Ile zaufania, ile kontroli?

Do agendy wydarzenia nawiązał w wystąpieniu inauguracyjnym dr Tadeusz ­Białek, prezes Związku Banków Polskich. Przypomniał, że SafeBank domyka kalendarz cyklicznych wydarzeń sektora, a dla niego – ze względu na nadzór nad obszarem bezpieczeństwa i cyberbezpieczeństwa w ramach zarządu – jest to otwarcie szczególnie ważne. Dodał także, iż odporność operacyjna to jeden z kluczowych priorytetów sektora finansowego, zwłaszcza w sytuacji, gdy dane ENISA wskazują na wysoką intensywność ataków na sektor bankowy. A banki, jako instytucje zaufania publicznego, muszą godzić ze sobą wyzwania regulacyjne i technologiczne, aby chronić środki klientów.

Prezes ZBP podkreślił przy tym, że klasyczne próby przełamywania infrastruktury bankowej – mimo dużej skali – coraz rzadziej przynoszą poważne skutki, a sektor ma za sobą realne testy odporności. Dlatego wektor zagrożeń przesuwa się w kierunku manipulacji: dezinformacji, wpływania na zachowania klientów oraz ataków socjotechnicznych, coraz częściej wzmacnianych przez AI i deepfake.

Paweł Minkina, wiceprezes zarządu Centrum Procesów Bankowych i Informacji i redaktor naczelny „Miesięcznika Finansowego BANK”, przypomniał że bezpieczeństwo, zwłaszcza cyfrowe, stanowi ten obszar, w którym podmioty na co dzień konkurujące ze sobą współpracują nie tylko w ramach sektora, ale podejmują dialog również z innymi branżami czy administracją publiczną, a współpraca międzysektorowa obejmuje m.in. wymianę informacji o zagrożeniach.

Czy znasz swoich pracowników?

W jakim stopniu banki faktycznie znają swych pracowników i jak znaleźć równowagę pomiędzy zaufaniem do załogi a systemowym monitorowaniem, które pozwoliłoby ograniczyć ryzyko fraudów wewnętrznych? Kwestia ta była wątkiem przewodnim ostatniej sesji wydarzenia SafeBank 2025.

Dyskusję z udziałem przedstawicieli sektora finansowego i ekspertów ds. cyberbezpieczeństwa poprzedziło wystąpienie radcy prawnego Wojciecha Kapicy, reprezentującego Związek Banków Polskich. Wskazywał on, iż nadużycia wewnętrzne nie są jedynie pochodną jednego czynnika, np. ludzkiego czy technologicznego. Ryzyko w większości przypadków bierze się z połączenia niskiego poziomu kultury organizacyjnej z nieprzemyślanymi procesami i brakiem współpracy pomiędzy kluczowymi funkcjami. – Jeśli uda nam się te połączenia wzmocnić, to nadużycia wewnętrzne staną się ryzykiem, który można świadomie zarządzać, a nie jedynie źródłem bolesnych zaskoczeń – stwierdził Wojciech Kapica. Przypomniał, że dyskusja powinna dotykać architektury organizacji, zamiast koncentrować się na pojedynczych spektakularnych przypadkach.

Reprezentant ZBP wspomniał, iż nadużycia wewnętrzne nie oznaczają wyłącznie przestępczych działań podejmowanych z premedytacją przez osoby zatrudnione w instytucji finansowej. Mamy wszak do czynienia z całym spektrum zagrożeń, a część z nich wynika po prostu z lekkomyślności lub braku świadomości ryzyka. Przykładem takich nieodpowiedzialnych praktyk jest bezrefleksyjne klikanie w linki phishingowe czy udostępnianie w mediach społecznościowych zbyt wielu informacji o sobie, co ułatwia przestępcom profilowanie takich ludzi. – Oczywiście w potocznym rozumieniu takie osoby nie są przestępcami, niemniej z punktu widzenia ryzyka banku mogą otwierać drzwi do bardzo poważnych incydentów – wyjaśniał Wojciech Kapica. Mamy wreszcie i tych pracowników, których do zejścia na złą drogę skłania kryzysowa sytuacja finansowa bądź rodzinna, np. wysokie zadłużenie.

W dalszej części wystąpienia przedstawiciel ZBP scharakteryzował kilka filarów ochrony przed fraudami wewnętrznymi, które w praktyce muszą działać jednocześnie, bo każdy z nich zabezpiecza inny fragment ryzyka. Pierwszy z nich to rekrutacja i weryfikacja kandydatów, ze szczególnym uwzględnieniem tzw. stanowisk wrażliwych, dokonywana z uwzględnieniem prawa pracy i przepisów o ochronie danych osobowych. Nie mniej istotny filar to zarządzanie dostępami i uprawnieniami. – Nawet najlepiej zweryfikowany pracownik nie powinien mieć uprawnień większych, niż ...