegura oraz kompleksowe rozwiązanie chroniące przed wyciekiem danych Safetica, które ocenia ryzyko wystąpienia incydentów bezpieczeństwa, ostrzegając przed nieproduktywnymi i potencjalnie szkodliwymi działaniami pracowników.
„Cyfrowy bunkier – rozwiązania chroniące Twoje dane” – tak zatytułował swoje wystąpienie Paweł Chruściak, DPS Account Executive w Dell Technologies. Przedstawił rozwiązanie, które gwarantuje odtworzenie danych po ataku, który już się odbył, był skuteczny i mógł zniszczyć wszystkie najważniejsze dane.
Wtedy mamy plan „B”, który pozwoli takie dane przywrócić i to w stosunkowo krótkim czasie oraz z odpowiednią polityką, by nie były to dane np. sprzed kilku lat, tylko najświeższe ich kopie. Jak stwierdził, „Budowa Twierdzy” może być strategią bezużyteczną, gdy już mamy „szkodnika” wewnątrz organizacji. Jeśli chodzi o rozwiązanie „cyfrowego bunkra”, to nie przesyła się do niego wszystkich danych, tylko zabezpiecza w nim najważniejsze.
Trzeba zrobić selekcję i wybrać takie dane w organizacji. Jak stwierdził, spotykamy się też dziś z oprogramowaniem, które chce tylko zniszczyć dane i nie zależy jego twórcom na okupie za ich odblokowanie. Sam atak to już często finał dłuższego działania przestępców w firmie.
Podał przykład firmy, w której przestępcy celowo uszkadzali tworzone przez pół roku kopie zapasowe, by nie udało się dzięki nim odzyskać danych po ataku. W tym przypadku firma została zmuszona do zapłacenia okupu, żeby je odblokować. Cyfrowy bunkier to izolacja sieciowa i fizyczna. Zgromadzonych w nim danych nie można skasować lub zmienić.
AML – rewolucja w przepisach
W prezentacji wprowadzającej o nadchodzących zmianach w AML na płaszczyźnie europejskiej mówił Paweł Szulik, radca prawny, dyrektor Zespołu Bezpieczeństwa Banków w ZBP. W UE było przyjętych w ciągu ostatnich lat wiele aktów prawnych dotyczących AML o randze dyrektywy. Ostatni akt, który wymusił na państwach członkowskich zmianę swoich przepisów to tzw. 5 dyrektywa AML.
Wspomniał o problemie, jakim jest kwestia scentralizowanych rachunków bankowych. W naszym przypadku jest to Ustawa z dnia 1 grudnia 2022 r. o Systemie Informacji Finansowej. Dyrektywa ta wprowadziła przepisy dotyczące dostępu do Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR). Wspomniał o wyroku TSUE, który zmienia kwestię dostępu do tego rejestru z uwzględnieniem ochrony danych osobowych.
Dyrektywy wymagają implementacji w państwach członkowskich. Przy tak skomplikowanym zagadnieniu, jakim jest przeciwdziałanie praniu brudnych pieniędzy, implementacja ta wyglądała i wygląda różnie w różnych państwach. Dlatego Komisja UE monitorując stopień implementacji tych przepisów, w 2020 r. opracowała sześć filarów, które w przyszłości pozwolą wzmocnić unijną politykę przeciwdziałania praniu brudnych pieniędzy. W tym dwa z tych filarów to ustanowienie jednolitego zbioru przepisów i wprowadzenie nadzoru na szczeblu unijnym, a nie tylko krajowym. Przypomniał, że w lipcu 2021 r. opublikowano pakiet propozycji czterech aktów prawnych zaproponowanych przez KE.
W dyskusji panelowej moderowanej przez Katarzynę Urbańską, dyrektor Zespołu Prawno-Legislacyjnego w ZBP, udział wzięli Marcin Bizoń, Associate Partner, Forensic and Integrity Services w E&Y Business Advisory, Maciej Brążkowski, kierownik Zespołu Przeciwdziałania Praniu Pieniędzy, Departament Cyberbezpieczeństwa w SGB-Bank, radca pr. Łukasz Pawłowski z Departamentu Informacji Finansowej w Ministerstwie Finansów, Beata Szewczuk, AML Office Head at Bank Pekao SA oraz Robert Trętowski, wiceprezes zarządu KIR.
Katarzyna Urbańska, rozpoczynając dyskusję, przypomniała, że przed nami jest pakiet dużych zmian dotyczących AML. Stwierdziła, że gdy będzie bliżej ich wdrożenia, pojawi się potrzeba zorganizowania specjalnej konferencji dotyczącej tylko tego zagadnienia. Dziś znamy tylko założenia. Pierwszy dzień trójstronnego spotkania przedstawicieli Parlamentu, Rady i Komisji w sprawie wniosków ustawodawczych to właśnie 11 maja 2023 r.
Jak ocenił Łukasz Pawłowski, jeszcze nie wiadomo jak ten akt prawny będzie ostatecznie wyglądał. Wersja zaproponowana przez Parlament i ta przez Radę znacząco się różnią. Jak stwierdził, znalazł w obecnych propozycjach w 53 przypadkach European Anti-Money Laundering Authority (AMLA) otrzymała zadania wydania legislacji pochodnej. To w ustawodawstwie pochodnym zawarte są ważne rozwiązania szczegółowe.
Beata Szewczuk podkreśliła, że gorącym tematem jest beneficjent rzeczywisty. Choć sama definicja nie uległa zmianie, to praktyka w ciągu kilkunastu ostatnich lat znacznie się rozszerzyła. Zmiany zaproponowane w tej nowej propozycji są dalszą ewolucją i zbieżną z tym, co jest obecnie robione. Jak podkreśliła, nie będzie można poprzestać na weryfikacji, tylko i wyłącznie udziałów. Nowe propozycje wskazują, że trzeba jeszcze przeczytać umowę i dokumenty firmy, bo w nich może jest wymieniona jakaś osoba, która ma uprawnienia wynikające jeszcze z czegoś innego niż udziały. To zwiększa transparentność sprawowania kontroli, ale też stanowi bardzo duże obciążenie operacyjne dla instytucji zobowiązanej.
Z perspektywy SGB Banku, zrzeszającego banki spółdzielcze, największym wyzwaniem, jak stwierdził Maciej Brążkowski, było zwiększenie intensywności polityki sankcyjnej związanej z agresją Rosji na Ukrainę. Pojawiły się nowe sankcje i polska lista sankcyjna. Bank w obszarze AML wspiera banki spółdzielcze przy realizacji obowiązków ustawowych. W minionym roku została wdrożona usługa skanowania transakcji w czasie rzeczywistym ze względu na sankcje w tym również pod kątem transakcji z krajami trzecimi wysokiego ryzyka. Jeśli chodzi o dostosowanie do nowych przepisów, wyraził obawę czy banki spółdzielcze będą umiały utrzymać specjalistów od AML.
Marcin Bizoń mówił o wyroku TSUE i wyższości ochrony praw dotyczących ochrony danych osobowych nad AML. Szybko zareagowały ograniczeniem dostępu osób publicznych do rejestru beneficjentów rzeczywistych te kraje, które lokują u siebie dużo spółek holdingowych i z tego są znane jak Luksemburg, Holandia i Austria. W tej chwili w Polsce nic się nie zmieniło. Ograniczanie dostępu np. dziennikarzom śledczym do tych danych może z czasem również spowodować zmniejszenie bazy informacji, z których korzystają także banki.
Jak stwierdził Robert Trętowski, z jednej strony pojawia się dużo regulacji, a z drugiej nie ma narzędzi, które pozwalają wspólnie walczyć z zagrożeniami. Chodzi o możliwość dzielenia się danymi. Przypomniał o proponowanym zapisie regulacji, w którym stwierdzono, że instytucje finansowe w celu zidentyfikowania prawdziwych przepływów mogą starać się wymieniać informacje także z firmami spoza sektora. W tym kontekście mówił też o Sektorowym Centrum AML (SCU AML) i możliwości wejścia do innych sektorów z takim rozwiązaniem.
Jak powiedział, już po tegorocznych wakacjach KIR będzie miał dostosowaną do tzw. 6 dyrektywy informacje o beneficjencie rzeczywistym, celu prowadzenia działalności, identyfikacji kontrahentów klienta itp. Wspomniał też o ułatwieniu bankom możliwości szybkiego dostarczania informacji organom zewnętrznym.
Forum podsumował Paweł Minkina, wiceprezes zarządu Centrum Prawa Bankowego i Informacji. Podkreślił duże zainteresowanie konferencją, co potwierdziła duża liczba uczestników. Sektor bankowy pokazał też w minionych latach zdolność do funkcjonowania w sytuacjach kryzysowych oraz działania pod presją czasu. Zwrócił uwagę na współpracę środowiska bankowego z firmami infrastruktury bankowej, ale także z administracją publiczną.