Nowoczesne technologie + wyszkolona załoga + dobre prawo = bezpieczeństwo
Nawet najdoskonalsze systemy antyfraudowe nie na wiele się zdadzą, jeśli obsługujący je ludzie nie będą świadomi zagrożeń pojawiających się w cyberprzestrzeni. O tym, jak lokalne instytucje finansowe mogą przyczynić się do upowszechniania zasad bezpieczeństwa w internecie wśród swych pracowników i klientów mówił Andrzej Guzik z Departamentu Administracji i Bezpieczeństwa Banku Polskiej Spółdzielczości. Przypomniał, iż do poruszania się w rzeczywistości wirtualnej – w przeciwieństwie do kierowania pojazdami silnikowymi – nie są wymagane żadne uprawnienia, w konsekwencji kluczowe znaczenie mają inicjatywy podejmowane oddolnie w rodzaju standardów i kodeksów dobrych praktyk, przygotowywanych przez same banki, ich zrzeszenia czy wreszcie organizacje branżowe w rodzaju ZBP czy KZBS.
– Edukacja powinna objąć wszystkich interesariuszy, zarówno pracowników, osoby zatrudnione w instytucjach współpracujących z bankami i podwykonawców, praktykantów i stażystów jak również osoby zatrudnione na podstawie umów cywilnoprawnych – podkreślił Andrzej Guzik. Zauważył, iż zaliczenie kursu z zakresu cybersafe powinno być warunkiem niezbędnym dla podjęcia pracy, analogicznie jak to ma miejsce obecnie w odniesieniu do szkoleń BHP. Konieczne jest również właściwe dopasowanie programów szkoleniowych do oczekiwań poszczególnych grup pracowników oraz ryzyk związanych z pracą na danym stanowisku. Należy przy tym pamiętać o ustawicznym charakterze misji edukacyjnej; stosowne szkolenia powinny być przeprowadzane po każdym awansie, zmianie miejsca pracy w ramach danej instytucji czy też uzyskania dodatkowych kompetencji w ramach piastowanego stanowiska. W dobie elastycznych form zatrudnienia konieczne jest również wdrażanie zdalnych form kształcenia załogi, jak e-learning czy webinaria. Konieczna jest również weryfikacja skutków szkolenia. Prelegent przypomniał, iż w niektórych organizacjach przeprowadzane są regularne testy socjotechniczne, mające na celu zbadanie odporności pracowników na takie zagrożenia jak phishing.
Krzysztof Bednarek stwierdził m.in., że odpowiedniej ochrony wymaga cała architektura hard- i softwarowa przedsiębiorstwa
„Wiara czyni cuda, ale nie daje gwarancji bezpieczeństwa” – taki tytuł nosiła prezentacja Krzysztofa Bednarka, wiceprezesa firmy Data Techno Park. Odnosząc się do zabezpieczeń współczesnych systemów teleinformatycznych podkreślił on, iż firmy zbyt często koncentrują się wyłącznie na zabezpieczaniu kanałów komunikacyjnych, tymczasem odpowiedniej ochrony wymaga również cała architektura hard- i softwarowa przedsiębiorstwa. Wskazał na trzy zasadnicze obszary istotne z punktu widzenia utrzymania bezpieczeństwa danych: obligatoryjny (związany ze statutową działalnością banków), regulacyjny i biznesowy. W dalszej części prezentacji Krzysztof Bednarek wskazał szereg korzyści związanych z outsourcingiem, w tym jakże istotnym dla bezpiecznego funkcjonowania banków obszarze.
Bartosz Wójcicki wskazał szereg prób wyłudzeń, które udało się już na obecnym etapie udaremnić z wykorzystaniem platformy antyfraudowej BIK
Kolejnym prelegentem była Bartosz Wójcicki z Biura Informacji Kredytowej. Opowiedział o realizowanych przez BIK projektach, mających na celu zwiększenie bezpieczeństwa klientów sektora finansowego. Należą do nich takie rejestry, jak Baza Informacji-Weryfikacja oraz uruchomiona niedawno platforma antyfraudowa BIK. Do tego ostatniego projektu przystąpiły już pierwsze banki, a także jedna instytucja pożyczkowa. Warto podkreślić, że dwa spośród uczestniczących w nowym systemie antyfraudowym banków zrezygnowały z rozwijania własnych systemów zapobiegających wyłudzeniom, outsourcingując te zadania do BIK. Na ile skuteczny jest nowy system? Prelegent wskazał szereg prób wyłudzeń, które udało się już na obecnym etapie udaremnić z wykorzystaniem platformy antyfraudowej. Narzędzie takie może się ponadto okazać szczególnie przydatne w obliczu takich zagrożeń, jak ataki dokonywane przy użyciu urządzeń funkcjonujących w ramach internetu rzeczy.
Ważnym czynnikiem warunkującym poziom bezpieczeństwa jest dostosowany do aktualnych wyzwań system prawny. Postulaty kierowane przez Związek Banków Polskich do organów tworzących polskie przepisy przedstawił dr Tadeusz Białek, dyrektor Zespołu Prawno-Legislacyjnego ZBP. Szereg uwag ze strony sektora bankowego wpłynął między innymi do autorów nowych regulacji w zakresie przeciwdziałania praniu pieniędzy. Bankowcy wnioskują chociażby o urealnienie dostępu instytucji finansowych do rejestrów administracji publicznej, takich jak NIP czy REGON, co jest niezbędne dla prawidłowego wykonywania działań z zakresu AML. Wiele problemów wiąże się również z funkcjonowaniem rejestru transakcji ponadprogowych; instrument ten nie przynosi spodziewanych skutków, jeśli wziąć pod uwagę znikoma ilość śledztw wszczętych z jego wykorzystaniem. Pozytywnie oceniony został postęp prac nad utworzeniem rejestru beneficjentów rzeczywistych, do czego zobowiązuje Polskę unijne prawo. Baza taka ma funkcjonować w strukturach resortu finansów.
Tadeusz Białek przedstawił m.in. postulaty kierowane przez Związek Banków Polskich do organów tworzących polskie przepisy prawne
Wśród innych inicjatyw podjętych przez ZBP warto wskazać wystąpienie do resortu sprawiedliwości w sprawie penalizacji fałszowania dowodów tożsamości. Wprost trudno uwierzyć, że ten proceder w Polsce do chwili obecnej jest całkowicie legalny; bezprawne jest wyłącznie posługiwanie się fałszywym dokumentem. Powracającym tematem jest również zapewnienie bankom bezpłatnego, pełnego dostępu do ksiąg wieczystych i stworzenie centralnej bazy postępowań egzekucyjnych. Brak tego ostatniego instrumentu rodzi ryzyko udzielenia finansowania osobie lub firmie, która jest poddana egzekucji komorniczej, jeśli tylko informacja o zadłużeniu nie została uwidoczniona w BIK lub biurach informacji gospodarczej.
Jednym z największych wyzwań prawnych na nadchodzący rok jest przygotowanie polskiego prawa i instytucji do stosowania ogólnego rozporządzenia o ochronie danych (RODO). Kwestia ta była tematem wystąpienia dr. Macieja Kaweckiego, doradcy Gabinetu Politycznego Ministra Cyfryzacji. Przypomniał on główne założenia nowego aktu prawnego, na czele z rewolucyjną zasadą ochrony danych na etapie projektowania. – Dziś kwestia ochrony prywatności pojawia się w momencie przetwarzania danych, zgodnie z RODO tym momentem będzie już przygotowywanie dokumentacji projektu – podkreślił Maciej Kawecki. Ważną zmianą jest również zastąpienie sztywnych uregulowań podejściem opartym na zasadzie ryzyka. – Ustawodawca musiał stworzyć akt prawny neutralny technologicznie, dlatego nie określa konkretnych zasad ochrony danych, w poszczególnych przypadkach zostawiając ten aspekt ocenie administratora danych osobowych i nadzoru – przypomniał reprezentant MC.
Maciej Kawecki omówił wyzwania związane z rozporządzeniem o ochronie danych (RODO)
Choć unijne rozporządzenie o ochronie danych obowiązuje wprost, konieczne jest jednakże dostosowanie szeregu aktów prawnych rangi krajowej. Projekt najważniejszego z nich, czyli nowej ustawy o ochronie danych osobowych, jest już gotowy, obecnie rząd powadzi prace nad zmianą przepisów sektorowych – w tym również prawa bankowego.
Piotr Balcerzak przedstawił proces tworzenia Bankowego Centrum Cyberbezpieczeństwa
Sesję zakończyło wystąpienie Piotra Balcerzaka, doradcy zarządu ZBP. Omówił on proces tworzenia Bankowego Centrum Cyberbezpieczeństwa. Ten konieczny dla skutecznej eliminacji zagrożeń sieciowych instrument powstał niejako wyprzedzająco w stosunku do unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS). Obecnie w strukturach BCC funkcjonują 22 banki, pod względem funduszy własnych reprezentujące 80% całego polskiego sektora bankowego. – Misją BCC jest zapewnienie bezpieczeństwa sektorowi bankowemu. Proponowane rozwiązania stworzą podstawy do tego, by poziom bezpieczeństwa był adekwatny do profilu ryzyka – zaznaczył Piotr Balcerzak. Wskazał również na konieczność kooperacji banków z administracją publiczną, jak i z innymi sektorami gospodarki, na przykład z operatorami telekomunikacyjnymi.
Karol Jerzy Mórawski