Zagrożenia nie znikną, dlatego musimy robić swoje
Czym zajmuje się Bankowe Centrum Cyberbezpieczeństwa ZBP? Przecież w każdym banku są takie komórki lub zespoły zajmujące się cyberbezpieczeństwem.
– Przede wszystkim jesteśmy po to, by dać bankom perspektywę dotyczącą zagrożeń w skali całego rynku i umożliwić wymianę informacji. Takiej perspektywy banki nie są w stanie uzyskać samodzielnie. Tworzymy i nadzorujemy – wspólnie z naszymi partnerami z Centrum Procesów Bankowych i Informacji – systemy wymiany informacji. Dotyczą one zarówno oszustw, jak i zagrożeń, wycieków danych, ataków DDoS czy podatności w oprogramowaniu. Dzięki temu, że jesteśmy takim integratorem środowiska w obszarze bezpieczeństwa, kierujemy naszą komunikację do odpowiednich komórek w bankach, jesteśmy w stanie skutecznie tą informacją się wymieniać i upewniać się, że ona trafia do właściwych adresatów po to, aby rzeczywiście była najbardziej skuteczna. Również jako BCC stanowimy pojedynczy punkt kontaktowy dla organów ścigania, a także pojedynczy punkt kontaktowy otwierający drogę do kontaktu z całym sektorem bankowym.
To z grubsza tyle, jeśli chodzi o współpracę operacyjną. Natomiast jeśli chodzi o współpracę na poziomie eksperckim, to prowadzimy też wiele grup roboczych, forów w ramach gremium, które się nazywa Komitet Cyberbezpieczeństwa Banków, i tu odpowiedni specjaliści z różnych zakresów, z instytucji współtworzących komitet, pracują ze sobą zarówno jeśli chodzi o obszar wymiany informacji o dostrzeganych zagrożeniach w cyberprzestrzeni, jak też w ramach poszczególnych forów, czyli np. Forum Bezpieczeństwa Transakcji Elektronicznych czy Forum Bezpieczeństwa Transakcji Kartowych. To są gremia, gdzie dedykowani specjaliści omawiają zagadnienia dotyczące poszczególnych kanałów i poszczególnych obszarów działalności banków.
Krótko mówiąc, stanowimy platformę i punkt styku pomiędzy komórkami bezpieczeństwa banków. Naszym celem jest zarówno wzmacnianie czy rozszerzanie świadomości zagrożeń, a także ich aktualizowanie, jak też współpraca operacyjna i koordynowanie tej współpracy na styku sektora bankowego i organów ścigania.
Tak trochę przekuwając to w jedno proste zdanie, to wygląda na to, że wy nikogo nie zastępujecie na rynku i nikt nie jest w stanie zastąpić was.
– Myślę, że to dobra konkluzja. My oczywiście nie jesteśmy w stanie zastąpić działów bezpieczeństwa, działów antyfraudowych w bankach, ale jesteśmy w stanie bardzo im pomagać na bieżąco. Dzięki perspektywie, którą mamy, perspektywie sektorowej, a także międzysektorowej. Jednocześnie dążymy do tego, aby coraz ściślej współpracować zarówno z sektorem telekomunikacyjnym, czy z sektorem przedsiębiorstw elektronicznych, jak też z sektorem niebankowych dostawców usług płatniczych. Ten aspekt naszej działalności jest z definicji trudny do osiągnięcia dla pojedynczego banku, bo dużo łatwiej jest integrować banki wspólnie w ramach takiego właśnie zespołu, jakim jest Bankowe Centrum Cyberbezpieczeństwa i Komitet Cyberbezpieczeństwa tak, aby tę współpracę odpowiednio kanalizować.
Dużo macie roboty?
– Tak, zarówno regulacyjnej, jak i operacyjnej. Ja akurat bardziej zajmuję się pracą regulacyjną, ponieważ my także opiniujemy projekty aktów prawnych, tworzymy rekomendacje dotyczące wdrożenia poszczególnych aktów prawnych. Bardzo dużo pracy mieliśmy w związku z wdrożeniem rozporządzenia DORA, i tutaj w różnych aspektach wspieraliśmy banki, tworząc chociażby rekomendacje czy treści klauzul umownych zgodnych z DORA. Teraz akurat analizujemy potencjalny wpływ rozporządzenia Cyber Resilience Act (CRA) na sektor bankowy i też w tym zakresie jesteśmy w dyskursie z regulatorem.
Wielokrotnie przy różnych okazjach podkreślamy, że sektor bankowy jest nieustannie atakowany, zarówno jako instytucje finansowe, jak i jako infrastruktura bezpieczeństwa, niezwykle krytyczna. Niestety coraz częściej także my, jako indywidualni klienci, jesteśmy atakowani przez oszustów, i to też wpływa na bezpieczeństwo sektora finansowego. Przestępcy organizują często masowe kampanie oszukańcze, wyłudzając środki od klientów różnymi sposobami. Ich motywacja jest nie tylko finansowa, ale także ukierunkowana na wywołanie paniki, chaosu i niepewności.
Dlatego nieustannie aktualizujemy ten opis zagrożeń i te wytyczne, które mają chronić banki przed tym, aby nie padały ofiarami ataków, które zablokowałyby dostęp klientów do ich usług. Niestety coraz częściej takie nieskuteczne próby ataków się zdarzają, co też wiąże się z aktualną sytuacją geopolityczną, bo zwykle te ataki są motywowane czy inspirowane przez różnego rodzaju grupy, można powiedzieć nawet dywersyjne.
Powiedział pan o tym, że są ataki nastawione na wywołanie zamieszania czy paniki. Użył pan również słowa dywersyjne. To wszystko wpisuje się właściwie w słowo terroryzm. Używacie tego określenia, czy raczej go unikacie?
– Słowo terroryzm jest bardzo daleko idące, ale myślę, że w dobie dzisiejszych dynamicznie zmieniających się zagrożeń banki rzeczywiście są prawnie zobligowane do tego, aby przygotowywać się na najgorsze rodzaje zagrożeń, w tym związane z potencjalną wojną, konfliktem zbrojnym czy hybrydowym. W tym zakresie również przygotowaliśmy stosowne rekomendacje dla nich, m.in. dotyczące zachowania ciągłości działania banków w obliczu międzynarodowego konfliktu zbrojnego lub wojny hybrydowej. Zmotywowała nas do tego trwająca wojna, aby na bieżąco takie zagrożenia analizować. Częścią tych rekomendacji jest właśnie opis zagrożeń, które można kwalifikować jako terroryzm.
Czy rzeczy, którymi się zajmujecie, wynikają tylko z ustawodawstwa, regulacji i zagrożeń pojawiających się na rynku, czy pojawiają się także tematy, które powstają z waszej inicjatywy lub wynikają z zapotrzebowania banków?
– Oczywiście jesteśmy otwarci na sygnały pochodzące z banków. W ramach dyskusji grup roboczych, które prowadzimy, dostajemy różnego rodzaju sygnały od naszych członków, którzy wskazują nam określone zagadnienia i oczekują, że się nimi zajmiemy. Oczekują później efektów w postaci rekomendacji, wytycznych czy wspólnego stanowiska.
Pracujecie na froncie, jest jakaś nadzieja na zwycięstwo?
– To jest trudne pytanie. Odpowiedź wymaga zdefiniowania zwycięstwa. Czy zwycięstwem byłoby pozbycie się jakichkolwiek zagrożeń dla sektora bankowego? Wydaje mi się, że to raczej nie jest możliwe. Jeżeli byśmy definiowali zwycięstwo jako upewnienie się, że sektor radzi sobie na bieżąco z powstającymi zagrożeniami, czy upewnienie się, że sektor bankowy jest przygotowany na nowe zagrożenia i umie się adaptować, to według mnie zwycięstwo jest jak najbardziej możliwe. Szereg małych bądź większych zwycięstw tego rodzaju już odnieśliśmy. Pracujemy przede wszystkim nad tym, aby sektor był zdolny do adaptacji do nowych zagrożeń, bo to jest dzisiaj najważniejsze. Oznacza to, że krajobraz zagrożeń zmienia się tak szybko, że trzeba przygotowywać procesy w taki sposób, aby mogły łatwo, szybko się zmieniać i adaptować się do nowych zagrożeń. I tutaj myślę, że rzeczywiście mamy szansę na zwycięstwo. Natomiast, niestety, te zagrożenia nie znikną. Mogą się zmniejszyć i wolniej zmieniać, ale tego nie możemy zakładać. Musimy po prostu robić swoje dla sektora i dla naszych klientów.