Komitet zajmujący się bezpieczeństwem i cyberbezpieczeństwem – to również największy Komitet w strukturze ZBP i nie ma tu konkurencji pomiędzy bankami, a jest współpraca. Cyberprzestępcy stosują coraz bardziej wyspecjalizowane metody. Również w minionym roku nastąpił duży cyberatak z innego państwa po wybuchu wojny w Ukrainie.
Prezes ZBP dr Tadeusz Białek wspomniał również o udziale banków w funkcjonowaniu programów publicznych, takich jak choćby 500+.
Ważne jest także wzmacnianie odporności i neutralizacja działań dezinformacyjnych. Jak dodał, regulacje nie nadążają za rozwojem, na przykład dotyczy to wymiany informacji pomiędzy różnymi branżami. Rozwój międzybankowych systemów wymiany informacji jest jednym z priorytetów ZBP.
Bartosz Kublik, wiceprezes ZBP, będzie odpowiadał za obszar bezpieczeństwa i cyberbezpieczeństwa, poinformował dr Tadeusz Białek.
Na zakończenie tej części Forum Bezpieczeństwa Banków 2023 dyrektor Piotr Balcerzak wręczył Medale Mikołaja Kopernika Związku Banków Polskich.
Sesja I: Banki w obliczu wojny hybrydowej – wczoraj, dzisiaj i jutro
Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w ZBP w wystąpieniu wprowadzającym do dyskusji mówił o problemie związanym z zachowaniem ciągłości działania banków.
W dyskusji panelowej, którą moderował Piotr Balcerzak, udział wzięli: Izabela Błachnio-Wojnowska, dyrektor Biura ds. Programu Cyberbezpieczeństwa i Zarządzania Bezpieczeństwem Informacji w BNP Paribas Bank Polska; Krzysztof Dąbrowski, dyrektor zarządzający Pionem Bezpieczeństwa w Urzędzie Komisji Nadzoru Finansowego; Jarosław Górski, dyrektor Departamentu Bezpieczeństwa w mBanku; Krzysztof Justyński, dyrektor Pionu Bezpieczeństwa w PKO Banku Polskim; Wojciech Kordas, dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim i Dominik Rozdziałowski, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Obrony Narodowej.
Krzysztof Dąbrowski mówił o niepewności związanej z rozwojem wojny w Ukrainie i o tym, że podjęto działania wychodzące poza standardową rolę UKNF. Powstały zespoły, które miały za zadanie wzmóc odporność sektora.
Krzysztof Justyński podkreślił, że banki musiały podejmować trudne decyzje, a podjęte wtedy decyzje i działania mają również dziś znaczenie.
Jarosław Górski w trakcie dyskusji podkreślił znaczenie wsparcia urzędów UKNF a także NBP.
Izabela Błachnio-Wojnowska mówiła o pomocy Grupy, do której należy BNP Paribas BP, w przygotowaniu do trudnej sytuacji. Grupa miała doświadczenie z epidemią ebola w Afryce i przekazała informacje o zastosowanych rozwiązaniach, w tym dotyczących pracy zdalnej. To pomogło Bankowi przygotować się do pandemii i następnie do działania po wybuchu wojny w Ukrainie.
Krzysztof Justyński mówił o doświadczeniach ukraińskiego KredoBanku, którego właścicielem jest PKO Bank Polski. Podkreślił kwestię ciągłości działania. Plany trzeba cały czas doskonalić i być przygotowanym na różne scenariusze.
Jarosław Górski wspomniał o kolejnych falach ataków DDos i zapewnieniu dostarczanie usługi w kanale zdalnym. Zwrócił uwagę, że takie ataki się rozwijają i są coraz bardziej wyrafinowane Jeśli zaatakowany w nowy sposób bank podzieli się tym co się wydarzyło, to pozwala innym przygotować się na dany rodzaj ataku. Wspomniał też o nowych atakach DNS.
Jak stwierdził Wojciech Kordas – kwestia istnienia państwa, to jak się okazuje w kontekście wojny, też istnienie lub nie systemu finansowego. Jednak za budowę odporności na różne zagrożenia trzeba zapłacić.
W trakcie dyskusji mówiono ponadto o wadze dostępności do gotówki.
Jednak szczególnie ważna jest stabilizacja – dla klientów banków i utrzymania usług finansowych. Jak podkreślono, wojna hybrydowa trwa i będzie trwała niezależnie od sytuacji na wojnie w Ukrainie. Nie powinniśmy skupiać się tylko na obiektach takich, jak choćby serwerownie, ale też zwracać uwagę na usługi krytyczne – na przykład na komunikację lub dostawy energii. Operatorzy infrastruktury krytycznej mogą liczyć na większą ochronę i priorytety ze strony państwa.
Dominik Rozdziałowski podkreślił wagę współpracy pomiędzy strukturami państwa.
W trakcie dyskusji podjęto problematykę poboru do wojska specjalistów z banków oraz wiedzy o tym, którzy pracownicy będą powołani do wojska. Mówiono także o zatrudnieniu osób niepełnosprawnych w działach bezpieczeństwa – nie będą oni służyć w wojsku w trakcie konfliktu zbrojnego. Wspomniano również o przewożeniu gotówki, posiadaniu alternatywnych źródeł zasilania i dostępu do paliwa dla generatorów. Wspomniano o ochronie informacji i wykorzystaniu rozwiązań chmurowych. Także o obsłudze masowego napływu uchodźców przez sektor bankowy, który przebiegł sprawnie i udało się uniknąć zagrożeń, w tym np. związanych z praniem brudnych pieniędzy.
Praktycy o cyberbezpieczeństwie
Bezpieczeństwo w banku – gdzie szukać: najsłabszego ogniwa? Na tak postawione pytanie odpowiedział Dominik Wścibisz, Regional lmplementations Lead w firmie Iron Mountain. Mówił o procesie ITAD (IT Asset Disposition) czyli rewitalizowaniu sprzętu wycofywanego z eksploatacji. Jeśli nie jest to możliwe uzyskuje się elementy elektroniczne oraz odzyskuje materiały.
W ramach procesu ITAD prowadzi się czyszczenie dysków z danych (wykonuje się je trzykrotnie). Podał, że 20% organizacji nie usuwa danych z dysków w ramach procesu. Mówił o certyfikowanym usuwaniu danych, co pozwala takie nośniki danych przekazać do dalszej odsprzedaży. W Polsce organizacje boją się pozbywania takich nośników, choć poza naszym krajem raczej się je po usunięciu danych odsprzedaje. ITAD to możliwość odzyskania części kosztów i ochrona środowiska naturalnego.
Wyzwania w zakresie monitoringu bezpieczeństwa aplikacji bankowości mobilnych przedstawił Piotr Kot, z-ca dyrektora Działu Rozwoju Biznesu w NASK – Państwowym Instytucie Badawczym. Polska jest na trzecim miejscu wśród krajów targetów dotyczących użytkowników mobilnych. Ekspert mówił o złośliwym oprogramowaniu i zmieniających się jego funkcjonalnościach. Wspomniał o serwisach typu Malware as a Service (MaaS). Przedstawił ATS – Automatic Transfer System – obecnie dedykowane też dla systemów mobilnych takich jak Android. Mówił również o kodach QR przenoszących do zainfekowanych stron internetowych. Przedstawił systemy Overlay. NASK udostępnia narzędzie BotSens.
Każdy użytkownik jest użytkownikiem uprzywilejowanym – mówił Tomasz Janiak, Sales Engineer w firmie Delinea. Jak stwierdził, 85% ataków zaczyna się od punktu końcowego w tym dotyczy to też systemów linux itp. Ekspert przedstawił tzw. privileged accounts i sposób jak je zabezpieczyć. Każdy pracownik musi mieć dostęp do systemu, ale potrzebuje go w określonym zakresie i na określony czas. Mówił o historii haseł – wykorzystywanych już w starożytnym Rzymie. Jak podkreślił, po pierwsze trzeba dowiedzieć się jakie są hasła w organizacji i przywileje z nimi związane. Jak stwierdził, Vault nie jest już wystarczający. Wspomniał o rozwiązaniu MFA dla UNIX/Linux oraz Windows.
Zautomatyzowane ataki na aplikacje bankowe – jak ochronić się przed zmorą dzisiejszych czasów? – na tak postawione pytanie odpowiedział Piotr Tkaczyk, Senior Solutions Engineer w firmie F5. Mówił o tym jaki jest koszt niechcianego ruchu (BOTs). Automaty kupują produkty, które pojawiają się w promocjach. Ataki też mogą być zautomatyzowane przez boty. Jak odsiewać ziarno od plew, czyli usunąć ruch generowany przez boty? Jednak musimy do naszej strony WWW dopuścić „dobre” boty np. od Google, które pozycjonują strony. Jak się okazuje boty potrafią już nawet udawać rzeczywistego użytkownika. Tradycyjne metody zabezpieczeń się już nie sprawdzają. Ekspert omówił również nowoczesne rozwiązania firmy F5. Przedstawił WAAP-as-a-Service.
Podczas II Sesji FBB Jarosław Biegański, zastępca dyrektora Zespołu Bezpieczeństwa Banków w ZBP wprowadził uczestników do dyskusji nt. nowych regulacji i wyzwań dla sektora bankowego w Polsce. Zwrócił między innymi uwagę na ustawę o zapobieganiu kradzieży tożsamości (jest na etapie konsultacji) i sposobu zastrzegania numeru PESEL. W projekcie przyjęto zasadę osobistego zgłoszenia zastrzeżenia do banków, co może być wyzwaniem organizacyjnym. Podobnie jak to, w jaki sposób będzie można cofnąć takie zastrzeżenie.
Wspomniał także o Ustawie o zwalczaniu nadużyć w komunikacji elektronicznej – jej projekt skierowano do Sejmu oraz o obowiązkach przedsiębiorców telekomunikacyjnych i wykazie numerów służących tylko do komunikacji z klientami. Poruszył też sprawę wdrożenia regulacji takich jak DORA i NIS2. Przypomniał, że termin wdrożenia (stosowania) przepisów DORA to 17 stycznia 2025 r.
Grupy przestępcze dostosowują się aktywnie do sytuacji
Dyskusję panelową moderował Jarosław Biegański, a udział w niej wzięli: Maciej Górski, dyrektor Departamentu Usług Cyfrowych w Ministerstwie Cyfryzacji; Andrzej Karpiński, dyrektor Departamentu Bezpieczeństwa w BIK; Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa w SGB-Bank; Paweł Rzewuski, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Urzędzie Komisji Nadzoru Finansowego; Piotr Tofiluk, Centralne Biuro Zwalczania Cyberprzestępczości; Justyna Wilczyńska-Baraniak, Partner EY Law, Lider Zespołu Prawa Własności intelektualnej, Technologii i Danych Osobowych.
Piotr Tofiluk stwierdził, że z punktu widzenia statystyk Policji, obecnie najczęściej popełniane są wszelkiego rodzaju oszustwa. Grupy przestępcze wykorzystują różne sytuacje i się do nich dostosowują. Przykładem choćby fikcyjna sprzedaż węgla, pomoc dla uchodźców z Ukrainy itp.
Z kolei rachunki bankowe wiążą się z profilem zaufanym i dostęp do rachunku w banku daje przestępcy dodatkowe możliwości przeprowadzenia oszustwa. Ekspert wspomniał też o bardzo częstych dziś oszustwach inwestycyjnych. Wykorzystywane są do tego wizerunki firm i osób publicznych.
Jak podkreślił Daniel Krzywiec, zdarza się, że klient może być zmanipulowany przez przestępcę, co pozwala omijać zabezpieczenia sektora finansowego. Mówił także o fałszywych bramkach płatności.
Paweł Rzewuski przypomniał, że UKNF udostępnił usługę z informacjami o fałszywych stronach banków, które wykradają dane klientów.
Ustawa o ograniczeniu niektórych skutków kradzieży tożsamości
Z kolei Maciej Górski podkreślił dobrą współpracę z sektorem bankowym. Choć wprowadzane zmiany wymagają też inwestycji i zaangażowania ze strony banków, ale chodzi tu o wspólny cel.
Poinformował o doprecyzowaniu nazwy przygotowywanej właśnie Ustawy o ograniczeniu niektórych skutków kradzieży tożsamości. Jeśli chodzi o jej wprowadzenie w życie to podał, że prawdopodobnie będzie to 1 czerwca 2024 roku. Odpowiadając na pytanie o sposób zastrzegania numeru PESEL stwierdził, że będzie można zrobić to cyfrowo. Dla osób, które nie chcą korzystać z tej drogi, wprowadzono możliwość zrobienia tego w urzędach gmin i w placówkach Poczty Polskiej.
Andrzej Karpiński przypomniał o możliwości sprawdzenia swoich danych w bazie BIK oraz skorzystania z usługi alertów i otrzymywać informacje, że ktoś występuje o pożyczkę lub kredyt korzystając z danego numeru PESEL. Wprowadzane przez rząd usługi i rozwiązania są komplementarne do tych rozwiązań.
Jak stwierdziła Justyna Wilczyńska-Baraniak, banki pozytywnie oceniły swoje przygotowanie, jeśli chodzi o wdrożenie przepisów DORA. To, co budzi niepokój, to obawa o brak odpowiednio przygotowanych kadr w zakresie cyberbezpieczeństwa.
Jak ocenił Paweł Rzewuski, banki które wdrożyły Rekomendację D Komisji Nadzoru Finansowego nie powinny mieć problemów z implementacją DORA. Problemem może być na przykład zarządzanie dostawcami systemów. Na pewno DORA wzmocni odporność cyfrową całego sektora.
W trakcie dyskusji zwrócono uwagę, że np. w przypadku banków spółdzielczych niektóre z nich mogą mieć problem z wdrożeniem, dlatego Zrzeszenie musi to przejąć na siebie. Choć wydaje się, że na wdrożenia DORA jest jeszcze czas, to już teraz trzeba zacząć się do niego przygotowywać.
Źródło: BANK.pl