Fundamenty Bezpieczeństwa Banków 2018. Banki mają bezpieczne podwaliny
Centrum Prawa Bankowego i Informacji (CPBiI) we współpracy ze Związkiem Banków Polskich (ZBP) zorganizowało cykliczną konferencję „Fundamenty Bezpieczeństwa Banków”. W trakcie konferencji poruszone i omówione zostały najważniejsze kwestie dotykające bezpieczeństwa sektora bankowego. Według organizatorów na szczególne zainteresowanie zasługują m. in. kwestie jawności życia publicznego, STIR, ustawa o krajowym systemie cyberbezpieczeństwa, a także projekt ustawy o zmianie ustawy o dowodach osobistych.
– Podczas naszego spotkania chcemy uwspólnić to, na czym bezpieczeństwo bankowe się opiera, czyli fundamenty prawne – poinformował Andrzej Wolski, wiceprezes CPBiI, otwierając konferencję.
Fundamenty bankowości
Około 150 przedstawicieli środowiska bankowego przywitał Krzysztof Pietraszkiewicz, prezes Związku Banków Polskich.
– Jeśli mówimy o fundamentach bankowości, to niewątpliwie należy zaliczyć tu solidne, stabilne prawo, sprawdzone produkty bankowe, solidne instytucje i uczciwie realizowaną politykę bezpieczeństwa, myślę tu o NBP i systemie nadzoru. W bankowości fundamenty to też solidne fundusze własne. Dziś w Polsce mamy 206 mld złotych, które stanowią o bezpieczeństwie depozytów. Nie mniej ważnym, w dzisiejszych cyfrowych czasach, fundamentem są technologie narażone na coraz przebieglejsze cyberataki. Jednak nie możemy zapominać, że niezwykle ważna jest solidność pracowników sektora bankowego, ich wiedza i doświadczenie – wyliczył Krzysztof Pietraszkiewicz.
Część merytoryczna konferencji powstała pod patronatem dwóch rad działających w ZBP: Rady bezpieczeństwa banków i Rady prawa bankowego.
W pierwszej prezentacji Katarzyna Randzio-Sajkowska, Senior Counsel, adwokat, Sołtysiński Kawecki Szlęzak -Kancelaria Radców Prawnych i Adwokatów (SK&S), przybliżyła projekt ustawy o jawności życia publicznego.
– Ustawa dotyczy, w zakresie jakości życia publicznego, spółek z kapitałem Skarbu Państwa, jeśli chodzi zaś o działania antykorupcyjne wszystkich tzw. średnich firm. Kiedy projekt wejdzie w życie, na razie nie wiadomo. Ustawa jest zamrożona, ale nie wycofana. Pewne jest, że w projekcie znalazły się dotkliwe sankcje karne, które stały się standardem w ostatnich regulacjach. Dlatego już dziś trzeba w bankach wprowadzać regulacje w procesie rekrutacji ustalające zasady analizy historii działalności zatrudnianych osób – informowała Katarzyna Randzio-Sajkowska.
Ustawa zakłada też wprowadzenie procedur antykorupcyjnych mających zapobiegać m.in. korupcji, praniu brudnych pieniędzy, nadużyciom w przetargach. Ustawodawca postuluje ustalenie procedur antykorupcyjnych i podpisanie ich przez pracowników.
Technologia w banku
Druga prelekcja dotyczyła STIR, czyli Systemu Rozliczeniowego Izby Rozliczeniowej, który ma zapewnić obowiązek informacyjny sektora bankowego wobec Krajowej Administracji Skarbowej (KAS). Krzysztof Szczepański, dyrektor Departamentu Bezpieczeństwa i Ryzyka, Krajowej Izby Rozliczeniowej, umówił działanie i przybliżył najważniejsze założenia funkcjonalne systemu.
– Dane są analizowane przez nas i po „obrobieniu” przesyłane dalej do Centralnego Rejestru Danych Podatkowych. System działający od końca 2017 roku uzyskuje nowe funkcjonalności. Ten rok był szczególnie intensywny pod tym względem. Pojawiły się m. in. informacje o wskaźniku ryzyka, możliwość obsługi żądań dodatkowych informacji, blokady szefa KAS, raportowanie o rozbieżności danych banków względem danych Centralnego Rejestru Podmiotów Krajowej Ewidencji Podatników – informował Krzysztof Szczepański.
O technologii teleinformatycznej w bankowości opowiedział Krzysztof Grabczak, Sales Director -Security, Oracle, w prezentacji „Zarządzanie ryzykiem przy przetwarzaniu danych w chmurze obliczeniowej”. Według niego ryzyko można zminimalizować przy pomocy technologii chmurowych.
– Często mówimy, że chmura jest niebezpieczna, a jej bezpieczeństwo zależy od użytkownika i jego świadomości. Świat chmury można kontrolować i zapewnić bezpieczeństwo naszych działań – zapewniał Krzysztof Grabczak.
Kolejna prezentacja dotyczyła projektu nowej ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Jarosław Grzegorz, Associate Partner w Zespole Zarządzania Ryzykiem Nadużyć, EY, próbował wyjaśnić, co zmiany mogą oznaczać dla banków.
Z kolei Patryk Gęborys, dyrektor Zespołu Bezpieczeństwa Biznesu oraz Arwid Mednis, Head of TMT/IP and Data Protection, PricewaterhouseCoopers (PwC), zastanawiali się, jak polski rynek bankowy może zmienić ustawa o krajowym systemie cyberbezpieczeństwa. Przypomnijmy: powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie zapobiegał, wykrywał oraz minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju – to cel ustawy o KSC. Przepisy wdrażają dyrektywę Unii Europejskiej, która zobowiązuje państwa UE do przyjęcia krajowych strategii cyberbezpieczeństwa, do wskazania lub ustanowienia organów właściwych do spraw cyberbezpieczeństwa oraz powołania tzw. zespołów reagowania na incydenty komputerowe. Dyrektywa zobowiązuje też do zapewnienia cyberbezpieczeństwa systemów informacyjnych w sektorach usług tzw. kluczowych – m.in. w energetyce, transporcie, bankowości i ochronie zdrowia. Według szacunków Ministra Cyfryzacji zostanie wyznaczonych ok. 335 operatorów usług kluczowych. Operatorzy będą zobowiązani do wdrożenia systemu zarządzania cyberbezpieczeństwem. Będą musieli systematycznie szacować ryzyka wystąpienia incydentu, który może mieć wpływ na cyberbezpieczeństwo. Ich zadaniem będzie też zbieranie informacji o zagrożeniach cyberbezpieczeństwa oraz stosowanie środków im zapobiegających. Będą także zobowiązani do prowadzenia odpowiedniej dokumentacji.
Banki będą musiały m.in. utworzyć wewnętrzne struktury, które odpowiedzialne będą za cyberbezpieczeństwo, w tym wyznaczyć osoby odpowiedzialne za kontakt z podmiotami krajowego systemu cyberbezpieczeństwa, wdrożyć system zarządzania incydentami, w tym system do zgłaszania incydentów poważnych w ciągu 24 godzin od momentu wykrycia do właściwych organów Zespołów Reagowania, oraz rozpocząć działalność edukacyjną wobec klientów banku w zakresie cyberbezpieczeństwa.
O nowych technologiach i otwartej bankowości z perspektywy bezpieczeństwa mówił Łukasz Bromirski, CTO, Cisco Systems Poland. Zgodnie z przewidywaniami analityków Cisco, rok 2018 upłynął pod znakiem większej gotowości do wykorzystania bogactwa danych w ramach organizacji. Optymalizacja i zarządzanie środowiskami chmurowymi stanowiły priorytet dla wielu przedsiębiorstw, podobnie jak potrzeba umieszczenia cyberbezpieczeństwa w centrum strategii biznesowej. Oba te trendy pozostaną aktualne w roku 2019. Jak wynika z raportu Cisco Visual Networking Index (VNI), do 2022 roku ruch IP w sieci osiągnie większy poziom niż w całej dotychczasowej historii internetu. Do 2022 roku ponad 60% światowej populacji będą stanowili użytkownicy internetu. Osoby dopiero wkraczające w ten cyfrowy świat będą miały do czynienia z zupełnie inną siecią – łączącą ludzi w ich codziennym życiu za pośrednictwem urządzeń wearables, inteligentnych urządzeń gospodarstwa domowego oraz autonomicznych samochodów. Mniej widoczny, lecz nie mniej znaczący dla rozwoju sieci, będzie szeroki wachlarz sensorów internetu rzeczy.
Stabilne podstawy
Zagadnienia outsourcingu AML przybliżyli Robert Trętowski, wiceprezes Zarządu KIR i Bartosz Wójcicki, dyrektor Biura usług Antyfraudowych, BIK. Anti-Money Laundering dotyczy wszystkich działań podejmowanych przez organizacje świadczące usługi finansowe, mających na celu wyeliminowanie zjawiska prania brudnych pieniędzy. Głównym celem działów AML jest zabezpieczenie systemu finansowego przed wykorzystaniem go do niecnych i przestępczych celów np. finansowanie terroryzmu czy uwierzytelnianie dochodów pochodzących z działalność przestępczej.
Niejako w uzupełnieniu o zapobieganiu praniu brudnych pieniędzy mówił w swojej prezentacji „O Dyrektywie Parlamentu Europejskiego i Rady (UE) 2018/1673 z dnia 23 października 2018 r. w sprawie przeciwdziałania praniu pieniędzy za pomocą środków prawnokarnych” także dr Tadeusz Białek, dyrektor Zespołu Prawno – Legislacyjnego ZBP.
W kolejnym wystąpieniu dr Jacek Blachut z Kancelarii T. Studnicki, K. Płeszka, Z. Ćwiąkalski, J. Górski (SPCG) omówił incydenty naruszenia bezpieczeństwa danych osobowych i przybliżył ich skutki prawne.
Tegoroczną konferencję „Fundamenty Bezpieczeństwa Banków” zakończył Dariusz Kozłowski, wiceprezes, Centrum Prawa Bankowego i Informacji, referując uczestnikom projekt ustawy o zmianie ustawy o dowodach osobistych. Nowe dowody osobiste będą wydawane w marcu 2019 r. E-dowody będą miały szereg nowych funkcji. Ich nałożenie wymusiła na Polsce Unia Europejska. Nowe dowody osobiste będą zawierały specjalną warstwę elektroniczną (chip), która pozwoli na zapis danych. E-dowody będą wyposażone w tzw. „profil osobisty o wysokim profilu zaufania”, czyli środek identyfikacji elektronicznej (tzw. „profil osobisty”). E-dowód będzie zawierał: dane posiadacza i biometryczne zdjęcie posiadacza. W założeniu e-dowodów będzie można używać jako podpisu elektronicznego, co ma pozwolić na usprawnienie przepływu dokumentów obywatela z administracją, służbą zdrowia i podmiotami komercyjnymi.
Konferencja „Fundamenty Bezpieczeństwa Banków” przybliżyła uczestnikom najważniejsze kwestie prawne powiązane z bezpieczeństwem sektora bankowego.