Raport Specjalny | Forum Technologii Bankowych – Kancelaria Kochański & Partners | Najważniejsze jest cyberbezpieczeństwo
Olgierd Świerzewski
radca prawny, Partner, Kancelaria Kochański & Partners
Jak z punktu widzenia prawnika (przepisów regulacyjnych i obowiązującego prawa) należy dziś patrzeć na cyberbezpieczeństwo w sektorze bankowym?
– Czas pandemii przyniósł – zarówno w korporacjach, jak i wśród konsumentów – niespotykaną dotąd presję na korzystanie z rozwiązań teleinformatycznych. To co było planowane na dekadę, zostało zrealizowane często w kilkanaście miesięcy. Dotyczy to również banków. Na polskim rynku uczestniczymy w szeregu projektów związanych z przejściem zasobów bankowych do chmury obliczeniowej. Sektor bankowy określił rok 2020 „rokiem chmury”. Trend ten oraz zwiększająca się rola sztucznej inteligencji i technologii komunikacyjnych używanych do relacji z klientem w ramach tzw. customer experience będzie się wzmagał wraz z rozwojem usług dostawców chmurowych, jak i coraz większym wykorzystywaniem aplikacji, smartfonów i innych narzędzi komunikacji mobilnej.
Czy prawo za tym wszystkim nadąża? Prawnicy ciężko pracują, aby tworzyć przyjazny, a przede wszystkim bezpieczny ekosystem oparty na technologii. Na ramy prawne składają się zarówno ustawy sektorowe, w tym przypadku prawo bankowe czy ustawa o usługach płatniczych, jak również przepisy na styku bankowości i technologii – tak rangi ustawowej, jak ustawa o krajowym systemie cyberbezpieczeństwa i towarzyszące jej akty wykonawcze, jak również rekomendacje i komunikaty Komisji Nadzoru Finansowego, takie jak komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej czy Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Pamiętajmy również, że cyberbezpieczeństwo w naturalny sposób wiąże się z ochroną danych osobowych, które stanowią podstawowe aktywo informatyczne banków, a w związku z tym mamy również do czynienia z całym obszarem uregulowanym przez RODO.
Jednak jak w typowej analizie SWOT, obok szans, jakie niesie dla banków technologia, pojawiają się również zagrożenia. Incydenty – czyli zdarzenia naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych bądź związanych z nimi usług oferowanych przez sieci i systemy informatyczne banków – mogą stanowić największe zagrożenie dla stabilności finansowej i reputacji banków. A te, wywoływane przez cyberataki, niczym statki piratów rysują się na horyzoncie działalności instytucji finansowych. Współcześni odpowiednicy Jesse Jamesa czy Butcha Cassidy nie noszą rewolwerów. Posługują się najnowocześniejszym sprzętem informatycznym, aby złamać zabezpieczenie banku. Po stronie bankowych służb informatycznych istnieje konieczność i wymóg ciągłej analizy podatności systemu, czyli potencjalnych słabości, wrażliwość lub wad zasobu, systemu, procesu czy też mechanizmu kontroli, które mogą zostać wykorzystane w wyniku cyberzagrożenia. Jeśli tego nie uczynią, zarówno banki, jak i członkowie ich zarządów odpowiedzą za szkodę wywołaną zaniedbaniem obowiązków.
Na jakie elementy organizacyjne i technologiczne powinno się dziś zwrócić szczególną uwagę?
– Jak już wspominałem, dziś jednym z priorytetów instytucji finansowych jest migracja ich zasobów do chmury obliczeniowej. Liczymy na to, iż przejście polskich banków do chmury ułatwi też „Standard wdrożeń w chmurze obliczeniowej”, tzw. PolishCloud, przygotowany przez ekspertów z naszej kancelarii we współpracy z reprezentantami banków oraz firmy Accenture pod auspicjami Związku Banków Polskich. Zawiera on praktyczną analizę wszystkich istniejących aktów prawnych związanych z zagadnieniem usługi chmurowej dla sektora finansowego.
Prawo dotyczące cyberbezpieczeństwa banków wymaga przede wszystkim posiadania systemu zarządzania bezpieczeństwem środowiska teleinformatycznego oraz ciągłością działania, służącego w szczególności: stałym audytom bezpieczeństwa, aktualizacji strategii cyberbezpieczeństwa i rejestru zawierających możliwe odmiany ryzyka, zapewnieniu adekwatnej struktury organizacyjnej oraz zasobów kadrowych w obszarach technologii informacyjnej i bezpieczeństwa, zarządzaniu jakością danych o kluczowym znaczeniu dla banku i budowaniu właściwej polityki zakupowej uwzględniającej cyberbezpieczeństwo jako jedno z kluczowych kryteriów wyboru dostawcy.
Czy warto, i gdzie szukać, wsparcia ekspertów? Na co ewentualnie zwracać uwagę, podpisując umowy związane z zapewnieniem cyberbezpieczeństwa?
– Ostatnio, jako kancelaria, przygotowaliśmy webinar na temat sporów wynikających z projektów IT. Zapisało się na niego ponad 120 firm i liczba ta pokazuje, że wzrasta świadomość związana z problemami wdrożeń systemów IT, jak również kwestii podatności wdrażanych systemów i zarządzania kryzysem spowodowanym przez incydenty. Do niedawna skupialiśmy się wyłącznie na funkcjonalnościach systemu, jego przydatności dla naszej firmy. Dziś już wiemy, że do negocjacji zakupowych musimy wprowadzić nowy element – ryzyko powstania incydentów, odpowiedzialność z tytułu utraty lub naruszenia integralności danych, włamania się do systemu czy wręcz kradzieży kodu źródłowego. Jeśli w umowie nie zadbamy o te elementy, możemy się okazać bezsilni w dochodzeniu swoich praw w sądzie.
Dzisiaj umowa na wdrożenie systemu IT nadal jest rodzajem umowy o dzieło, która jest oceniana przez sąd poprzez kryterium należytej staranności. Tymczasem powinniśmy w umowach zadbać, aby nadać postanowieniom dotyczącym cyberbezpieczeństwa i zarządzania incydentami jak najbardziej praktyczny wymiar, obejmujący dostęp do kodów źródłowych, możliwość cyklicznych audytów, stałe uaktualnienia elementów systemu w celu wyeliminowania podatności zgodnie z rynkowymi standardami i aktualnym stanem wiedzy, wreszcie możliwość skorzystania z pomocy wyspecjalizowanych firm zarządzających kryzysem wywołanym przez incydent bez czasochłonnego uzyskiwania zgód dostawcy systemu. Te i szereg innych, wydawałoby się, drobnych elementów mogą decydować o przetrwaniu firmy lub uniknięciu wielomilionowych strat. Dlatego nie warto oszczędzać na ekspertach w chwili wdrażania lub migracji systemu. Tak naprawdę chodzi o bezpieczeństwo członków zarządu, akcjonariuszy i klientów.
Pomówmy o otoczeniu regulacyjnym – czego się wymaga w zakresie cyberbezpieczeństwa na poziomie UE i w Polsce, a co jest dobrą praktyką biznesową?
– Zarówno prawo unijne, jak i polskie wymaga od banków zapewnienia bezpieczeństwa informacji – rozumianej jako zachowanie poufności, integralności i dostępności informacji. Zgodnie z wymogami prawnymi banki powinny posiadać politykę bezpieczeństwa systemów informatycznych obejmującą m.in.: stałą analizę ryzyka, procedurę postępowania w przypadku incydentu (w tym: zapobieganie incydentom, wykrywanie ich i reagowanie na nie), procedury zapewniające ciągłość działania organizacji i jej kluczowych procesów oraz instrukcje dotyczące zarządzania kryzysowego, procedury zapewniające bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego dostawcami lub usługodawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych czy rozwoju i utrzymania sieci oraz systemów informatycznych, polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni oraz politykę stosowania kryptografii, szyfrowania i bezpiecznego przechowywania oraz dostępu do danych.
Brak tych elementów może skutkować odpowiedzialnością członków zarządu, jak również karami administracyjnymi. Nowy projekt dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii przewiduje znaczne podniesienie wysokości kar, które mogą osiągnąć 10 mln euro lub 2% przychodu, w zależności od tego, która kwota będzie wyższa.
Jak wyglądają, i mogłyby wyglądać, optymalne projekty wdrożenia cyberbezpieczeństwa w instytucji?
– Projekty takie, ze względu na swój rozmiar i wielopłaszczyznowość obejmują zarówno elementy prawne, jak i techniczne. Dlatego najlepiej jest je robić w mieszanych zespołach prawno-informatycznych z silnym przywództwem ekspertów z doświadczeniem w dziedzinie zarządzania projektami. Taki właśnie model zastosowaliśmy w naszej kancelarii. Pomagamy w ten sposób jednakowo w zaprojektowaniu oraz we wdrożeniu procedur dotyczących cyberbezpieczeństwa w organizacji, przeprowadzania audytów umów z dostawcami systemów informatycznych oraz usług IT pod kątem bezpieczeństwa prawnego w przypadku incydentu. Całość uzupełniają szkolenia z regulacji prawnych z obszaru bezpieczeństwa informatycznego, przygotowanie planu ciągłości działania organizacji i zarządzanie kryzysem. Nierzadko podczas projektu powstaje konieczność przeprowadzenia renegocjacji umów z wybranymi dostawcami systemów i usług IT w celu ograniczenia podatności systemu i powstania ryzyka wystąpienia incydentu. Takie projekty są dla nas, prawników, niezwykle atrakcyjne, bo pozwalają nam wykorzystać wiele obszarów naszej wiedzy.