UKNF: nowe regulacje to ważny krok w stronę cyberodporności sektora bankowego
Przedstawiciel nadzoru zwrócił uwagę na znaczenie takich wydarzeń jak SafeBank w kontekście komunikacji między nadzorem a rynkiem. Ta jest niezbędna zawsze, ale zwłaszcza w aktualnych realiach, gdy przepisy często się zmieniają, a przestępcy chętnie posługują się najnowszymi technologiami.
Sygnały, otrzymywane przez KNF z rynku, pozwalają nadzorowi odczytywać rzeczywiste problemy poszczególnych środowisk i podejmować adekwatne działania, również w sferze komunikacji w obszarach, które budzą największą niepewność.
Bezpieczeństwo jako warunek zaufania do rynku – i rosnąca presja ery cyfrowej
Zapewnienie bezpieczeństwa usług finansowych jest dziś o tyle trudniejszym wyzwaniem, że – jak wskazywał Krzysztof Dąbrowski – w erze cyfrowej bankowość jest z definicji oparta na wygodzie i szybkim, łatwym dostępie do usług, co zwiększa wymogi w obszarze odporności banków na zagrożenia oraz sprawnego powrotu do normalnego funkcjonowania po incydencie.
Sektor finansowy radzi sobie z tym zadaniem bardzo skutecznie, czego paradoksalnym skutkiem jest… skoncentrowanie się przestępców na atakowaniu klientów banków. Tych bowiem znacznie łatwiej zmanipulować, aniżeli złamać zabezpieczenia w postaci bankowych systemów antyfraudowych.
Zdarzają się oczywiście przypadki cyberataków na instytucje finansowe zakończone powodzeniem, ale są to absolutnie incydentalne i jednostkowe przypadki, podkreślał przedstawiciel KNF.
W jego ocenie ryzyko ICT zwiększyło się istotnie w ostatnich kilkunastu latach. Konsekwencją udanego cyberincydentu może być nie tylko wyłudzenie pieniędzy, ale również paraliż operacyjny banku oraz straty wizerunkowe, przekładające się na zaufanie klientów. W skrajnym scenariuszu może dojść nawet do zaprzestania funkcjonowania instytucji.
Rosnący poziom ryzyka ukształtował nowe podejście europejskiego legislatora w zakresie cyberodporności, czego efektem było przygotowanie nowych przepisów, odpowiadających na wyzwania współczesności.
Krzysztof Dąbrowski przypomniał, że sektor funkcjonuje już blisko rok w reżimie DORA, a na horyzoncie są kolejne regulacje: CER i NIS2.
Czytaj także: Outsourcing cyberprzestępczości, czyli hakerzy do wynajęcia
DORA: cztery filary i lekcja z cyberincydentów u dostawców
Reprezentant nadzoru dziękował przedstawicielom branży bankowej za współpracę przy wdrażaniu DORA, przyznając jednocześnie, że nie było to zadanie łatwe, a to z uwagi na krótkie terminy przekazywania danych sprawozdawczych.
Zapowiedział też uruchamianie kolejnych obowiązków w zakresie raportowania, by UKNF dysponował większym zasobem danych ilościowych i jakościowych, co ma pozwolić lepiej profilować działania i koncentrować się na realnych problemach.
Krzysztof Dąbrowski wskazał cztery kluczowe obszary, regulowane przez DORA: zarządzanie ryzykiem ICT, zarządzanie incydentami, testowanie odporności cyfrowej oraz zarządzanie ryzykiem zewnętrznych dostawców.
Szczególnie mocno wybrzmiał ten ostatni wątek: na podstawie danych spływających do CSIRT-u nadzór (UKNF) dochodzi do wniosku, że większość poważnych incydentów, które naruszały ciągłość działania/usług lub poufność danych, miała swoje źródło u dostawców.
Generalnie jednak dla samych banków regulacja DORA nie była rewolucją, lecz raczej podejściem ewolucyjnym, ponieważ sektor już wcześniej miał wysoki poziom zarządzania ryzykiem ICT i cyberbezpieczeństwa, budowany także przez soft law (m.in. rekomendacje).
Idąc tym tropem, jeśli instytucje spełniają wymagania DORA, to wdrożenie NIS2 i CER nie powinno być problemem, lecz należy je traktować w kategorii dalszej ewolucji.
Przedstawiciel UKNF podkreślił, iż nadzór finansowy zabiegał o rolę organu właściwego dla trzech aktów: DORA, NIS2 i CER w sferze bankowości oraz infrastruktury rynku finansowego.
Ulokowanie tych kompetencji w UKNF powinno ograniczyć ryzyko dublowania obowiązków (np. w raportowaniu czy zgłaszaniu incydentów) oraz zapobiegać rozbieżnościom interpretacyjnym na styku regulacji.
Krzysztof Dąbrowski zastrzegł, że na ścieżce legislacyjnej mogą pojawić się zmiany, niemniej UKNF liczy na utrzymanie obecnych założeń projektów.
CER i status operatora infrastruktury krytycznej
W części poświęconej CER Krzysztof Dąbrowski zwrócił uwagę na praktyczny aspekt, który – w jego ocenie – warto widzieć nie tylko jako nowe obowiązki, ale i jako szansę.
Wspomniał doświadczenia z 2022 roku, gdy realny był scenariusz kryzysu energetycznego i okazało się, że banki oraz część kluczowych podmiotów współpracujących z bankami nie mogły liczyć na szczególne traktowanie, bo nie miały statusu operatorów infrastruktury krytycznej.
Według zapowiedzi implementacja CER ma doprowadzić do włączenia „około kilkudziesięciu” podmiotów (szczególnie banków) na listę operatorów infrastruktury krytycznej. Taki status pozwoli na inne traktowanie banków w dostępie do zasobów, ograniczanych w sytuacjach zagrożenia bezpieczeństwa państwa.
Dodatkowo, ten status umożliwi komunikację z właściwymi resortami w zakresie wyłączenia od mobilizacji osób krytycznych dla utrzymania usług i procesów.
Krzysztof Dąbrowski wskazywał, że twórcy regulacji nie przewidywali skali wyzwań wynikających z agresji na Ukrainę i rozwijanej przez Rosję wojny hybrydowej, obejmującej cyberprzestrzeń, domenę fizyczną (dywersja, sabotaż) oraz „wojnę kognitywną” – dezinformację, której celem jest m.in. podkopywanie zaufania do instytucji finansowych i destabilizacja.
W tym ujęciu te trzy akty prawne mają – jak podsumował – dostarczać narzędzi, które pozwolą podejść do odporności kompleksowo, szerzej niż tylko w wymiarze cyfrowej odporności operacyjnej.
