UKNF będzie badał "wiekowość" systemów IT banków? Nowa metodyka BION w kontekście ryzyk IT i security

Urząd Komisji Nadzoru Finansowego opublikował niedawno metodykę Badania i Oceny Nadzorczej na 2021 r. To co jest szczególnie interesujące w kontekście przemian cyfrowych w sektorze bankowym to podejście Urzędu do kwestii zarządzania ryzykami IT. Na horyzoncie „czai” się już rozporządzenie w sprawie odporności cyfrowej sektora finansowego (więcej pisałem tutaj), a i projekt rozporządzenia w sprawie sztucznej inteligencji będzie wyzwaniem dla całego sektora (sporo w tym artykule), któremu „towarzyszyć” będzie też dyrektywa NIS2 w sprawie cyberbezpieczeństwa. Łatwo już było.

Obowiązków z pewnością będzie przybywać, więc istotne będzie dobre zarządzanie ewentualnymi lukami i zależnościami pomiędzy poszczególnymi regulacjami. To jednak w przyszłości. Warto jednak pamiętać, że choć metodyka BION jest kierowana do banków, to jest to „najwyższy standard”, który może – przy proporcjonalnym podejściu – stanowić dobry punkt wyjścia dla innych – mniej skomplikowanych – podmiotów. A jak dzisiaj Urząd podchodzi do kwestii zarządzania ryzykami IT?

UKNF wskazuje, że badanie nadzorcze w tym obszarze będzie przeprowadzane m.in. w oparciu o wytyczne EBA w sprawie ryzyk ICT, o których pisałem tutaj, co skutkuje tym, że regulator będzie oceniał nie tylko faktyczne, ale i potencjalne narażenie banku na określone ryzyka IT. Będzie oczywiście przy tym brał pod uwagę profil ryzyka IT charakterystyczny dla danego podmiotu.

Sam profil ryzyka dla danego banku jest określany na bazie szeregu informacji, do których należą m.in.:

1. Potencjalny wpływ znacznych zakłóceń systemów IT danego Banku dla systemu finansowego, np. pełnienie ważnej roli agenta rozliczeniowego dla systemu płatności;

2. Narażenie banku na ryzyka ICT ryzyko dostępności i ciągłości wynikających z zależności internetowych, wysokiego poziomu przyjętych innowacyjnych rozwiązań IT lub innych biznesowych kanałów dystrybucji, które mogą uczynić z banku podatny cel cyberataków – to jest szczególnie ciekawy punkt z punktu widzenia challenger banków oraz fintechów;

3. Narażenie banku na ryzyka ICT oraz bezpieczeństwa wynikające z kompleksowości lub – uwaga – legacy systems tutaj nazwanych przestrzałymi systemami IT;

4. Wprowadzanie istotnych zmian do systemów IT lub komórek IT banku – czyli transformacja cyfrowa z prawdziwego zdarzenia;

5. Korzystanie z outsourcingu usług IT;

6. Stosowanie agresywnych działań mających na celu ograniczenie kosztów IT – to ciekawe…;

7. Lokalizacja ważnych operacji lub centrów danych w aspekcie narażenia m.in. na niestabilność polityczną czy klęski żywiołowe;

8. Poważne incydenty operacyjne, bezpieczeństwa czy fraudy płatnicze;

9. Poważne incydenty cybersecurity.

Jest nieźle. Kilka ciekawych punktów mamy i z pewnością powinniśmy uwzględnić je przy ocenie profilu naszego ryzyka IT i mapowania krytycznych procesów. Szczególną uwagę należy zwrócić na kwestie związane ze wspominanymi już legacy systems czy innowacyjnymi rozwiązaniami. Nie jest to do końca jasne, więc tym większą uwagę należy do tego przyłożyć.

Jeżeli chodzi o same wytyczne dotyczące oceny ryzyka operacyjnego i ryzyka IT, to znajdziemy je w załączniku 1 do metodyki (część E i F) oraz załączniku 2 w części E. Co tam na nas czeka?

To oczywiście nie jest proste pytanie i odpowiedź, bowiem wszystko zależy od tego na jakiej ocenie nam zależy. Zakładając jednak, że bankowi zależy na najwyższej ocenie do spełnienia będzie cała „plejada” obowiązków. To nie tylko strategia lub polityka IT, ale także jasne procedury i rozwiązania organizacyjne. Wymaga się przykładowo posiadania tzw. SOC (Security Operations Center) działającego w trybie ciągłym czy „specjalne” procedury w zakresie outsourcingu, w tym outsourcingu chmurowego, a wszystko to podlega regularnemu audytowi (zewnętrznemu).

W zakresie samego poziomu ryzyka wymogi są równie „surowe”. UKNF oczekuje tutaj, że czynniki ryzyka w tym zakresie charakteryzują się wysoką stabilnością w czasie przy jednocześnie niskim poziomie dotkliwości, a sam sposób prowadzenia działalności nie generuje ryzyka dla banku w kontekście strat.

Co to oznacza w praktyce? Wcale nie to, że określone incydenty się nie zdarzają, bo to zwyczajnie niemożliwe. Chodzi tutaj raczej o szybkie eliminowanie skutków tych incydentów, ale także – choć nie wybrzmiało to wprost – zarządzanie komunikacją w tym zakresie (również w kontekście CSIRT). Istotne jest więc wprowadzenie efektywnego procesu na przepływ informacji i reagowania na incydenty. Szczegółowe wymagania określają zarówno już wspomniane wytyczne EBA w sprawie ryzyk ICT, ale także rekomendacja D czy przepisy ustawy o krajowym systemie cyberbezpieczeństwa (nieco więcej tutaj), ale także wytyczne EBA w sprawie raportowania incydentów „pod” PSD2.

To co wyraźnie widać w najnowszej metodyce BION to oczywiście „nacisk” na zarządzanie ryzykami ICT, choć nadal nie znajdziemy tam pojęcia „odporności cyfrowej”, która staje się kluczowa w całym sektorze finansowym. Ogólny przekaz jest taki – musicie myśleć i działać wyprzedzająco. Strategie, polityki i procedury są ważne, ale równie – bardziej? – istotne jest ich operacyjne funkcjonowanie. Liczy się skuteczność i wyciąganie wniosków. To zresztą właśnie zasada ciągłego uczenia się jest kluczowe w kontekście odporności cyfrowej. I raczej się to nie zmieni. Nie zapomnijmy także o jeszcze jednej kwestii – analizując ryzyka IT, pamiętajmy także o ryzykach operacyjnych, które znajdziemy w odrębnych “rubrykach” metodyki.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech

UKNF będzie badał “wiekowość” systemów IT banków? Nowa metodyka BION w kontekście ryzyk IT i security

Dodaj komentarz Anuluj pisanie odpowiedzi