Raport Specjalny | Bankowość Lokalna | O cyberbezpieczeństwo trzeba dbać wspólnie
Marcin Złoch
Cyberataki mogą prowadzić do wycieku wrażliwych informacji, to zaś może mieć poważne konsekwencje dla osób fizycznych i organizacji. Atak hakerski może sparaliżować działalność firmy, prowadząc do znacznych strat finansowych. Wyciek danych lub poważny incydent bezpieczeństwa może poważnie nadszarpnąć reputację instytucji. Cyberataki mogą stanowić zagrożenie dla infrastruktury krytycznej i bezpieczeństwa narodowego.
W trosce o zwiększenie bezpieczeństwa cyfrowego Unia Europejska wprowadziła nowe regulacje – NIS2 (dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych) i DORA (Digital Operational Resilience Act), które już wkrótce będą obowiązywały na jej terenie.
Przypomnijmy, że NIS2 to dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej, zaś DORA to rozporządzenie zaostrzające wymogi w zakresie oceny ryzyka i sprawozdawczości w sektorze finansowym. NIS2 zacznie obowiązywać pod koniec września br., a DORA na przełomie 2024/2025 r.
Za tymi skrótami kryją się unijne regulacje prawne, kluczowe z punktu widzenia m.in. instytucji finansowych, firm energetycznych, podmiotów opieki zdrowotnej, przedsiębiorstw zajmujących się gospodarowaniem odpadami czy produkcją żywności.
Co to oznacza w praktyce? Mówiąc krótko, chodzi o konieczność spełnienia szeregu wymagań dotyczących procedur bezpieczeństwa, zarządzania ryzykiem czy zgłaszania incydentów. Nieprzestrzeganie ich grozi karami, a nawet zakazem prowadzenia działalności.
I tak np. NIS2 nakłada obowiązek wprowadzenia środków zarządzania ryzykiem w cyberprzestrzeni. Dotyczy to m.in. analizy ryzyka i polityki bezpieczeństwa systemów informacyjnych, a także procedury postępowania w przypadku incydentów.
Zapisy zawarte w DORA obejmą instytucje finansowe i nałożą na nie obowiązek wprowadzenia zasad zarządzania ryzykiem w obrębie wykorzystywanych systemów informacyjno-telekomunikacyjnych, ich stałego utrzymywania i aktualizacji, wdrożenia procedur bezpieczeństwa i zarządzania incydentami.
Centralne sterowanie
Do tych regulacji muszą przygotować się także banki spółdzielcze. I tu pojawia się pytanie, czy efektywniejsze jest wprowadzenie dyrektyw od góry – na poziomie banku zrzeszającego, czy też oddolnie – w każdym z banków oddzielnie?
Wydaje się, że efektywniejszy jest model prowadzenia prac w banku zrzeszającym. Instytucje te odgrywają kluczową rolę w rozwoju systemów IT w bankowości spółdzielczej, umożliwiają przy tym zmniejszenie jednostkowych kosztów rozwiązań informatycznych i zwiększenie dostępności do nich dla mniejszych zrzeszonych instytucji. Ich zadaniem jest zapewnienie bankom członkowskim dostępu do nowoczesnych technologii oraz narzędzi, które pomogą im zwiększyć efektywność i poprawić jakość usług dla klientów.
Nakłady finansowe na rozwój technologiczny często przewyższają możliwości finansowe mniejszych graczy, takich właśnie jak banki spółdzielcze. Zrzeszenie po prostu przychodzi im z pomocą. Wciąż pełni rolę reprezentanta banków zrzeszonych, ale jest też dostawcą konkretnych rozwiązań technologicznych
Zrzeszenie jest po to, by ekosystem usług bankowych był spójnym i koherentnym konceptem wspierającym świadczenie usług przez banki spółdzielcze w kontekście wspólnej marki zrzeszeniowej, ale i w interesie każdego banku z osobna. A to się przekłada na język konkretów: standaryzację procesów, udział w hurtowni danych ulokowanej w chmurze obliczeniowej, cyfryzację całej sfery back office, przyspieszenie działań sprawozdawczych, system szkoleń, zarządzanie biznesem i cyberbezpieczeństwem. Wspólne zarządzanie architekturą biznesową umożliwia rozmawianie o produktach bankowych i ich znaczeniu dla klienta, o wartościach i priorytetach – po to, aby banki otrzymywały rozwiązania technologiczne, które w 100% spełniają ich potrzeby i oczekiwania.
W efekcie na wspólnych działaniach skorzysta klient, bo poświęca się mu więcej czasu, zapewnia najwyższy z możliwych poziom bezpieczeństwa przy korzystaniu z usług cyfrowych i dostęp do najnowocześniejszych narzędzi mobilnych.
Zrzeszenia a ochrona
Banki, jako instytucje zaufania publicznego, zwracają szczególną uwagę na cyberbezpieczeństwo. Aby chronić się przed zagrożeniami w tym obszarze, banki spółdzielcze i zrzeszające muszą inwestować w nowoczesne systemy ochrony danych, wdrażać odpowiednie procedury bezpieczeństwa oraz stale edukować pracowników i klientów odnośnie cyberbezpieczeństwa. Jakie inne działania w tym zakresie powinny być podejmowane przez banki spółdzielcze oraz jaka powinna być rola zrzeszeń?
Eksperci podkreślają, że banki spółdzielcze i zrzeszenia odgrywają kluczową rolę w zapewnieniu cyberbezpieczeństwa. Wspominają o kilku istotnych działaniach, które powinny być podjęte w celu ochrony danych i minimalizacji zagrożeń.
Po pierwsze, niezbędne jest inwestowanie w nowoczesne systemy ochrony danych. W dynamicznym środowisku zagrożeń cybernetycznych, posiadanie zaawansowanych narzędzi i rozwiązań technologicznych jest wprost niezbędne. Systemy te powinny być zdolne do wykrywania i neutralizacji ataków, a także regularnie aktualizowane, aby być na bieżąco z najnowszymi zagrożeniami.
Banki zrzeszające odgrywają kluczową rolę w rozwoju systemów IT w bankowości spółdzielczej, umożliwiają przy tym zmniejszenie jednostkowych kosztów rozwiązań informatycznych i zwiększenie dostępności do nich dla mniejszych zrzeszonych instytucji. Ich zadaniem jest zapewnienie bankom członkowskim dostępu do nowoczesnych technologii oraz narzędzi, które pomogą im zwiększyć efektywność i poprawić jakość usług
dla klientów.
Po drugie, kluczowe jest wdrażanie odpowiednich procedur bezpieczeństwa. Banki spółdzielcze i zrzeszenia powinny opracować i stosować polityki bezpieczeństwa obejmujące zarządzanie dostępem do danych, monitorowanie transakcji, zabezpieczanie sieci komputerowych oraz szybką reakcję na incydenty. Regularne audyty bezpieczeństwa są nieodzowne dla identyfikacji słabych punktów i wprowadzenia niezbędnych poprawek.
Po trzecie, kluczowa dla skutecznej ochrony przed zagrożeniami cybernetycznymi jest edukacja pracowników i klientów. Banki spółdzielcze i zrzeszenia powinny regularnie szkolić swoich pracowników, zwiększając ich świadomość i umiejętności w identyfikacji potencjalnych zagrożeń. Ponadto niezwykle ważne jest dostarczanie klientom informacji na temat bezpiecznego korzystania z usług bankowych, tak aby byli w stanie rozpoznawać próby phishingu czy chronić swoje dane osobowe.
Istotna jest rola zrzeszeń w zapewnieniu współpracy i wymiany informacji między bankami spółdzielczymi. Mogą one pełnić rolę platformy, na której instytucje mogą dzielić się swoimi doświadczeniami i najlepszymi praktykami w zakresie cyberbezpieczeństwa. Organizowanie szkoleń, seminariów i konferencji może przyczynić się do podniesienia poziomu świadomości i wiedzy na temat zagrożeń cybernetycznych.
Zrzeszanie się w organizacjach branżowych może przynieść wiele korzyści w obszarze cyberbezpieczeństwa. Członkowie zrzeszeń mogą wymieniać się doświadczeniami i najlepszymi praktykami w tym zakresie. Zrzeszenia często organizują szkolenia i konferencje prowadzone przez ekspertów w tej dziedzinie. Mogą też negocjować korzystniejsze warunki umów z dostawcami najnowocześniejszych technologii, jak też podejmować wspólne działania na rzecz poprawy bezpieczeństwa cybernetycznego w całej branży.
Cyberbezpieczeństwo jest dynamicznym i ciągle ewoluującym obszarem. Aby skutecznie chronić swoje dane i systemy, instytucje muszą podejmować kompleksowe działania i być na bieżąco z najnowszymi zagrożeniami. Zrzeszanie się w organizacjach branżowych może być doskonałym sposobem na zwiększenie świadomości i efektywności działań w zakresie cyberbezpieczeństwa.