UKNF będzie badał “wiekowość”​ systemów IT banków? Nowa metodyka BION w kontekście ryzyk IT i security

Urząd Komisji Nadzoru Finansowego opublikował niedawno metodykę Badania i Oceny Nadzorczej na 2021 r. To co jest szczególnie interesujące w kontekście przemian cyfrowych w sektorze bankowym to podejście Urzędu do kwestii zarządzania ryzykami IT. Na horyzoncie „czai” się już rozporządzenie w sprawie odporności cyfrowej sektora finansowego (więcej pisałem tutaj), a i projekt rozporządzenia w sprawie sztucznej inteligencji będzie wyzwaniem dla całego sektora (sporo w tym artykule), któremu „towarzyszyć” będzie też dyrektywa NIS2 w sprawie cyberbezpieczeństwa. Łatwo już było.

Obowiązków z pewnością będzie przybywać, więc istotne będzie dobre zarządzanie ewentualnymi lukami i zależnościami pomiędzy poszczególnymi regulacjami. To jednak w przyszłości. Warto jednak pamiętać, że choć metodyka BION jest kierowana do banków, to jest to „najwyższy standard”, który może – przy proporcjonalnym podejściu – stanowić dobry punkt wyjścia dla innych – mniej skomplikowanych – podmiotów. A jak dzisiaj Urząd podchodzi do kwestii zarządzania ryzykami IT?

UKNF wskazuje, że badanie nadzorcze w tym obszarze będzie przeprowadzane m.in. w oparciu o wytyczne EBA w sprawie ryzyk ICT, o których pisałem tutaj, co skutkuje tym, że regulator będzie oceniał nie tylko faktyczne, ale i potencjalne narażenie banku na określone ryzyka IT. Będzie oczywiście przy tym brał pod uwagę profil ryzyka IT charakterystyczny dla danego podmiotu.

Sam profil ryzyka dla danego banku jest określany na bazie szeregu informacji, do których należą m.in.:

No alt text provided for this image

1.    Potencjalny wpływ znacznych zakłóceń systemów IT danego Banku dla systemu finansowego, np. pełnienie ważnej roli agenta rozliczeniowego dla systemu płatności;

2.    Narażenie banku na ryzyka ICT ryzyko dostępności i ciągłości wynikających z zależności internetowych, wysokiego poziomu przyjętych innowacyjnych rozwiązań IT lub innych biznesowych kanałów dystrybucji, które mogą uczynić z banku podatny cel cyberataków – to jest szczególnie ciekawy punkt z punktu widzenia challenger banków oraz fintechów;

3.    Narażenie banku na ryzyka ICT oraz bezpieczeństwa wynikające z kompleksowości lub – uwaga – legacy systems tutaj nazwanych przestrzałymi systemami IT;

4.    Wprowadzanie istotnych zmian do systemów IT lub komórek IT banku – czyli transformacja cyfrowa z prawdziwego zdarzenia;

5.    Korzystanie z outsourcingu usług IT;

6.    Stosowanie agresywnych działań mających na celu ograniczenie kosztów IT – to ciekawe…;

7.    Lokalizacja ważnych operacji lub centrów danych w aspekcie narażenia m.in. na niestabilność polityczną czy klęski żywiołowe;

8.    Poważne incydenty operacyjne, bezpieczeństwa czy fraudy płatnicze;

9.    Poważne incydenty cybersecurity.

Jest nieźle. Kilka ciekawych punktów mamy i z pewnością powinniśmy uwzględnić je przy ocenie profilu naszego ryzyka IT i mapowania krytycznych procesów. Szczególną uwagę należy zwrócić na kwestie związane ze wspominanymi już legacy systems czy innowacyjnymi rozwiązaniami. Nie jest to do końca jasne, więc tym większą uwagę należy do tego przyłożyć.

No alt text provided for this image

Jeżeli chodzi o same wytyczne dotyczące oceny ryzyka operacyjnego i ryzyka IT, to znajdziemy je w załączniku 1 do metodyki (część E i F) oraz załączniku 2 w części E. Co tam na nas czeka?

To oczywiście nie jest proste pytanie i odpowiedź, bowiem wszystko zależy od tego na jakiej ocenie nam zależy. Zakładając jednak, że bankowi zależy na najwyższej ocenie do spełnienia będzie cała „plejada” obowiązków. To nie tylko strategia lub polityka IT, ale także jasne procedury i rozwiązania organizacyjne. Wymaga się przykładowo posiadania tzw. SOC (Security Operations Center) działającego w trybie ciągłym czy „specjalne” procedury w zakresie outsourcingu, w tym outsourcingu chmurowego, a wszystko to podlega regularnemu audytowi (zewnętrznemu).

W zakresie samego poziomu ryzyka wymogi są równie „surowe”. UKNF oczekuje tutaj, że czynniki ryzyka w tym zakresie charakteryzują się wysoką stabilnością w czasie przy jednocześnie niskim poziomie dotkliwości, a sam sposób prowadzenia działalności nie generuje ryzyka dla banku w kontekście strat.

Co to oznacza w praktyce? Wcale nie to, że określone incydenty się nie zdarzają, bo to zwyczajnie niemożliwe. Chodzi tutaj raczej o szybkie eliminowanie skutków tych incydentów, ale także – choć nie wybrzmiało to wprost – zarządzanie komunikacją w tym zakresie (również w kontekście CSIRT). Istotne jest więc wprowadzenie efektywnego procesu na przepływ informacji i reagowania na incydenty. Szczegółowe wymagania określają zarówno już wspomniane wytyczne EBA w sprawie ryzyk ICT, ale także rekomendacja D czy przepisy ustawy o krajowym systemie cyberbezpieczeństwa (nieco więcej tutaj), ale także wytyczne EBA w sprawie raportowania incydentów „pod” PSD2.

To co wyraźnie widać w najnowszej metodyce BION to oczywiście „nacisk” na zarządzanie ryzykami ICT, choć nadal nie znajdziemy tam pojęcia „odporności cyfrowej”, która staje się kluczowa w całym sektorze finansowym. Ogólny przekaz jest taki – musicie myśleć i działać wyprzedzająco. Strategie, polityki i procedury są ważne, ale równie – bardziej? – istotne jest ich operacyjne funkcjonowanie. Liczy się skuteczność i wyciąganie wniosków. To zresztą właśnie zasada ciągłego uczenia się jest kluczowe w kontekście odporności cyfrowej. I raczej się to nie zmieni. Nie zapomnijmy także o jeszcze jednej kwestii – analizując ryzyka IT, pamiętajmy także o ryzykach operacyjnych, które znajdziemy w odrębnych “rubrykach” metodyki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *