UKNF o nowej metodyce BION w kontekście ryzyk IT i cyberbezpieczeństwa banków

Obowiązków z pewnością będzie przybywać, więc istotne będzie dobre zarządzanie ewentualnymi lukami i zależnościami pomiędzy poszczególnymi regulacjami. To jednak w przyszłości. Warto też pamiętać, że choć metodyka BION jest kierowana do banków, to jest to najwyższy standard, który może, przy proporcjonalnym podejściu, stanowić dobry punkt wyjścia dla innych – mniej skomplikowanych – podmiotów.

Regulator będzie oceniał nie tylko faktyczne, ale i potencjalne narażenie banku na określone ryzyka IT

A jak dzisiaj Urząd podchodzi do kwestii zarządzania ryzykami IT? UKNF wskazuje, że badanie nadzorcze w tym obszarze będzie przeprowadzane m.in. w oparciu o wytyczne EBA w sprawie ryzyk ICT, co skutkuje tym, że regulator będzie oceniał nie tylko faktyczne, ale i potencjalne narażenie banku na określone ryzyka IT. Będzie oczywiście przy tym brał pod uwagę profil ryzyka IT charakterystyczny dla danego podmiotu.

Sam profil ryzyka dla danego banku jest określany na bazie szeregu informacji, do których należą m.in.:

1.    Potencjalny wpływ znacznych zakłóceń systemów IT danego banku dla systemu finansowego, np. pełnienie ważnej roli agenta rozliczeniowego dla systemu płatności;

2.    Narażenie banku na ryzyka ICT ryzyko dostępności i ciągłości, wynikających z zależności internetowych, wysokiego poziomu przyjętych innowacyjnych rozwiązań IT lub innych biznesowych kanałów dystrybucji, które mogą uczynić z banku podatny cel cyberataków – to jest szczególnie ciekawy punkt z punktu widzenia challenger banków oraz fintechów;

3.    Narażenie banku na ryzyka ICT oraz bezpieczeństwa wynikające z kompleksowości lub – uwaga – legacy systems, tutaj nazwanych przestarzałymi systemami IT;

4.    Wprowadzanie istotnych zmian do systemów IT lub komórek IT banku – czyli transformacja cyfrowa z prawdziwego zdarzenia;

5.    Korzystanie z outsourcingu usług IT;

6.    Stosowanie agresywnych działań mających na celu ograniczenie kosztów IT – to ciekawe…;

7.    Lokalizacja ważnych operacji lub centrów danych w aspekcie narażenia m.in. na niestabilność polityczną czy klęski żywiołowe;

8.    Poważne incydenty operacyjne, bezpieczeństwa czy fraudy płatnicze;

9.    Poważne incydenty cybersecurity.

Jest nieźle. Kilka ciekawych punktów mamy i z pewnością powinniśmy uwzględnić je przy ocenie profilu naszego ryzyka IT i mapowania krytycznych procesów. Szczególną uwagę należy zwrócić na kwestie związane ze wspominanymi już legacy systems czy innowacyjnymi rozwiązaniami.

Nie jest to do końca jasne, więc tym większą uwagę należy do tego przyłożyć.

Jeżeli chodzi o same wytyczne dotyczące oceny ryzyka operacyjnego i ryzyka IT, to znajdziemy je w załączniku 1 do metodyki (część E i F) oraz załączniku 2 w części E.

Co tam na nas czeka? To oczywiście nie jest proste pytanie i odpowiedź, bowiem wszystko zależy od tego na jakiej ocenie nam zależy. Zakładając jednak, że bankowi zależy na najwyższej ocenie ‒ do spełnienia będzie cała „plejada” obowiązków. To nie tylko strategia lub polityka IT, ale także jasne procedury i rozwiązania organizacyjne. 

Wymaga się przykładowo posiadania tzw. SOC (Security Operations Center), działającego w trybie ciągłym czy specjalnych procedur w zakresie outsourcingu, w tym outsourcingu chmurowego, a wszystko to podlega regularnemu audytowi (zewnętrznemu).

W zakresie samego poziomu ryzyka wymogi są równie surowe. UKNF oczekuje tutaj, że czynniki ryzyka w tym zakresie charakteryzują się wysoką stabilnością w czasie, przy jednocześnie niskim poziomie dotkliwości, a sam sposób prowadzenia działalności nie generuje ryzyka dla banku w kontekście strat.

Co to oznacza w praktyce? Wcale nie to, że określone incydenty się nie zdarzają, bo to zwyczajnie niemożliwe. Chodzi tutaj raczej o szybkie eliminowanie skutków tych incydentów, ale także – choć nie wybrzmiało to wprost – zarządzanie komunikacją w tym zakresie (również w kontekście CSIRT).

Istotne jest więc wprowadzenie efektywnego procesu na przepływ informacji i reagowania na incydenty. Szczegółowe wymagania określają zarówno już wspomniane wytyczne EBA w sprawie ryzyk ICT, ale także rekomendacja D czy przepisy ustawy o krajowym systemie cyberbezpieczeństwa, ale także wytyczne EBA w sprawie raportowania incydentów „pod” PSD2.

To, co wyraźnie widać w najnowszej metodyce BION ‒ to oczywiście nacisk na zarządzanie ryzykami ICT, choć nadal nie znajdziemy tam pojęcia „odporności cyfrowej”, która staje się kluczowa w całym sektorze finansowym. Ogólny przekaz jest taki – musicie myśleć i działać wyprzedzająco.

Strategie, polityki i procedury są ważne, ale równie – bardziej? – istotne jest ich operacyjne funkcjonowanie. Liczy się skuteczność i wyciąganie wniosków. To zresztą właśnie zasada ciągłego uczenia się jest kluczowa w kontekście odporności cyfrowej. I raczej się to nie zmieni.

Nie zapomnijmy także o jeszcze jednej kwestii – analizując ryzyka IT, pamiętajmy także o ryzykach operacyjnych, które znajdziemy w odrębnych rubrykach metodyki.