Mamy do czynienia z narracją, przedstawianą jako prokonsumencka, która w swej istocie wyrządza samym konsumentom największą krzywdę. Różnego rodzaju podmioty, w tym m.in. kancelarie odszkodowawcze, a choćby niektórzy politycy przekonują ludzi, iż odpowiedzialność za ewentualne straty spowodowane oszustwem ponosi bank. Także w przypadkach, gdy skuteczne oszustwo było wynikiem nieprzemyślanych działań samego klienta. Powoduje to, iż trudniej jest uzmysłowić ludziom potrzebę zachowania szczególnej ostrożności czy pilnowania, co się dzieje z ich danymi osobistymi lub loginami i hasłami do różnych systemów, nie tylko bankowych – przestrzega Adam Capała, IT Infrastructure and Security Bureau Director w Banku BPH. Rozmawiał z nim Karol Mórawski.
Całkiem niedawno minęło sto dni, od kiedy instytucje finansowe muszą w pełni stosować zapisy rozporządzenia DORA. Owe sto dni stanowi symboliczną cezurę nie tylko dla Napoleona, jak z tej perspektywy możemy ocenić samą regulację z punktu widzenia jej implementacji? Czy faktycznie mamy do czynienia z jakościową zmianą w sferze cyberodporności?
– DORA była pierwszą inicjatywą w tak szerokim zakresie porządkującą cały obszar operacyjnej odporności cyfrowej instytucji finansowych. Wcześniej problematyka ta była głównie przedmiotem regulacji nadzorczych, takich jak Rekomendacja D czy tzw. komunikat chmurowy KNF. w tej chwili mamy do czynienia z jednym aktem prawa, który kompleksowo reguluje tę sferę, poczynając od wszelkiego rodzaju analiz ryzyka, identyfikacji krytycznych, istotnych bądź kluczowych procesów, dostawców IT i dostarczanych przez nich rozwiązań, aż do bieżącego nadzoru nad cyberbezpieczeństwem i odpornością cyfrową instytucji finansowych. Tak szeroki zakres obowiązywania nowego prawa wiązał się oczywiście z licznymi wyzwaniami w toku jego wdrażania w praktyce, tym bardziej iż do chwili obecnej wiele kwestii pozostaje wciąż nieuregulowanych. Mam tu na myśli choćby wydawane na podstawie DORA Regulacyjne Standardy Techniczne (ang. RTS), które nie zostały jeszcze w pełni ogłoszone. Przykładem może być najważniejszy RTS dotyczący nadzoru nad poddostawcami. Prace nad nim zmierzają ku finałowi, jednak wciąż oczekuje się na akceptację ze strony Komisji Europejskiej, po odrzuceniu przez nią wcześniejszej wersji. Brakuje również aktów prawa krajowego, które potencjalnie mogłyby precyzować to, czego nie uwzględniono w rozporządzeniu, które co do zasady stosuje się bezpośrednio.
To swego rodzaju znak czasów. W przypadku RODO również mieliśmy do czynienia z opóźnieniami, czekaliśmy na RTS-y, mając tak naprawdę obowiązujący akt prawny…
– Niestety, również w przypadku DORA może się okazać, iż rozwiązania wdrożone przez instytucje finansowe na podstawie samego tylko tekstu rozporządzenia będą musiały ulec modyfikacji po ogłoszeniu RTS-ów. Ich twórcy mogą wszak oczekiwać spełnienia dodatkowych wymagań lub całkiem innego podejścia. Jest to istotne ryzyko, niestety musimy się z nim pogodzić.
Koncepcja doprecyzowywania aktów prawnych dzięki RTS wiąże się z trendem neutralności technologicznej prawa, notabene zapoczątkowanym przez RODO. Czy z obecnej perspektywy można przyjąć, iż idea ta się sprawdziła, czy też mamy do czynienia z pewnego rodzaju utopią, co zdawałyby się potwierdzać powtarzające się przy kolejnych regulacjach opóźnienia z wdrażaniem standardów technicznych?
– Wiele będzie zależało od podejścia regulatora. Pytanie, czy przyjmie on sztywne ramy, trudne do modyfikacji, czy jednak będzie respektować pewną elastyczność, będącą nieodzownym warunkiem neutralności technologicznej. Mogę sobie wyobrazić, iż część spośród 19 usług ICT, podlegających pod DORA, będzie odstawała od rzeczywistości, wymagając zmian. Przykładem może być tzw. usługa ICT – S13, związana z udzielaniem licencji na usługi ICT wspierające funkcje istotne bądź krytyczne. Korzystamy z usług dostawców pochodzących z Niemiec. Tamtejszy nadzorca rynku finansowego wydał stanowisko, iż samo udzielenie licencji nie podlega pod DORA, o ile nie wiąże się z tym dodatkowe wsparcie. W konsekwencji spotykamy się wręcz z odmową podpisania aneksów do umów wprowadzających polskie rozumienie wymagań DORA przez współpracujące z bankami firmy ICT z tej jurysdykcji. Jesteśmy więc na takim etapie implementacji rozporządzania, iż dopiero faktyczne kontrole nadzorcze przesądzą, czy to jest słuszne podejście, czy nie. Dlatego instytucje finansowe dokumentują całą historię kontaktów, żeby wykazać, iż podejmowały próby aneksowania umów w zgodzie z lokalną interpretacją zapisów rozporządzenia DORA.
Odrębną specyfiką nowych regulacji jest przenoszenie na banki w pewnym stopniu roli nadzorcy wobec swych partnerów. Przykładem jest obszar ESG, również DORA nakłada na banki określone obowiązki w zakresie zarządzania ryzykiem dostawców IT, co wychodzi poza standardowy zakres umów biznesowych…
– Przynajmniej w tej części, która dotyczy usług ICT wspierających funkcje istotne bądź krytyczne. Zgodzę się z tym, iż to jest próba dużo głębszego kontrolowania rynku ICT, przy czym rola kontrolującego przypaść ma w udziale de facto instytucjom finansowym. To one są zobligowane, żeby udowodnić efektywne nadzorowanie i kontrolowanie usług, w szczególności wspierających funkcje istotne lub krytyczne. Przy czym powstałe z tego tytułu koszty poniesie w ostatecznym rozrachunku podmiot finansowy. Podczas negocjowania aneksów dostrzegliśmy prawidłowość, iż dostawcy usług ICT zastrzegają sobie możliwość przerzucenia na swych klientów wszelkich wydatków poniesionych w celu spełnienia wymagań DORA.
Nieco wcześniej niż DORA zaczęły obowiązywać reguły NIS2, które co do zasady nie obejmowały sektora bankowego, poza wszakże licznymi wyjątkami, kiedy jednak miały zastosowanie wobec instytucji finansowych…
– o ile bank jest identyfikowany jako podmiot krytyczny albo świadczący usługi krytyczne w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa, to automatycznie podlega również pod NIS2. Także sami dostawcy ICT są obowiązani do stosowania tej regulacji, jeżeli tylko świadczą oni usługi identyfikowane jako krytyczne. Właśnie tutaj wchodzą w grę regulacje Ustawy o Krajowym Systemie Cyberbezpieczeństwa. DORA w dużej mierze uporządkowała nadzór nad łańcuchami dostaw i raportowaniem incydentów, za sprawą NIS2 analogiczny schemat zostaje rozszerzony z sektora finansowego na pozostałe sektory funkcjonowania gospodarki.
W obliczu triumfalnego postępu AI rodzi się pytanie, na ile dotychczasowe podejście do cyberbezpieczeństwa sprawdza się w świecie, w którym możemy niemal perfekcyjnie sfałszować czyjś głos bądź w inny równie zaawansowany sposób podszyć się pod osobę trzecią?
– AI faktycznie niesie za sobą rozliczne ryzyka, przy czym ich głównym czynnikiem są w równym stopniu możliwości, jakie stwarza ta technologia, jak i jej szybkie upowszechnianie się. Do niedawna hakerzy, jak niegdyś kasiarze, byli elitą przestępczego świata, również dlatego, iż byli oni stosunkowo nieliczni i wysoko wykwalifikowani. Dziś z usług typu cybercrime as a service skorzystać może przeciętny użytkownik, co obniża próg wejścia w ten proceder. Biorąc pod uwagę, jak gwałtownie dziś tanieją rozwiązania AI, należy się spodziewać, iż przestępcy będą jednymi z pierwszych beneficjentów tego trendu. Dla instytucji finansowych oznacza to konieczność całkowitego przeorientowania podejścia względem cyberbezpieczeństwa, choćby przez stosowanie – zapoczątkowanej również przez RODO w formule privacy by design – reguły security by design. Troska o bezpieczeństwo musi towarzyszyć na każdym etapie tworzenia produktu, jego wdrażania czy obsługi posprzedażowej. Nie ulega wątpliwości, iż najbliższy rok bądź dwa lata będą swoistym sprawdzianem, który wykaże, na ile skuteczne są zarówno stosowane przez banki narzędzia cybersecurity, również te wykorzystujące AI, jak i polityki bezpieczeństwa.
Rzecz w tym, iż najsłabszym ogniwem całego łańcucha bezpieczeństwa nie są banki, tylko ich klienci. Mało kto usiłuje włamać się do systemu centralnego banku, łatwiej zmanipulować kilkuset konsumentów, żeby pod pretekstem lukratywnej inwestycji dostać się na ich rachunki…
– Jak najbardziej, dlatego integralnym elementem polityki bezpieczeństwa sektora finansowego są kampanie uświadamiające klientów, realizowane tak przez Związek Banków Polskich i Centrum Procesów Bankowych i Informacji, jak i poszczególne banki. W ten sposób tzw. Kowalski otrzymuje kompletną i wiarygodną wiedzę na temat metod stosowanych przez sprawców, jak i bezpiecznego korzystania z usług finansowych. Niepokojącym zjawiskiem jest jednak to, iż równolegle mamy do czynienia z narracją, przedstawianą jako prokonsumencka, która w swej istocie wyrządza samym konsumentom największą krzywdę. Różnego rodzaju podmioty, w tym m.in. kancelarie odszkodowawcze, a choćby niektórzy politycy przekonują ludzi, iż odpowiedzialność za ewentualne straty spowodowane oszustwem ponosi bank. Także w przypadkach, gdy skuteczne oszustwo było wynikiem nieprzemyślanych działań samego klienta. Powoduje to, iż trudniej jest uzmysłowić ludziom potrzebę zachowania szczególnej ostrożności czy pilnowania, co się dzieje z ich danymi osobistymi lub loginami i hasłami do różnych systemów, nie tylko bankowych.
Obok uświadamiania konsumentów niezwykle istotnym środkiem prewencji antyfraudowej jest wymiana informacji, która z uwagi na ponadsektorowy i transgraniczny charakter zagrożeń powinna obejmować jak największe grono podmiotów. Takie bazy danych od lat prowadzi ZBP, niestety prawo wciąż ogranicza dostęp do wielu informacji, pozwalających na skuteczną identyfikację prób oszukańczych…
– Banki, ale także i inne sektory, jak choćby ubezpieczeniowy czy telekomunikacyjny, w celu zapewnienia możliwego maksimum bezpieczeństwa wszystkim uczciwym użytkownikom ich usług powinny mieć zapewniony dostęp do baz wymiany informacji, w których znajdą informacje m.in. o nieuczciwych klientach, fałszywych kontach, wykorzystywanych przez przestępców, czy wreszcie zagrożeniach natury technologicznej, jak schematy cyberataków czy skompromitowane adresy www. Przy wspomnianym wcześniej dynamicznym rozwoju technik związanych z wyłudzeniami, ale również aktywnej współpracy środowisk cyberprzestępców z całego świata, żadna instytucja finansowa, ani jakakolwiek inna, nie jest w stanie samodzielnie stawiać czoła oszustom bądź szantażystom. kooperacja w zakresie dostępności do informacji, niezależnie czy sektorowa, czy ogólnokrajowa, jest bardzo istotna z punktu widzenia nie tylko instytucji finansowych, ale i pozostałych podmiotów, które mogą wnieść swój wkład w obszar cyberbezpieczeństwa. Podam tylko przykład systemu zastrzegania dokumentów, który zabezpieczając banki, chroni przede wszystkim konsumenta. jeżeli zablokujemy możliwość posługiwania się cudzym dowodem tożsamości czy kartą kredytową przez oszustów, to w pierwszej kolejności uniemożliwiamy zaciąganie kolejnych zobowiązań finansowych w imieniu osoby, która utraciła wspomniany dokument. W tym kontekście zaangażowanie sektora w tworzenie systemów wymiany informacji i przystępowanie do nich kolejnych banków, jak również równoległe realizowane kampanii edukacyjnych, stanowi najpełniejszą realizację prokonsumenckich postulatów, tak często podnoszonych przez regulatorów.
Zamiast podsumowania jedno krótkie pytanie. Co ma szansę stać się najsilniejszym trendem, jeżeli chodzi o cyberbezpieczeństwo banków w najbliższych latach. Przepisy, technologie?
– Wszystko po trochu. Czeka nas sukcesywna operacjonalizacja i weryfikacja wdrożonych wymagań DORA, doprecyzowanych przez Regulacyjne Standardy Techniczne. To w większym lub mniejszym stopniu obejmie całość usług i procesów realizowanych przez instytucje finansowe i będzie przedmiotem prac wielu zespołów, nie tylko IT, przez kolejne okresy. o ile chodzi o technologię, niezależnie czy będzie to AI, czy jakiekolwiek inne trendy, to musimy być gotowi na permanentny wyścig technologiczny. Wiadomo tylko jedno: przestępcy z pewnością nie odpuszczą, a naszym zadaniem będzie dotrzymywanie im kroku, a choćby podejmowanie działań uprzedzających, by utrzymać i nieustannie zapewniać wysoki poziom bezpieczeństwa banków i ich klientów.
Bank BPH SA jest Partnerem XVIII etapu Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE.
Więcej informacji na stronie: www.dokumentyzastrzezone.pl.
