Cyberbezpieczeństwo – priorytet dla sektora bankowego
W dobie cyfryzacji inwestycje w cyberbezpieczeństwo są dla banków niezbędne. Wraz z rozwojem bankowości internetowej banki oraz ich klienci stają się atrakcyjnym celem dla cyberprzestępców. Ataki, takie jak phishing, ransomware czy malware stają się coraz bardziej zaawansowane i niebezpieczne.
Wdrażanie zaawansowanych technologii, takich jak sztuczna inteligencja, blockchain czy chmura obliczeniowa wprowadza nowe ryzyka, które wymagają odpowiednich zabezpieczeń oraz wyszkolonych pracowników. Dodatkowo, banki przechowują duże ilości wrażliwych danych finansowych swoich klientów. Naruszenie bezpieczeństwa tych informacji może prowadzić do utraty zaufania klientów oraz poważnych konsekwencji prawnych. Banki i instytucje finansowe posiadają złożoną infrastrukturę IT, która musi być odpowiednio opisana oraz zabezpieczona, należy również pamiętać o całym łańcuchu dostaw, gdyż często systemy bankowe są połączone z usługami firm trzecich. Integracje takie zapewniają niezbędne dla banku oraz klientów funkcjonalności, ale także otwierają nowe wektory ataku. Zapewnienie kompleksowego bezpieczeństwa w całej infrastrukturze wymaga zaawansowanych metod monitorowania i zarządzania zagrożeniami oraz podatnościami.
Globalizacja sprawia, że banki działają w wielu jurysdykcjach, co naraża je na różnorodne ryzyka związane z cyberbezpieczeństwem. Wymaga to globalnego podejścia do zabezpieczeń i zgodności z lokalnymi przepisami. Wiele krajów wprowadza coraz bardziej rygorystyczne przepisy dotyczące ochrony danych i cyberbezpieczeństwa, takie jak RODO/GDPR (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych), DORA – Digital Operational Resilience Act (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego) czy NIS2 (Network and Information Security Directive 2) w Unii Europejskiej. Organizacje muszą spełniać te wymogi, aby uniknąć kar finansowych i utraty licencji operacyjnych. O ile RODO (GDPR) funkcjonuje w przestrzeni publicznej od wielu lat, a zmiany i uregulowania z tym związane zostały odpowiednio zakomunikowane i wdrożone, to pozostałe regulacje stanowią spore wyzwanie dla przedsiębiorstw oraz instytucji.
Regulacje NIS2 (Network and Information Security Directive 2) oraz DORA (Digital Operational Resilience Act) stanowią kluczowe elementy ram prawnych, które mają na celu wzmocnienie cyberbezpieczeństwa i odporności operacyjnej w sektorze bankowym oraz szerzej – w sektorze finansowym na terenie Unii Europejskiej. NIS2 jest nowelizacją dyrektywy NIS z 2016 roku i została wprowadzona w celu podniesienia poziomu bezpieczeństwa sieci i systemów informacyjnych w kluczowych sektorach gospodarki, w tym w sektorze bankowym. Nowa dyrektywa rozszerza zakres podmiotów objętych regulacjami, wprowadzając bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem cybernetycznym, raportowania incydentów oraz współpracy międzynarodowej. NIS2 zobowiązuje instytucje finansowe do stosowania odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia swoich systemów oraz zapewnienia ciągłości działania, co jest kluczowe w kontekście stale rosnącego zagrożenia cyberatakami. Instytucje finansowe są zobligowane do prowadzenia regularnych ocen ryzyka, wdrażania środków zapobiegawczych oraz zarządzania incydentami na poziomie strategicznym. Jednym z głównych aspektów jest również obowiązek raportowania poważnych incydentów do odpowiednich organów nadzorczych, co ma na celu poprawę reakcji na zagrożenia w czasie rzeczywistym oraz minimalizację ich skutków. DORA, czyli Akt o Cyfrowej Odporności Operacyjnej, uzupełnia regulacje NIS2, koncentrując się na zapewnieniu odporności operacyjnej sektora finansowego na zakłócenia technologiczne. DORA wprowadza jednolite zasady dotyczące zarządzania ryzykiem związanym z technologiami informatycznymi, w tym wymagania dotyczące testowania systemów, zarządzania dostawcami usług IT, a także obowiązki w zakresie raportowania incydentów cybernetycznych. Ważnym elementem DORA jest wymóg ciągłej analizy ryzyka i zdolności do szybkiego przywrócenia działania kluczowych usług po wystąpieniu incydentu. Akt ten ma na celu nie tylko ochronę przed zagrożeniami, ale również zapewnienie, że instytucje finansowe będą w stanie szybko i skutecznie reagować na potencjalne kryzysy technologiczne, minimalizując wpływ na stabilność finansową. Razem, NIS2 i DORA tworzą kompleksowy system regulacji, który wzmacnia cyberbezpieczeństwo i odporność operacyjną sektora bankowego w Europie. Implementacja tych regulacji nie tylko podnosi poziom ochrony przed zagrożeniami cybernetycznymi, ale także zwiększa zaufanie klientów do instytucji finansowych, co jest kluczowe dla utrzymania stabilności całego sektora. Wysoki poziom cyberbezpieczeństwa może stanowić przewagę konkurencyjną. Klienci coraz bardziej zwracają uwagę na bezpieczeństwo swoich danych, a banki, które inwestują w zaawansowane systemy ochrony, mogą zyskać przewagę nad konkurencją.
Regulacje wprowadzane są nie tylko na poziomie Unii Europejskiej. Także poszczególne kraje zwracają dużą uwagę na rosnące zagrożenia cybernetyczne. Polska, przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa, wprowadza obowiązki dla operatorów usług kluczowych, do których zaliczają się także banki. Zgodnie z ustawą, banki są zobowiązane do wdrożenia systemów zarządzania ryzykiem, które muszą uwzględniać specyfikę cyberzagrożeń. Ponadto, instytucje te muszą współpracować z krajowymi i międzynarodowymi organami ds. cyberbezpieczeństwa oraz regularnie raportować incydenty. Ustawa wymaga, aby operatorzy usług kluczowych realizowali obowiązki na trzech podstawowych płaszczyznach:
- Zapewnienie ciągłości działania poprzez identyfikację i ocenę zagrożeń, wdrażanie środków ochronnych oraz utrzymanie odpowiednich zasobów do reakcji na incydenty.
- Raportowanie incydentów do właściwych organów, takich jak CERT Polska, co jest kluczowe dla zwiększenia odporności całego sektora na zagrożenia.
- Współpraca z organami krajowymi odpowiedzialnymi za cyberbezpieczeństwo, co obejmuje udostępnianie informacji na temat zagrożeń oraz wspólne działania na rzecz poprawy bezpieczeństwa w cyberprzestrzeni.
Implementacja nowych regulacji stanowi znaczące wyzwanie dla sektora bankowego. Banki muszą nie tylko dostosować swoje wewnętrzne procedury i systemy do wymogów prawnych, ale także zarządzać skomplikowaną siecią zależności z dostawcami zewnętrznymi, partnerami oraz klientami. Jednym z największych wyzwań jest koszt wdrożenia nowych regulacji. Przestrzeganie przepisów NIS2, DORA i KSC wymaga znacznych nakładów finansowych na modernizację systemów IT, szkolenia personelu oraz współpracę z zewnętrznymi specjalistami. W szczególności banki muszą inwestować w technologie do monitorowania zagrożeń, narzędzia do analizy incydentów oraz systemy raportowania. Dostosowanie infrastruktury IT do wymagań regulacyjnych może być szczególnie kosztowne dla mniejszych banków i instytucji finansowych, które dysponują ograniczonymi zasobami. Kolejnym istotnym aspektem jest zapotrzebowanie na wykwalifikowanych pracowników. Wymogi związane z NIS2, DORA i KSC nakładają na banki obowiązek posiadania wyspecjalizowanych zespołów ds. cyberbezpieczeństwa, które będą w stanie nie tylko reagować na incydenty, ale także proaktywnie zarządzać ryzykiem. Rekrutacja, szkolenie i utrzymanie takich zespołów jest wyzwaniem, zwłaszcza w obliczu globalnego niedoboru specjalistów w dziedzinie cyberbezpieczeństwa. Banki muszą także zarządzać złożonością regulacyjną, która wynika z konieczności zgodności z kilkoma różnymi aktami prawnymi, często o nieco odmiennych wymaganiach. Integracja wymogów NIS2, DORA i KSC w spójne ramy zarządzania ryzykiem wymaga precyzyjnego planowania i ciągłej oceny zgodności. Dodatkowo, konieczność regularnych audytów i testów systemów stawia przed bankami dodatkowe wyzwania związane z zasobami i czasem. Kolejną kwestią jest zmienność zagrożeń związanych z cyberbezpieczeństwem. Środowisko cyberzagrożeń jest niezwykle dynamiczne, co powoduje, że regulacje również muszą być elastyczne i aktualizowane. Banki muszą być w stanie szybko adaptować swoje strategie i środki zaradcze do nowych typów ataków oraz zmieniających się wymagań prawnych. Z tego powodu konieczne jest utrzymanie ciągłego monitoringu zmian legislacyjnych oraz stałe doskonalenie procedur i narzędzi.
Wymogi regulacyjne nakładają również obowiązki na banki w zakresie zarządzania relacjami z dostawcami usług IT. Dostosowanie do regulacji takich jak NIS2, DORA i UKSC wymaga od banków nie tylko wewnętrznego zarządzania ryzykiem, ale także nadzoru nad podmiotami zewnętrznymi, z którymi współpracują. Jednym z kluczowych aspektów jest konieczność zawierania umów z dostawcami, które uwzględniają wymogi regulacyjne dotyczące cyberbezpieczeństwa. Organizacje muszą zapewnić, że ich dostawcy spełniają określone standardy bezpieczeństwa, są zdolni do raportowania incydentów oraz prowadzenia audytów zgodności. Kontrakty muszą jasno określać odpowiedzialności obu stron w zakresie zarządzania ryzykiem cybernetycznym oraz procedur postępowania w razie incydentu. Banki są zobowiązane do prowadzenia regularnych ocen bezpieczeństwa dostawców. Obejmuje to zarówno wstępne oceny przed rozpoczęciem współpracy, jak i cykliczne audyty w trakcie jej trwania. Na przykład w kontekście DORA, banki muszą zapewnić, że dostawcy kluczowych usług IT posiadają adekwatne systemy zarządzania ryzykiem oraz są w stanie szybko i skutecznie reagować na zagrożenia. Niewystarczająca kontrola nad dostawcami może prowadzić do poważnych konsekwencji, w tym odpowiedzialności prawnej i finansowej za naruszenia bezpieczeństwa. Kolejnym ważnym aspektem jest zarządzanie ryzykiem w łańcuchu dostaw. Organizacje muszą zidentyfikować wszystkie podmioty zaangażowane w dostarczanie usług i produktów IT oraz ocenić ryzyko związane z każdym z nich. Należy uwzględnić nie tylko bezpośrednich dostawców, ale także ich podwykonawców. Zgodnie z regulacjami, firmy podlegające im powinny posiadać mechanizmy minimalizujące ryzyko związane z łańcuchem dostaw, takie jak segmentacja sieci, redundancja systemów oraz plany ciągłości działania. Regulacje promują również rozwój współpracy pomiędzy instytucjami finansowymi a dostawcami usług IT. Dobra komunikacja i partnerstwo oparte na zaufaniu są kluczowe dla skutecznego zarządzania ryzykiem.
Niezgodność z regulacjami takimi jak DORA, UKSC, RODO czy NIS2 może prowadzić do poważnych konsekwencji prawnych oraz finansowych dla instytucji bankowych. Przede wszystkim, brak spełnienia wymogów dotyczących zarządzania ryzykiem, ochrony danych osobowych oraz raportowania incydentów cybernetycznych może skutkować nałożeniem wysokich kar pieniężnych. Za naruszenie RODO banki mogą zostać ukarane grzywną do 20 milionów euro lub 4% rocznego globalnego obrotu, w zależności od tego, która kwota jest wyższa. Podobnie, nieprzestrzeganie NIS2 może prowadzić do sankcji finansowych, a także do nałożenia obowiązku wdrożenia odpowiednich środków naprawczych pod nadzorem organów regulacyjnych. Dodatkowo, DORA przewiduje kary za brak odpowiednich mechanizmów zarządzania ryzykiem cyfrowym i testowania odporności operacyjnej, co może nie tylko wpłynąć na kondycję finansową instytucji, ale również zaszkodzić jej reputacji na rynku. Konsekwencje te mają na celu zmobilizowanie instytucji finansowych do priorytetowego traktowania kwestii cyberbezpieczeństwa i zapewnienia zgodności z obowiązującymi regulacjami.
W Polsce na przestrzeni ostatnich lat na banki nałożono kilka znaczących kar związanych z naruszeniami regulacji dotyczących ochrony danych osobowych, przeciwdziałania praniu pieniędzy oraz bezpieczeństwa informacji. Polskie organy regulacyjne coraz intensywniej monitorują przestrzeganie przepisów dotyczących ochrony danych i bezpieczeństwa w sektorze bankowym, a banki, które nie spełniają wymogów, muszą liczyć się z surowymi konsekwencjami finansowymi i reputacyjnymi.
Autorzy:
Agata Mizera, starsza menedżerka w zespole Cybersecurity, Deloitte
Michał Sosinka, partner associate w zespole Cybersecurity, Deloitte
Szymon Mozel, partner associate w zespole Digital Controls, Deloitte
Artykuł pochodzi z "Głosu Banków Spółdzielczych" 4/2024.