BANK 2018/04

Raport specjalny. Bezpieczeństwo banków: Na pohybel hakerom

Igor Lagenda
Raport specjalny. Bezpieczeństwo banków: Na pohybel hakerom
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Przede wszystkim współpraca - tak można by w skrócie zdefiniować unijne zalecenia w zakresie cyberbezpieczeństwa. Zgodnie ze wskazówkami Brukseli cały sektor bankowy - w tym BGK i NBP, jako istotne składniki infrastruktury krytycznej - zostanie objęty nową ustawą, którą lada moment przyjmie polski parlament.

Igor Lagenda

Wdużej mierze podmioty świadczące usługi bankowe są świadome znaczenia cyberbezpieczeństwa. Podwaliny pod to położyła rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym używanym przez banki. Niniejsza regulacja obejmie przede wszystkim duże banki, a decydujące znaczenie będzie miało określenie progów kwalifikacyjnych w rozporządzeniu” – czytamy w projekcie ustawy o krajowym systemie cyberbezpieczeństwa, która wraz z Narodowym Programem Ochrony Infrastruktury Krytycznej ma stać się fundamentem bezpieczeństwa cyfrowego w naszym kraju.

Autorzy projektu ustawy zwracają uwagę, że podmioty działające na rynku finansowym to duże przedsiębiorstwa o stabilnej sytuacji rynkowej, które tak jak sektor bankowy, objęto stosownymi rekomendacjami Komisji Nadzoru Finansowego.

Nowe prawo obejmuje swoim zasięgiem wszystkie instytucje kredytowe, działające w kraju. Regulacje dotyczące tego sektora znajdują się w ustawie Prawo bankowe, jednak zawarta tam definicja instytucji kredytowej ma węższy zakres niż stosowana w prawie UE. Zgodna z unijną definicją jest za to ustawa o nadzorze uzupełniającym nad instytucjami kredytowymi, zakładami ubezpieczeń, zakładami reasekuracji i firmami inwestycyjnymi, wchodzącymi w skład konglomeratu finansowego i to jej zapisy znajdują zastosowanie w wypadku implementacji dyrektywy.

Do krajowego systemu cyberbezpieczeństwa ustawa włącza też Narodowy Bank Polski oraz Bank Gospodarstwa Krajowego. Tym samym NBP i BGK będą zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługę i zgłaszanie incydentów oraz udostępnianie użytkownikom wiedzy na temat stosowania odpowiednich zabezpieczeń przed zagrożeniami cyberbezpieczeństwa.

Razem w imię bezpieczeństwa

Eksperci wskazują, że nowe regulacje dotyczące cyberzagrożeń w większym stopniu niż dotychczas stawiają na współpracę, zarówno w skali Unii Europejskiej, jak też poszczególnych sektorów oraz w ich obrębie.

– Przestępców nie ograniczają przepisy ani budżety. Dobrze, że w tym wypadku współpracujemy, a nie konkurujemy – mówił Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w Związku Banków Polskich. – Efektem tej współpracy jest szybka wymiana informacji. W sytuacji zagrożenia sektor bankowy działa już bardzo szybko – wskazał, odnosząc się go głośnego ataku wirusa Petya. – Analiza dotycząca go powstała w kilka godzin. Doszło do wymiany informacji między bankami i każdy z nich się zabezpieczał, ale także dodawał informacje o wirusie do systemu. Wiedza rosła dzięki współpracy – wyjaśnił.

Zdaniem ekspertów Instytutu Kościuszki (IK) nowe przepisy rzeczywiście mogą przyczynić się do wzmocnienia cyberbezpieczeństwa w Polsce. Jak podkreślają, na uwagę zasługują rozwiązania dotyczące zarządzania działaniami poszczególnych instytucji.

– Fundamentalną zmianą jest propozycja powołania pełnomocnika rządu do spraw cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa. Pełnomocnik w randze sekretarza stanu w Kancelarii Prezesa Rady Ministrów odpowiadać ma za koordynowanie na poziomie krajowym realizacji zadań dotyczących zapewnienia cyberbezpieczeństwa – podkreśla dr Joanna Świątkowska, dyrektor programowa Europejskiego Forum Cyberbezpieczeństwa ­CYBERSEC i ekspertka IK. – Usytuowanie tej funkcji wysoko i mocno w systemie, jest niewątpliwie bardzo dobrym krokiem w stronę postulowanego od dawna przez Instytut Kościuszki stworzenia systemu koordynacji działań – wyjaśnia.

W opinii ekspertów instytutu, Kolegium ds. Cyberbezpieczeństwa ma szansę stać się platformą uzgadniającą najważniejsze kierunki działań w zakresie cyberbezpieczeństwa na poziomie krajowym. Kluczowe będzie ustalenie efektywnych mechanizmów współpracy na linii pełnomocnik – minister ds. informatyzacji i minister obrony narodowej – dwóch pozostałych silnych elementów systemu. Szczególnie, że to w odpowiedzialności ministra ds. informatyzacji pozostanie obowiązek monitorowania wdrażania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej oraz realizacji planów jej implementacji. Projekt ustawy wzmacnia integrację kwestii związanych z cyberbezpieczeństwem w proces zarządzania kryzysowego.

Ustawa o krajowym systemie cyberbezpieczeństwa doprecyzowuje ka­tegorie incydentów, które różnią się w zależności od rodzaju podmiotu, który je zgłasza i stopnia jego od­działywania. Wyróżnia incydenty poważne, istotne – zgłaszane przez podmioty publiczne i incydenty krytyczne.

Klienci ufają bankom

Banki są bezpieczniejsze niż inni dostawcy usług, jeśli chodzi o wdrażanie innowacji ukierunkowanych na poprawę obsługi klienta – wynika z globalnego badania przeprowadzonego na zlecenie banku HSBC. 58% klientów ufa swoim bankom w kwestii wdrażania innowacji. W przypadku firm telekomunikacyjnych i dostawców energii odsetek ten wyniósł odpowiednio 53% i 50%.

Przewaga nad innymi sektorami nie oznacza, że nie są potrzebne działania, które będą budowały zaufanie do konkretnych rozwiązań technologicznych – wskazują autorzy raportu „Zaufanie do technologii”. W Polsce pod tym względem wypadamy bardzo dobrze.

Agata Mroczek, członkini zarządu HSBC Bank Polska odpowiedzialna za Pion Technologii i Wsparcia Biznesu, zauważa, że w naszym kraju standardem są płatności zbliżeniowe i mobilne, podczas gdy na Zachodzie klienci wciąż korzystają z czeków. – Różnice te stają się dla nas szczególnie widoczne w trakcie podróży zagranicznych. Polacy ze zdziwieniem odkrywają, że coś, co w naszym kraju jest standardową usługą, we Francji, Grecji czy Hiszpanii może być niedostępne – podkreśla.

Polskie banki bardzo szybko sięgnęły po takie rozwiązania, jak np. biometryczna autoryzacja, rozpoznawanie głosu czy sztuczna inteligencja (AI).

Różnice w poziomie wykorzystywania nowych technologii w bankach na rynkach zagranicznych to szansa dla polskich firm IT tworzących rozwiązania dla sektora finansowego. – Pomysły opracowywane na polskim rynku mogą pomóc w unowocześnianiu oferty banków w innych krajach, co wobec zawrotnego wręcz tempa rozwoju nowych technologii wydaje się być nieuniknione – zaznacza Tomasz Leś, Senior Product Manager w Pionie Banków Komercyjnych w Asseco Poland.

Jeden z wielu elementów

Ustawa o krajowym systemie cyberbezpieczeństwa wdraża do polskiego porządku prawnego zapisy dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (2016/1148).

Bruksela sformułowała w tym dokumencie obowiązki zapewniające cyberbezpieczeństwo systemów informacyjnych w sektorach usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej: w energetyce, transporcie, bankowości i instytucjach finansowych, sektorach zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej.

Przyjęcie nowych regulacji dotyczących funkcjonowania krajowych systemów cyberbezpieczeństwa oraz ich rozbudowa mają umożliwić bezproblemowe świadczenie usług istotnych z punktu widzenia państw i ich gospodarek, zwiększyć poziom bezpieczeństwa systemów informatycznych oraz ograniczyć skutki ewentualnych incydentów, zwłaszcza straty finansowe.

Ustawa o krajowym systemie cyberbezpieczeństwa doprecyzowuje kategorie incydentów, które różnią się w zależności od rodzaju podmiotu, który je zgłasza i stopnia jego oddziaływania. Wyróżnia incydenty poważne, istotne – zgłaszane przez podmioty publiczne i incydenty krytyczne.

Nowością w stosunku do wcześniejszych przepisów jest umożliwienie tworzenia sektorowych zespołów cyberbezpieczeństwa, które będą miały możliwość wsparcia obsługi poważnych incydentów we współpracy z właściwym CSIRT poziomu krajowego.

image

Narodowe centrum już działa

Były wiceminister cyfryzacji Krzysztof Silicki wskazywał już jakiś czas temu, że równolegle z procedowaniem ustawy resort cyfryzacji podejmował działania praktyczne – m.in. w instytucie badawczym NASK powołano Narodowe Centrum Cyberbezpieczeństwa NC Cyber. – Centrum buduje system partnerski z kluczowymi sektorami gospodarki, aby wspólnie budować, na zasadzie współpracy, element zarówno reagowania w warstwie operacyjnej na zagrożenia, ale i budowania pewnych rekomendacji dla kluczowych sektorów – wyjaśnił.

NC Cyber ma szybko reagować na zagrożenia i incydenty, a w razie ewentualnych ataków – podejmować działania we współpracy z ośrodkami w kraju i za granicą. Odpowiednie zespoły NC Cyber:

  • wydają ostrzeżenia dla kluczowych sektorów i instytucji;
  • wydają rekomendacje postępowania w obliczu zagrożenia;
  • podejmują działania mające na celu zminimalizowanie skutków ataków.

Centrum operacyjne NC Cyber funkcjonuje w trybie 24/7 przez 365 dni w roku i oparte jest na następujących filarach: operacyjnym, analitycznym badawczo-rozwojowym, szkoleniowym oraz obszarze polityk i standardów.

Powołanie NC Cyber miało na celu rozbudować funkcje operacyjne i analityczno-techniczne, tak aby można było zarządzać cyberbezpieczeństwem w krytycznych dla państwa i gospodarki obszarach.

Podmioty publiczne i prywatne mogą współpracować z NC Cyber na podstawie zawartych porozumień w zakresie cyberbezpieczeństwa, mogą również delegować swoich przedstawicieli do bieżącej współpracy. Porozumienia o współpracy zostały już podpisane z ok. 40 podmiotami, przedstawicielami sektora telekomunikacyjnego, finansowego (banków i instytucji finansowych), energetycznego, kolejowego, dostawcami usług cyfrowych. Zostały zbudowane kanały komunikacji pomiędzy uczestniczącymi podmiotami (strefa partnera, system informatyczny).

– Rola CSIRT NASK z projektu ustawy nie odbiega od tego, co przez 20 lat robił CERT Polska. Udało nam się jednak zmienić to, że jesteśmy bardziej sprofesjonalizowani w warstwie operacyjnej. Jest druga dwudziestoczterogodzinna linia zgłoszeń i więcej ludzi do jej obsługi – podkreśla Juliusz Brzostek, dyrektor NC Cyber w NASK.

Instytucja ma udostępniać informacje pochodzące z kontaktów międzynarodowych o technicznych wskaźnikach infekcji w cyberprzestrzeni. – Ma to podnieść bezpieczeństwo tych podmiotów – powiedział Juliusz Brzostek. Zapowiedział konsultacje, konferencje i szkolenia w zakresie przewidywania oraz reagowania na incydenty komputerowe.

Na straży cyberbezpieczeństwa

Prace nad unijną dyrektywą trwały ponad trzy lata – od 14 lutego 2013 r., gdy Komisja Europejska wraz z Wysokim Przedstawicielem Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa przedstawiła komunikat w sprawie europejskiej strategii bezpieczeństwa cybernetycznego pt. „Otwarta, bezpieczna i chroniona cyberprzestrzeń” oraz od razu wniosek legislacyjny w sprawie dyrektywy dotyczącej cyberbezpieczeństwa.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii została przyjęta 6 lipca 2016 r. Dokument zobowiązuje wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa.

Unijni eksperci spodziewają się, że dzięki nowym regulacjom wzrośnie poziom bezpieczeństwa usług świadczonych z wykorzystaniem technologii informatycznych na ataki pochodzące z cyberprzestrzeni, co przyczyni się do lepszego zapewnienia ciągłości działania usług, tak aby obywatele, jak i przedsiębiorstwa miały do nich stały, niezakłócony dostęp.

Bruksela zakłada, że wdrożenie dyrektywy doprowadzi do:

  • ustanowienia krajowego systemu reagowania na pochodzące z cyberprzestrzeni zagrożenia dla bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych;
  • ustalenia zasad współpracy podmiotów zobowiązanych do wykrywania incydentów spowodowanych zagrożeniami cyberprzestrzeni i sposobów postępowania w okresie trwania tych incydentów;
  • prawnego umocowania dokumentu ustanawiającego krajową strategię bezpieczeństwa sieci i informacji mającą na celu osiągnięcie akceptowalnego poziomu cyberbezpieczeństwa Rzeczpospolitej Polskiej;
  • wskazania sektorów gospodarki narodowej, dla których zastosowanie będą miały przepisy ustawy oraz określenie kryteriów kwalifikacji podmiotów objętych regulacją;
  • ustalenia poziomu istotności incydentu z zakresu bezpieczeństwa oraz wprowadzenia obowiązku notyfikowania incydentów wskazanemu organowi władzy publicznej;
  • ustalenia ustawowych wymagań i powinności z zakresu cyberbezpieczeństwa dla jednostek organizacyjnych z zakresu podmiotowego w obszarze organizacyjnym i technologicznym oraz delegowania ich do aktów wykonawczych.

Kto nas ochroni?

– Liderzy biznesu wyciągnęli wnioski z lekcji udzielonych im przez cyberprzestępców. Rysy na wizerunku, a także indywidualne straty okazały się na tyle bolesne, że organizacje są skłonne poświęcać więcej zasobów i uwagi, aby zminimalizować ryzyko związane z cyberatakami – zaznaczył Rick Howard, wiceprezydent Gartnera, prezentując wyniki badania dotyczącego inwestycji w IT instytucji rządowych. Wynika z nich, że cyberbezpieczeństwo znajduje się na drugim miejscu w planach szefów informatyki na bieżący rok. 17% z nich wskazało, że zamierza więcej wydać na ochronę. Na pierwszym miejscu znalazły się usługi chmurowe (19%), a na trzecim – analiza wielkich zbiorów danych (16%).

W opinii ekspertów, jednym z największych problemów związanych ze staraniami o podwyższenie poziomu zabezpieczeń będzie niedobór fachowców, którzy mogliby zmniejszyć liczbę groźnych incydentów. Hakerzy sięgają po coraz bardziej wyrafinowane metody ataku. Dlatego inwestycje w cyberbezpieczeństwo oraz infrastrukturę IT mają kluczowe znaczenie dla ochrony danych.

Jak uważają eksperci firmy Bitdefender, problem ten występuje też w Polsce, gdzie proces tworzenia systemu cyberbezpieczeństwa dopiero się rozpoczyna. – Nasi decydenci dostrzegają powagę sytuacji i podejmują pierwsze działania, które napawają nas umiarkowanym optymizmem – zauważa Mariusz Politowicz z Bitdefender. – Ustawa o krajowym systemie cyberbezpieczeństwa powinna wejść w życie lada chwila. Wprawdzie w budżecie na 2018 r. nie wydzielono pieniędzy na cyberbezpieczeństwo, nie ulega jednak wątpliwości, iż rząd stawiający na rozwój usług cyfrowych dla obywateli, musi zapewnić środki na ochronę danych – zauważa ekspert.

Z najnowszych badań wynika, że cyberprzestępczy proceder wart jest od 275 mld do 6,6 bln dolarów, a jego całkowite koszty w ujęciu do PKB (bezpośrednie i systemowe) sięgają aż 22,5 bln dolarów.