NBS | XXVIII KRAJOWY RANKING „WYRÓŻNIAJĄCE SIĘ BANKI SPÓŁDZIELCZE” MIESIĘCZNIKA FINANSOWEGO BANK – Commvault | DORA to początek ciągłej adaptacji do dynamicznie zmieniającej się rzeczywistości
17 stycznia br. upłynął czas na dostosowanie się do wymogów rozporządzenia DORA. W jakim stopniu regulacja ta adresuje oczekiwania banków, ale i dostawców usług cyfrowych współpracujących z sektorem finansowym, a także na ile podmioty z obu branż są faktycznie gotowe, by stosować zapisy DORA w praktyce?
Jakub Lewandowski: Z punktu widzenia branży technologicznej dostrzegamy olbrzymią aktywność po stronie sektora finansowego w obszarze DORA. Wiele działań podejmowanych przez banki ma na celu spełnienie formalnych kryteriów zapisanych w rozporządzeniu, mam na myśli chociażby zapytania kierowane do dostawców IT przez organizacje finansowe, w jaki sposób rozwiązania technologiczne są w stanie wspierać dochowanie zgodności z wymogami DORA. Często bankowcy chcą uzyskać informację, na ile ich partner technologiczny jest gotów na wdrożenie DORA, w szczególności czy wprowadził on odpowiednie zapisy w umowach z instytucjami finansowymi, odpowiadające art. 30 rozporządzenia. Liczne pytania dotyczą wymogów w zakresie raportowania czy prowadzenia rejestru dostawców usług, olbrzymie zainteresowanie budzą wreszcie same rozwiązania technologiczne, które są w stanie wspomagać realizację określonych procesów wewnątrz organizacji finansowych, przy jednoczesnym zapewnieniu przejrzystego zarządzania ryzykiem w różnych elementach infrastruktury z poziomu jednego punktu.
A czy dziś, po stu dniach od rozpoczęcia stosowania DORA w praktyce, można wskazać, które z zapisów tego aktu prawnego najlepiej wpisują się w oczekiwania instytucji finansowych i ich partnerów, a czego w nich najbardziej brakuje?
Jakub Lewandowski: Pozytywną cechą DORA jest wymuszenie pewnego ujednolicenia i ustandaryzowania wymogów. Zostało to oczywiście dokonane za cenę pewnej ogólności zapisów rozporządzenia, którym, jak wskazuje wiele podmiotów, zabrakło odpowiedniego poziomu szczegółowości – wiele kwestii pozostawiono do indywidualnej interpretacji instytucjom finansowym, ta z kolei nie zawsze musi być zgodna z wykładnią regulatorów dokonujących czynności kontrolnych. Jest to niejako zrozumiałe, unifikacja wymogów dla całego rynku niejako z założenia wykluczała zbytnią kazuistykę. Najwięcej problemów dostrzegamy natomiast w obszarze polskiego tłumaczenia tekstu rozporządzenia, w tym użycia wątpliwej terminologii związanej z zarządzaniem ryzykiem, czego przykładem są takie pojęcia jak „eliminacja ryzyka”, użyte w miejsce oryginalnego sformułowania „zarządzanie ryzykiem”. Kwestie te wymagają pewnej korekty, gdyż rozbieżność pomiędzy aktualnym tekstem polskiej wersji DORA a oryginałem czy pozostałymi wersjami językowymi wykracza poza kwestie redakcyjne, wpływając na merytoryczne rozumienie tych zapisów. Z oryginalnej wersji jednoznacznie wynika, iż prawodawca w tym akurat przypadku świadomie posłużył się pojęciami z zakresu zarządzania ryzykiem, a nie jego eliminacji. To ostatnie co do zasady jest bowiem awykonalne.
Twórcy DORA nie brali pod uwagę ryzyka geopolitycznego. Mam na myśli aktualną politykę celną USA, skąd pochodzi większość kluczowych dostawców IT. Do niedawna kierunek ten uważano za w pełni bezpieczny, czy DORA uwzględnia ryzyka, które mogą się zmaterializować w tym obszarze?
Jakub Lewandowski: Przypomnę, że DORA nie nakłada żadnych wymogów odnośnie do lokalizacji czy suwerenności danych, w szczególności nie zobowiązuje do tego, by czynności w zakresie przechowywania czy przetwarzania danych były dokonywane w określonej jurysdykcji. Takie wymagania mogą wynikać co najwyżej z dodatkowych regulacji nakładanych przez kraje członkowskie, chociażby tych ograniczających przetwarzanie danych osobowych. Oczywiście, nowa sytuacja geopolityczna jest pewnym elementem ryzyka, który powinny uwzględniać w swych planach instytucje finansowe. W tym kontekście warto rozmawiać z dostawcami o usługach chmurowych, np. czy oferują rozwiązania typu multi cloud, które mogą zminimalizować ryzyka geopolityczne. Przykładem jest korzystanie z serwerów zarówno w USA, jak i w Europie, co pozwala uniknąć problemów w przypadku zaostrzenia polityki celnej.
A jak w myśl nowych przepisów, w szczególności DORA, należy podchodzić do wyrównoważenia pomiędzy wymogami cyfrowej odporności a efektywnością biznesową, zwłaszcza w aspekcie kosztowym? Zasada proporcjonalności jest wszak jedną z kluczowych reguł determinujących obszar regulacyjny, nie tylko w branży finansowej…
Jakub Lewandowski: O proporcjonalności regulacyjnej nierzadko się zapomina, tymczasem kwestia ta stanowi cenny wyznacznik szczegółowej interpretacji wymagań nakładanych przez ustawodawcę czy regulatora. Przypomnę, iż DORA, wbrew polskiemu tłumaczeniu tego aktu prawnego, nie zakłada eliminacji ryzyka, tylko właściwe nimi zarządzanie, co samo w sobie jest przejawem proporcjonalnego i zdroworozsądkowego podejścia do operacyjnej odporności cyfrowej banków. Zarządzanie ryzykami powinno wychodzić od ich identyfikacji, następnie do tych ryzyk należy przyporządkować zasoby wykorzystywane w głównych procesach bankowych. Dopiero na podstawie tak przeprowadzonej analizy możemy dobierać środki, które zamierzamy zastosować. Dzięki temu można skupić się na tym, co najistotniejsze dla instytucji finansowej, czyli na aspekcie biznesowym, wiedząc, że w przypadku zmaterializowania się określonego incydentu mamy odpowiednie procedury stworzone w oparciu o zapisy DORA.
Przemysław Fąfara: Problem ten obejmuje generalnie dwa obszary: sprzętowo-programowy i ludzki. W przypadku małych, sfragmentaryzowanych banków spółdzielczych samodzielne wdrażanie rozwiązań cyberodporności może prowadzić do przeinwestowania. Sprzęt, oprogramowanie oraz zatrudnienie i szkolenie specjalistów są kosztowne. W tym kontekście realizacja zasady proporcjonalności powinna przebiegać poprzez inicjatywy wspólne, mam tu na myśli choćby centra kompetencyjne tworzone w ramach zrzeszeń banków lokalnych. Podchodząc do negocjacji z dostawcą IT w ramach grupy znacznie łatwiej wynegocjować odpowiednie warunki cenowe dla poszczególnych jej członków, również koszt zatrudnienia i utrzymania fachowców rozkłada się na poszczególnych uczestników takiego przedsięwzięcia. To znacznie lepszy pomysł niż oszczędzanie na zarządzaniu ryzykiem i inwestowanie mniejszych kwot w mechanizmy obronne. W momencie ewentualnego włamania czy ataku może się okazać, że koszt, który w teorii zaoszczędziliśmy, wielokrotnie przepłacimy, czy to płacąc haracz sprawcom, czy ponosząc kary finansowe nakładane przez regulatora. Dziś trudno szacować, jakie straty poniesiemy nawet przy krótkoterminowym odcięciu od świadczenia usług, trwającym godziny, a co dopiero, jeśli incydent wyłączy bank na dwa czy trzy tygodnie, co jest standardem w przypadku ransomware? Czy bank jest w stanie przetrwać trzy tygodnie braku dostępności rynkowej, i jak zareagują na ten fakt jego klienci, odcięci od swoich zasobów finansowych? Warto przeprowadzić proces tzw. data classification, dzięki czemu możemy wskazać, co faktycznie jest dla nas istotne, by skupić się na ochronie obszarów kluczowych z punktu widzenia ciągłości biznesowej. Tu również można poczynić pewne oszczędności bez uszczerbku dla poziomu bezpieczeństwa.
Marek Stodolak: Kwestia proporcjonalności jest niejako swoistą klamrą, która łączy obszar regulacyjny i technologiczno-kosztowy. Wrócę do wątku pewnej ogólności zapisów DORA, która jest właśnie konsekwencją zastosowania zasady proporcjonalności. Przypomnę, iż zapisy te nie mogą mieć charakteru uniwersalnego i zunifikowanego z uwagi na olbrzymią różnorodność podmiotów działających na rynku, tak po stronie instytucji finansowych, jak i branży IT. Inne podejście do operacyjnej odporności cyfrowej będzie miało zastosowanie w dużej instytucji finansowej będącej członkiem globalnej grupy działającej na kilkunastu rynkach, inne w przypadku niewielkiego banku spółdzielczego dysponującego kilkoma oddziałami na terenie powiatu. Każde z nich musi zarządzać ryzykiem w odmienny sposób, bo i same ryzyka się od siebie różnią. Warto zwrócić uwagę na istotny aspekt: choć skupialiśmy się na dostosowaniu instytucji finansowych do DORA, współczesna rzeczywistość jest bardzo dynamiczna, wymuszając co i rusz stosowanie nowych technologii zarówno w zakresie cyberbezpieczeństwa, jak i świadczenia usług. Dlatego właśnie wszystkie nowe systemy ICT muszą być już na etapie tworzenia zgodne nie tylko z DORA, ale również z zasadami security by design czy privacy by design. Na to też warto zwrócić uwagę, aby nowe rozwiązania technologiczne odpowiadały obowiązującym przepisom, żeby nie dochodzić do wniosku, że skoro dostosowaliśmy dotychczasową infrastrukturę do tej czy innej regulacji, to możemy ogłosić wykonanie zadania i na tym się kończy, a nowo kupowane systemy dostosujemy przy kolejnej okazji. Wdrażając nowe rozwiązania czy systemy, trzeba uwzględniać, by one były zaprojektowane pod kątem odpowiedniego bezpieczeństwa, w tym zgodności z DORA.
Rozporządzenie DORA, mimo pewnych niedociągnięć, takich jak ogólność zapisów czy problemy z polskim tłumaczeniem, stanowi ważny krok w kierunku ujednolicenia i zwiększenia cyfrowej odporności sektora finansowego. Jednak zarówno instytucje finansowe, jak i dostawcy IT muszą nadal pracować nad praktycznym wdrażaniem jej wymogów, szczególnie w kontekście nowych ryzyk geopolitycznych i zasady proporcjonalności. Kluczem do sukcesu wydaje się podejście oparte na zarządzaniu ryzykiem, współpracy – np. poprzez wspólne inicjatywy w ramach sektora – oraz projektowaniu nowych technologii zgodnie z zasadami security by design. DORA to nie koniec drogi, a raczej początek ciągłego procesu dostosowywania się do dynamicznie zmieniającej się rzeczywistości.
