Regulacje

Cyberbezpieczeństwo w sektorze finansowym, czyli bank jako operator usługi kluczowej

Michał Nowakowski

Bezpieczeństwo danych wrażliwych (w tym stanowiących tajemnicę bankową lub zawodową) to obecnie jeden z głównych powodów „regulacyjnego tsunami”, które dotyka m.in. sektor finansowy. Powszechna digitalizacja to z jednej strony ważny krok ku upowszechnieniu usług finansowych wśród najmniej ubankowionych, a z drugiej strony duże zagrożenie ze względu na podatność systemów informatycznych na ataki. Zarówno na poziomie Unii Europejskiej (m.in. Cybersecurity Act), jak i krajowym (ustawa o krajowym systemie cyberbezpieczeństwa – uKSC – implementująca tzw. dyrektywę 2016/1148 – NIS) podejmowane są w związku z tym różne inicjatywy legislacyjne, które mają na celu wzmocnienie odporności tych systemów i zabezpieczenie danych klientów. Banki jako potencjalnie narażone na cyberataki, również muszą stosować różne zabezpieczenia (o czym traktuje m.in. rekomendacja grupy ds. PolishAPI przy Związku Banków Polskich – o której pisałem tutaj), a także spełniać wysokie standardy, jeżeli zostaną zakwalifikowane jako operatorzy usług kluczowych. Na tym drugim aspekcie skupię dzisiaj uwagę. Zaczynamy!

Czym w ogóle jest operator usługi kluczowej? Jest to podmiot, który zgodnie z art. 5 ust. 1 uKSC:

  1. Znajduje się w załączniku nr 1 do uKSC (w przypadku banków jest to sektor bankowości i infrastruktury rynków finansowych);
  2. Mający jednostkę organizacyjną w Polsce i
  3. „uzyskał” decyzję o uznaniu za operatora usługi kluczowej (decyzję wydaje w tym przypadku Komisja Nadzoru Finansowego).

O ile dwie pierwsze przesłanki są w zasadzie „jasne”, to trzeci punkt wymaga wyjaśnienia. Wydanie takiej decyzji jest uzależnione od – poza samą decyzją właściwego organu:

  1. Świadczenia przez podmiot usługi kluczowej (będzie to przykładowo działalność depozytowa);
  2. Tego, że dana usługa jest zależna od systemów informacyjnych oraz
  3. Wystąpienie incydentu (zdarzenia, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo) miałoby istotny skutek zakłócający dla świadczenia tej usługi.

Określenie czy incydent miałby istotny skutek zakłócający odbywa się z uwzględnieniem Rozporządzenia w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (próg odnosi się do wybranych usług kluczowych). W przypadku banków przyjęto kryterium udziału banku istotnego (zgodnie z metodologią określoną w Prawie bankowym – art. 3 pkt 35) w rynku (na pewnym poziomie ogólności można stwierdzić, że musi on wynosić minimum 2%).

Stwierdzenie wystąpienia powyższych przesłanek upoważnia organ (tutaj KNF) do wydania decyzji, która podlega natychmiastowemu wykonaniu. Niezwłocznie po wydaniu decyzji podmiot wpisuje się do wykazu operatorów usług kluczowych prowadzonego przez Ministra Cyfryzacji.

Jakie podstawowe obowiązki?

Te zostały określone w art. 8 i następne uKSC i jest ich całkiem sporo, choć dla banków nie powinny one stanowić „novum” ze względu na wysokie wymagania stawiane już przez regulatora. Wśród najbardziej podstawowych obowiązków operatora usługi kluczowej należy wymienić:

  1. Wyznaczenie point of contact z podmiotami tworzącymi krajowy system bezpieczeństwa
  2. Edukowanie i informowanie użytkowników o zagrożeniach związanych z cyberbezpieczeństwem (takie informacje znaleźć się muszą m.in. na stronie internetowej banku, ale również np. w bankowości internetowej)
  3. Przekazywanie KNF niektórych danych (np. zakończenie świadczenia usługi kluczowej).

Są też bardziej szczegółowe

Bank jako operator usługi kluczowej musi posiadać system zarządzania bezpieczeństwem, który spełnia rygorystyczne wymagania, m.in. w zakresie:

  1. Systematycznego szacowania ryzyka wystąpienia incydentu związanego z cyberbezpieczeństwem;
  2. Wdrożenia odpowiednich środków technicznych i organizacyjnych (te dość dobrze opisuje Rekomendacja D KNF oraz wspomniane już rekomendacje grupy ds. Polish API – warto zajrzeć do tego artykułu) adekwatnych do oszacowanego ryzyka, co obejmuje także fizyczne zabezpieczenie dostępu do infrastruktury, posiadanie odpowiedniego Business Continuity Plan czy realizacja polityki bezpieczeństwa;
  3. Analizowania najnowszych zagrożeń w zakresie cyberbezpieczeństwa i przeprowadzanie testów penetracyjnych, a w stosownych przypadkach testów warunków skrajnych;
  4. Zarządzania incydentami (tutaj pomocne będą Wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa, Komunikat KNF w sprawie raportowania incydentów oraz Wytyczne EBA w sprawie tego samego raportowania);
  5. Zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych oraz
  6. Umożliwienia bezpiecznej komunikacji w ramach krajowej sieci cyberbezpieczeństwa.

W ramach zarządzania incydentami ważne jest przekazywanie stosownych informacji (szczególnie w przypadku incydentów poważnych) do właściwych organów. Przepisy uKSC określają szczegółowe warunki przekazywania tych informacji (w tym sposób oraz zakres niezbędnych danych – jest to jednak temat na odrębny artykuł). Niezwykle ważne będzie też odpowiednia rejestracja i archiwizacja informacji odnośnie wystąpienia incydentu (a także sposobu jego usunięcia i ewentualnego wpływu na użytkowników i/lub ciągłość usługi).

Są też inne obowiązki

Wśród innych obowiązków wymienić należy obowiązek posiadania (i regularnego aktualizowania) dokumentacji dotyczącej cyberbezpieczeństwa. Zakres tej dokumentacji określa Rozporządzenie w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Najważniejsza będzie dokumentacja techniczna i bezpieczeństwa, która mogłaby umożliwić osobom trzeci dostęp do niej i zgromadzonych tam danych. Obejmuje to m.in. dokumentację zarządzania systemem bezpieczeństwa, ochrony infrastruktury czy zarządzania ciągłością działania, ale również dokumenty techniczne specyficzne dla sektora bankowego (płatności). Towarzyszyć jej będą inne dokumenty o charakterze operacyjnym, co obejmuje m.in. politykę bezpieczeństwa, procedury usuwania i zgłaszania incydentów, a także regularnej obsługi infrastruktury i oprogramowania (w tym wprowadzania aktualizacji) czy też raporty z wykonanych czynności.

Z tego względu art. 10 uKSC nakłada na operatora usługi kluczowej obowiązek zapewnienia, że taka dokumentacja:

  1. Jest dostępna wyłącznie dla osób upoważnionych i na zasadzie „deny all”;
  2. Jest chroniona przed niewłaściwym użyciem lub utratą integralności a dodatkowo
  3. Każda kolejna wersja dokumentu ma stosowne oznaczenie (numer/symbol kontrolny).

Są to niezwykle istotne dokumenty, których utrata lub „wyciek” mogłoby przyczynić się istotne do powstania incydentu i narażenia operatora usługi kluczowej na skuteczny cyberatak.

I już na koniec

Całokształt podejmowanych działań w ramach realizacji obowiązków wynikających z uKSC musi podlegać audytowi bezpieczeństwa (co najmniej raz na 2 lata), który „kończy się” sprawozdaniem audytora, a które na uzasadniony wniosek przekazywane może być m.in. do KNF. Audytorom stawiane są bardzo wysokie wymogi określone w art. 15 ust. 2 uKSC.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *