Nauka i Edukacja Ekonomiczna. PAB-WIB: Certyfikacja cyberbezpieczeństwa
Dr inż. Elżbieta Andrukiewicz
Ogólnie można powiedzieć, że cyberbezpieczeństwo to wszystkie działania i mechanizmy wdrożone, by chronić system teleinformatyczny przed atakami, które mogłyby zagrozić poufności, integralności lub dostępności danych. W jego ramach mieszczą się metody prewencji ataku, wykrywania i reagowania na incydent bezpieczeństwa oraz odtworzenia funkcjonalności systemu po ataku.
Dwutorowe działania
Certyfikacja cyberbezpieczeństwa to potwierdzenie zgodności rozwiązań z określonymi kryteriami, dokonane przez niezależny podmiot na podstawie ewaluacji przeprowadzonej przez akredytowane laboratorium. W niektórych sektorach, np. technologii informacyjnych, certyfikacja jest szeroko rozpowszechniona i stanowi przewagę konkurencyjną firmy. W sektorze bankowym certyfikacja cyberbezpieczeństwa nie jest powszechna, lecz można prognozować, że to się zmieni w związku z polityką UE promocji Wspólnego Rynku Cyfrowego.
Działania UE, istotne dla sektora bankowego w kontekście cyberbezpieczeństwa, postępują dwutorowo. Pierwszy tor wyznacza dyrektywa NIS, wprowadzona w Polsce ustawą o Krajowym Systemie Cyberbezpieczeństwa. Banki, jako operatorzy usług kluczowych, stają się elementem ogólnoeuropejskiego systemu zgłaszania i reagowania na incydenty cyberbezpieczeństwa. Wśród najważniejszych wymogów stawianych operatorom usług kluczowych należy wymienić obowiązek zapewnienia funkcjonowania zespołu reagowania działającego w trybie ciągłym oraz punktu kontaktowego dla krajowych zespołów reagowania na incydenty (CSIRT), które są wskazane w ustawie.
Zakres podmiotowy i przedmiotowy usług kluczowych będzie z pewnością przedmiotem dalszego zainteresowania regulacyjnego UE. Zgodnie z zapowiedziami Komisji Europejskiej, w 2020 r. należy spodziewać się przeglądu dyrektywy NIS i dalszych prac, które mogą podnieść wymogi dotyczące systemów ochrony cyberprzestrzeni.
Istotnym kierunkiem rozwoju usług w cyberprzestrzeni będą w najbliższym czasie wdrożenia rozwiązań chmurowych, przy uwzględnieniu wymagań bezpieczeństwa wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Jednocześnie, w dalszym ciągu istotne wątpliwości i obawy natury prawnej (RODO) budzą rozwiązania chmurowe zapewniające przetwarzanie danych osobowych.
Drugim komplementarnym torem podąża akt o cyberbezpieczeństwie, rozporządzenie unijne wprowadzające ogólnoeuropejskie ramy certyfikacji cyberbezpieczeństwa usług, produktów i procesów ICT. W wielu obszarach rozdrobnioną certyfikację krajową zastąpi jeden europejski certyfikat bezpieczeństwa, który z pewnością będzie znacznie lepiej i powszechniej odbieraną gwarancją zgodności z wymogami bezpieczeństwa. Jednym z pierwszych obszarów wdrożenia aktu o cyberbezpieczeństwie są rozwiązania chmurowe. Obecnie outsourcing usług, takich jak chmura, jest w sektorze bankowym ściśle regulowany, jednak rozpowszechnienie jednolitej certyfikacji może wpłynąć na zmianę tego stanu.
W toku prac nad aktem o cyberbezpieczeństwie pojawił się pomysł obowiązkowej certyfikacji cyberbezpieczeństwa. Choć w końcowym efekcie pozostała koncepcja dobrowolności, to należy przyjąć, że obowiązek certyfikacji cyberbezpieczeństwa w obszarze usług kluczowych pojawi się w bliskiej przyszłości, w perspektywie 2-3 lat.
Akt o cyberbezpieczeństwie wprowadza zatem kontekst regulacyjny dla certyfikowanych produktów i usług stosowanych w sektorze płatniczym (będących usługami kluczowymi). Jednocześnie rynek certyfikacji jest zdominowany przez organizacje globalne tzn. EMVCo i PCI, stworzone przez prywatne podmioty będące operatorami płatności i jako takie wydające certyfikaty, które są poza zakresem stosowania aktu o cyberbezpieczeństwie. Należy zatem spodziewać się znacznych zmian w sektorze płatniczym przy rosnącej roli certyfikacji produktów i usług, a kierunek i siła tych zmian na pewno w najbliższym czasie będą przedmiotem dyskusji i kolejnych regulacji.
Bezpieczeństwo – dla klienta niezwykle ważne
Certyfikacja cyberbezpieczeństwa nie jest obecnie istotnym czynnikiem marketingu banków, kierowanego do klientów indywidualnych i biznesowych. Jednak – jak wskazują wszystkie dostępne badania – świadomość zagrożeń, przede wszystkim związana ze wzrostem znaczenia bankowości internetowej i mobilnej, rośnie. Efekt braku zgłębienia kwestii certyfikacji bezpieczeństwa może wpłynąć w przyszłości negatywnie na opinię klientów o banku.
W kontekście znaczenia certyfikacji cyberbezpieczeństwa dla sektora bankowego warto wspomnieć również o dyrektywie PSD2, wprowadzającej dla banków obowiązek udostępniania danych niezależnym usługodawcom, Third Party Providers (TPP). Punkt styku pomiędzy systemem banku a zewnętrznym usługodawcą tworzy kolejny obszar, który należy chronić przed atakami hakerów. Certyfikacja platform i interfejsów wykorzystywanych na połączeniach systemów będzie potwierdzeniem bezpieczeństwa stosowanych rozwiązań.
Polityka wspólnego rynku cyfrowego UE silnie promuje rozwiązania chmurowe, zatem jednym z pierwszych obszarów objętych ogólnoeuropejską certyfikacją ma być właśnie chmura. Obecnie certyfikacja rozwiązań chmurowych jest rozproszona i rozwijana w krajach członkowskich niezależnie. Wprowadzenie unijnej certyfikacji cyberbezpieczeństwa spowoduje wzrost zaufania do rozwiązań chmurowych, co może pozytywnie wpłynąć na uelastycznienie podejścia KNF do outsourcingu.
Powyższy artykuł to streszczenie autorskie raportu „Identyfikacja i uwierzytelnianie. Rekomendacje kierunków działań w systemie bankowym”. Opracowano go na zlecenie Programu Analityczno-Badawczego Fundacji Warszawski Instytut Bankowości (Sygn. WIB PAB 2019/2). Tytuł i śródtytuły pochodzą od redakcji
Program Analityczno-Badawczy Warszawskiego Instytutu Bankowości (PAB-WIB) powstał w 2019 r, jako odpowiedź na wskazania prezesów największych banków. Sugerowali oni konieczność prowadzenia prac analityczno-badawczych na rzecz sektora bankowego, których efektem byłoby tworzenie użytecznych dla instytucji finansowych raportów i opracowań, zorientowanych na rozwiązywanie problemów wskazanych przez banki, w szczególności w zakresie identyfikacji obszarów problemowych, określania ich skali oddziaływania na sektor bankowy oraz możliwych scenariuszy rozwoju sytuacji.
Odbiorcami raportów przygotowywanych w ramach PAB-WIB są banki, partnerzy programu oraz regulatorzy. Banki wskazały na potrzebę umiejscowienia prac analityczno-badawczych w Warszawskim Instytucie Bankowości (WIB) oraz finasowanie tych prac ze środków pozyskanych z części wypracowanych zysków przez Biuro Informacji Kredytowej (BIK) oraz Krajową Izbę Rozliczeniową (KIR).
Analizy realizowane w ramach programu dotyczą następujących obszarów badawczych:
1) zdolność banków do finansowania gospodarki,
2) bankowość spółdzielcza,
3) rynek nieruchomości,
4) nowe technologie i cyberbezpieczeństwo,
5) zielony ład (Green Deal) i energetyka odnawialna,
6) finansowanie projektów innowacyjnych.
Zasady organizacji programu oparto na sformalizowanym procesie. Utworzono Radę Programową PAB-WIB, w skład której wchodzą przedstawiciele sekcji banków dużych, średnich i spółdzielczych oraz reprezentanci KIR i BIK, oraz Zespół PAB-WIB, określający szczegółowy zakres tematów badawczych oraz organizujący ich realizację.
W celu wyboru najlepszych wykonawców do poszczególnych prac badawczych, Zespół Programu zwrócił się do szerokiego kręgu najwybitniejszych naukowców z wielu ośrodków akademickich w kraju. Głównym kryterium wyboru wykonawców jest ugruntowana pozycja badacza, wieloletnie doświadczenie w obszarze badawczym zgodnym z tematem badawczym oraz renoma i uznanie.