Ryzyko to chleb powszedni bankowości

Zbigniew Forenc, wiceprezes Zakładu Usług Informatycznych NOVUM, omówił kierunki działań podejmowanych przez instytucje finansowe w celu zwiększenia bezpieczeństwa, ze szczególnym uwzględnieniem odwiecznego konfliktu pomiędzy wygodą korzystania z nowoczesnych technologii płatniczych a bezpieczeństwem zgromadzonych środków.

Cezary Cichocki z OpenBIZ sp. z o.o. skoncentrował się na rozwiązaniach ułatwiających zarządzanie bezpieczeństwem bankowych systemów IT. Wskazał na konieczność inwentaryzacji kanałów zagrożeń jako pierwszy krok budowy odpowiedniego systemu ochrony.

O tym, jak dokonywać analizy ryzyka w oparciu na postanowieniach Rekomendacji D, mówił dr Andrzej Bobyk z Instytutu Analiz i Prognoz Rynkowych. Przypomniał, jakie kroki należy podjąć, aby w odpowiedni sposób minimalizować ryzyka. Pierwszym posunięciem jest określenie prawdopodobieństwa wystąpienia zagrożeń: jak często dane ryzyko może się zmaterializować? Kolejny etap, ważny acz często niedoceniany, to ocena skutków tego ryzyka. – Będziemy szli właściwą drogą tylko w sytuacji, kiedy nastąpi monetaryzacja tych skutków – powiedział. -Kiedy już mamy projekcje skutków poszczególnych ryzyk – zarówno dla banku, jak i klientów – wówczas należy zastanowić się, jak efektywnie to ryzyko zminimalizować. Jest kilka opcji: pierwsza – to oczywiście zwalczanie, wprowadzanie zabezpieczeń. Drugim sposobem może być przeniesienie części ryzyka na inny podmiot, specjalizujący się w takich problemach – a więc outsourcing. Wreszcie ostatnia, niekiedy najlepsza metoda – zaakceptować istnienie ryzyka, co bynajmniej nie jest tożsame ze zbagatelizowaniem. – Jeśli właściwie przeprowadzimy taką analizę i zastosujemy odpowiednie środki, wtedy możemy powiedzieć: wydaliśmy na bezpieczeństwo tyle, co potrzeba. Nie więcej i nie mniej – zaznaczył przedstawiciel IAiPR.

Fot. Marzena Stokłosa

Analizie ryzyka, również w oparciu na postanowieniach Rekomendacji D KNF, poświęcona była debata ekspercka, moderowana przez Andrzeja Kawińskiego – prezesa Instytutu Analiz i Prognoz Rynkowych. W panelu udział wzięli: Paweł Masadyński – wiceprezes zarządu SGB-Banku S.A., Dariusz Olkiewicz – wiceprezes zarządu Banku Polskiej Spółdzielczości, Andrzej Sieradz – wiceprezes zarządu BGŻ S.A. w latach 2010-2015, dr Mieczysław Groszek – wiceprezes Związku Banków Polskich oraz Krzysztof Góral, zastępca dyrektora Departamentu Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych KNF.

– Czy analiza ryzyka informatycznego jest w bankowości spółdzielczej w ogóle potrzebna? Na co ona może mieć wpływ? – z tym pytaniem moderator zwrócił się do przedstawicieli obydwu zrzeszeń. Zdaniem Pawła Masadyńskiego z SGB jest to sprawa wręcz fundamentalna, tylko dzięki takiej analizie zoptymalizować można nakłady inwestycyjne na zabezpieczenia czy wprowadzić nowe standardy pozwalające na ograniczanie ryzyka, nie tylko zresztą te związane z atakami hakerów. – Mówimy o cyberprzestępczości, ale nie zapominajmy o fraudach wewnętrznych czy błędach w sprawozdawczości – przypomniał.

– Pytanie powinno brzmieć nie „czy”, ale „jak” Te czynności trzeba wykonywać w każdym banku. Pytanie – jak to robić skuteczniej – ocenił z kolei Dariusz Olkiewicz. Wg niego błędem jest cedowanie wszystkich obowiązków z tego zakresu na prezesów poszczególnych banków. – Mamy gotowy raport o tym, co w bezpieczeństwie jest niewłaściwe – nie musi tego czytać prezes. Powinna tym zajmować się na bieżąco osoba, która się na tym zna, wie jakie luki to oznacza i jak na nie zareagować – zaznaczył przedstawiciel BPS. I dodał, że banki spółdzielcze nierzadko mają problem z pozyskaniem takich osób.

Udzielając głosu Krzysztofowi Góralowi z KNF, Andrzej Kawiński przypomniał jego słowa z wcześniejszego wystąpienia, iż „wdrożenie Rekomendacji D to nie jest proces który się zakończył”. – Jakie są oczekiwania KNF? Czego oczekujecie od banków, jeśli chodzi o analizę ryzyka? – zapytał moderator.

– Pewnie nie ma w tej chwili w Polsce banku, który zgodnie ze swoim profilem ryzyka wdrożył Rekomendację U – zaznaczył Krzysztof Góral, potwierdzając tym samym fakt, iż dostosowywanie się do standardów w tej dziedzinie jest ciągłą powinnością instytucji finansowych. Jego zdaniem dokument KNF mimo swej objętości jest dość ogólny – co daje szanse, iż nie zdezaktualizuje się w ciągu najbliższych kilku lat. – Zwróciłbym uwagę na to, że obok Rekomendacji D pojawiać się będą wytyczne nie tylko ze strony KNF. Widzimy szczególną aktywność regulatorów europejskich – przypomniał przedstawiciel KNF. Sformułowanie jednoznacznych reguł utrudnia też różnorodność na bankowym rynku. – Pisząc rekomendację, zastanawialiśmy się, jak te banki posegmentować. Niestety, nie znaleźliśmy żadnego klucza pozwalającego na jednoznaczną kwalifikację – dodał Krzysztof Góral.
– Rekomendacja D, która teraz obowiązuje (…) uwzględnia rzeczy, które w IT zmieniły się w ostatnich 10 latach – przypomniał z kolei Andrzej Sieradz. Jego zdaniem, banki komercyjne miały w tej dziedzinie łatwiejsze zadanie aniżeli spółdzielcze; rekomendacja de facto rozwiązywała bowiem problemy, które w tych bankach były po części opanowane. Prelegent zwrócił uwagę na to, że utożsamianie bezpieczeństwa teleinformatycznego jedynie z pionem IT to kardynalny błąd.

– Rekomendacja D nie jest typu „przyjdą informatycy i to zrobią”. Mówi o konieczności szerokiej współpracy wewnątrz banku, nie wszystkie ryzyka pochodzą bowiem z dziedziny IT. Mamy tu w równym stopniu zagadnienia typu HR-owskiego – podkreślił Andrzej Sieradz.

Wiceprezes Związku Banków Polskich dr Mieczysław Groszek przypomniał, że ZBP grupuje zarówno podmioty z sektora komercyjnego, jak i spółdzielczego. Daje to szanse na wymianę informacji o zagrożeniach oraz metodach ich zwalczania pomiędzy poszczególnymi podmiotami, a wsparcie ze strony dużego banku komercyjnego, zmagającego się na co dzień z cyberatakami, dla małej placówki spółdzielczej jest nie do przecenienia.

Wiceprezes ZBP odniósł się również do zasady proporcjonalności, sformułowanej przez KNF. Jego zdaniem, doświadczenia będą pozwalały na kalibrowanie wymogów. Należy wspólnie z regulatorem prowadzić poszukiwania metody na to, żeby kalibrować zasadę proporcjonalności w zakresie Rekomendacji D. – ZBP i banki spółdzielcze deklarują udział w tego typu poszukiwaniach – podkreślił.

W jaki sposób stawić czoło coraz bardziej pomysłowym rabusiom internetowym? Dariusz Olkiewicz uważa, że wyzwaniem – zwłaszcza dla małych banków – mogą być niewystarczające zasoby ludzkie. – Kwestia w tym, kto to będzie robił. Te problemy mają nawet najwięksi, którzy wydają na bezpieczeństwo nieporównanie większe kwoty – zauważył.

Jak budować wiedzę i doświadczenie? Zdaniem Andrzeja Sieradza zadanie jest o tyle trudne, że mamy potężną dysproporcję między małym bankiem nieposługującym się wyrafinowanymi rozwiązaniami IT i dużym podmiotem stosującym takie rozwiązania. Tymczasem cyberprzestępcy z reguły przenoszą się z sektorów lepiej chronionych do tych mających gorsze zabezpieczenia. – Najsłabszym punktem relacji jest klient – przypomniał.

Jaka może być rola zrzeszeń w ograniczaniu ryzyka teleinformatycznego? Dariusz Olkiewicz z BPS uważa, że bank zrzeszający powinien brać na siebie takie zadania, jak organizacja szkoleń dla pracowników czy grupowe zakupy licencji na systemy bezpieczeństwa teleinformatycznego, a także grupowe zarządzanie tymi systemami. Niestety, banki członkowskie nie zawsze korzystają z tej oferty. – Jako bank zrzeszający nie mamy takiej siły, jak firmy IT obecne na rynku. (…) Być może z tej przyczyny zainteresowanie tym, co robimy jest stosunkowo niewielkie – zaznaczył przedstawiciel BPS.

Z kolei Paweł Masadyński z SGB zwrócił uwagę na konieczność przedefiniowania podejścia do bezpieczeństwa. – Musimy mieć nowe podejście. Wiąże się to z nowymi kadrami bankowców. Widzimy jednak ryzyko – tych kadr nie ma na rynku – zaznaczył.

Jaką rolę w zwiększaniu bezpieczeństwa teleinformatycznego banków odgrywa ZBP? – Bezpieczeństwo działalności bankowej w zakresie teleinformatycznym jest priorytetem – podkreślił wiceprezes Mieczysław Groszek. Wymienił też niektóre aktywności ZBP w tym zakresie: to m.in. wymiana informacji o zagrożeniach, udział w ćwiczeniach Cyber Exe pokazujących stan zaawansowania sektora bankowego we wdrażaniu systemów bezpieczeństwa czy najnowszy projekt cybertarczy. Ważne jest też, aby wymieniać się doświadczeniami – do czego dochodzi na licznych konferencjach organizowanych lub współorganizowanych przez ZBP, takich jak Forum Bezpieczeństwa Banków, IT@BANK czy właśnie Forum Technologii Bankowości Spółdzielczej. Niezwykle istotnym zagadnieniem podejmowanym przez ZBP jest edukacja klientów banków w zakresie bezpieczeństwa korzystania z bankowości elektronicznej.

Na problemy związane z nikłą świadomością klientów banków zwrócił również uwagę Krzysztof Góral. – Klient to  najsłabsze ogniwo (…) jego wiedza o rozwiązaniach, z jakich korzysta jest naprawdę mała – zaznaczył przedstawiciel KNF.

Karol Jerzy Mórawski