Rekomendacja D: banki vs. IT

Tylko do 31 grudnia 2014 r. banki mają czas na wdrożenie Rekomendacji D Komisji Nadzoru Finansowego (KNF), dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego1. Chociaż rekomendacje KNF-u zasadniczo nie są zaliczane do źródeł powszechnie obowiązującego prawa (takich jak ustawy czy rozporządzenia), w praktyce instytucje objęte nadzorem Komisji dążą do ich prawidłowego wdrażania, co wynika w szczególności z dość daleko idących uprawnień KNF-u do kontrolowania działalności banków.

Czym więc charakteryzuje się rekomendacja D i na jakie kwestie powinno się zwrócić szczególną uwagę przy jej wdrażaniu?

Rekomendacja D - co nowego?

Wydana w dniu 8 stycznia 2013 r. Rekomendacja D zastępuje analogiczny dokument z roku 2002, nieprzystający już do współczesnych realiów. Dawna rekomendacja pisana była tekstem ciągłym a jej założenia sprawiały trudności interpretacyjne. Nowy dokument wyróżnia się raczej uporządkowaną strukturą, względną precyzyjnością, zawiera też praktyczne przykłady. Zalecenia są przy tym zasadniczo elastyczne - różnorodność dostępnych rozwiązań IT wymaga, aby rekomendację stosować z zachowaniem zasady proporcjonalności i adekwatności, uwzględniając przeprowadzoną przez bank analizę ryzyka. Oznacza to, że wymagania KNF-u powinny podlegać interpretacji również przez pryzmat możliwości oraz wielkości danego banku, jego profilu biznesowego oraz specyfiki działania. Potrzeba nowych regulacji wynikła z coraz większej zależności banków od rozwiązań w dziedzinie IT. Przez ostatnich 10 lat rynek instytucji bankowych i spektrum świadczonych przez nie usług uległy gwałtownej zmianie.

Poprzednia rekomendacja dopiero zwracała uwagę na problemy nowoczesnej bankowości, stwierdzając wręcz archaicznie (jak na obecne czasy), że „władze banku są odpowiedzialne za decyzję, czy bank będzie świadczył usługi bankowości elektronicznej”. W 2002 r. rachunek internetowy wydawał się jeszcze raczej egzotycznym dodatkiem do właściwej obsługi w oddziale stacjonarnym banku, mało znane były tematy bankowości mobilnej, płatności zbliżeniowych czy przetwarzania danych w chmurze. Dziś, głównie za sprawą zmiany stylu życia i przyzwyczajeń klientów banków, a także wdrażania coraz nowocześniejszych rozwiązań w zakresie zarządzania przedsiębiorstwem, instytucje finansowe nie zadają już pytania „czy prowadzić”, lecz „jak prowadzić” działalność z wykorzystaniem zaawansowanych rozwiązań IT, przy zapewnieniu bezpieczeństwa środowisku wewnętrznemu oraz klientom zewnętrznym. Banki poszukują integracji swoich usług ze smartphone’ami klientów, coraz odważniej wykorzystują geolokalizację użytkowników urządzeń mobilnych, zerkają w stronę potencjału serwisów społecznościowych. Tymczasem nowe technologie to przecież nowe zagrożenia, które dotyczą coraz szerszego zakresu danych przetwarzanych przez banki.

Wyjście naprzeciw problemom czy pogoń za rewolucją?

Od strony czysto formalnej Rekomendacja D składa się z 61 stron i zawiera 22 rekomendacje sklasyfikowane w czterech obszarach:

  • strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa

  • środowiska teleinformatycznego,

  • rozwój środowiska teleinformatycznego,

  • utrzymanie i eksploatacja środowiska teleinformatycznego,

  • zarządzanie bezpieczeństwem środowiska teleinformatycznego.

W ogólnym założeniu podczas procesu jej wdrażania należy zwrócić uwagę na potrzebę wypracowania przez bank wielu sformalizowanych zasad działania. Nowa rekomendacja akcentuje konieczność tworzenia w ramach banków całych schematów bezpiecznego funkcjonowania systemów IT już na etapie planowania poszczególnych projektów, ich wdrożenie, a następnie kontrolę ich funkcjonowania i raportowania błędów. Rekomendacja wskazuje na wymóg holistycznego podejścia do problemu informatyzacji – wymaga tworzenia odpowiedniej architektury wewnętrznych powiązań i podkreśla konieczność współpracy departamentów banku w tworzeniu spójnego oraz bezpiecznego systemu wykorzystującego nowoczesne technologie. Zgodnie z rekomendacją należy przy tym unikać wprowadzania środków tymczasowych, jedynie chwilowo usprawniających istniejącą strukturę.

W ocenie KNF-u taki harmonijny system może powstać, jeżeli banki przy tworzeniu i wdrażaniu procedur będą zwracały uwagę m.in. na:

  • nadzorowanie przez radę nadzorczą banku funkcjonowania środowiska teleinformatycznego, utworzenie wewnętrznej struktury sprawnego informowania/raportowania, zdefiniowanie priorytetów i oczekiwań biznesowych oraz dostosowanie do nich środowiska teleinformatycznego, dogłębną analizę oraz planowanie zakresu nowych rozwiązań wprowadzanych przez bank, opracowanie zasad wprowadzenia projektów, szeroką odpowiedzialność za bezpieczeństwo informacji przez wszystkie departamenty banku oraz ich wzajemną współpracę (rekomendacje 1, 2, 3, 5, 6);

  • zasady zarządzania danymi (przy czym rekomendacja odnosi się do wszelkich danych związanych z działalnością banku, nie tylko danych osobowych - dane sensu largo), wybranie jednostki odpowiedzialnej za jakość i nadzór przetwarzanych danych, bezpieczeństwo przetwarzanych danych (poprzez m.in. utworzenie zapory sieciowej, łączy zapasowych, planu działania na wypadek awarii u dostawcy łączy telekomunikacyjnych, podział sieci na podsieci, zasady podłączania urządzeń końcowych do systemu, np. przez pracowników [pamięci przenośne, telefony itp.] - ich rodzaje, używane oprogramowanie oraz typy dozwolonych operacji, bezpieczne korzystanie z Wi-Fi, rozważne przekazywanie sprzętu do naprawy podmiotom zewnętrznym, odpowiednie zabezpieczenie drukarek i skanerów, planowanie procesu aktualizacji oprogramowania, prowadzenie stałej dokumentacji zdarzeń występujących w środowisku teleinformatycznym) (rekomendacje 8, 9);

  • zasady współpracy z zewnętrznymi dostawcami usług informatycznych, co obejmuje przede wszystkim konieczność weryfikowania ich rzetelności oraz doświadczenia, konieczność uzyskania gwarancji jakości świadczonych usług w oparciu o zasady, którymi kieruje się dana jednostka finansowa, zakaz przerzucania przez banki odpowiedzialności na podmioty trzecie oraz problem ich wpływu na lokalizację geograficzną przetwarzania danych, przede wszystkim w kontekście cloud computingu (lokalizacja serwerów może mieć wpływ na obowiązujące prawo chociażby w kontekście ochrony danych osobowych), mechanizmy bezpiecznego zakończenia współpracy umożliwiającego zwrot/przeniesienie danych banku, zawieranie szczegółowych umów z uwzględnieniem możliwości przeprowadzania audytów (rekomendacja 10);

  • podnoszenie kompetencji pracowników, edukację klientów w przedmiocie występujących zagrożeń, zgodność przyjętych procedur z powszechnie obowiązującymi przepisami prawa, przeprowadzanie zewnętrznych audytów banku (audyty wewnętrzne mogą prowadzić do zbyt jednostronnej oceny) (rekomendacje 14, 16, 21, 22).

Zgodnie z powyższym, KNF wskazuje więc przede wszystkim na konieczność sformalizowania systemu zarządzania obszarami i bezpieczeństwem środowiska teleinformatycznego poprzez wypracowanie szczegółowych zasad współpracy komórek banku w ramach struktury wewnętrznej, jak również z zewnętrznymi dostawcami usług informatycznych, zarządzania danymi, ryzykiem, incydentami naruszenia bezpieczeństwa, a w konsekwencji sprawnego raportowania i szybkiej reakcji na szczeblu zarządczym i operacyjnym.

Wnioski?

Pozytywnie można ocenić odwołanie się KNF-u do konkretnych przykładów wdrażania nowych technologii – dostrzeżenie wzrastającej popularności chmur obliczeniowych, płatności zbliżeniowych, aplikacji mobilnych, a nawet technologii wykorzystującej portale społecznościowe do komunikacji z klientem świadczy o świeżym, aktualnym spojrzeniu Komisji. Zwraca jednak uwagę fakt, że wymogi stawiane bankom nie różnią się znacznie od zasad już stosowanych przez większość z nich, a także inne podmioty używające systemów IT w ogóle. W praktyce banki samodzielnie podwyższały poziom bezpieczeństwa sugerowany przez dawną Rekomendację D, czy to w wyniku wdrażania obowiązujących przepisów prawa (np. ustawa o ochronie danych osobowych), czy dążenia do zabezpieczenia tajemnicy bankowej.

Z drugiej strony, jak pokazuje chociażby przykład wystąpienia Generalnego Inspektora Ochrony Danych Osobowych (GIODO) z 14 marca 2013 r. (czyli po przyjęciu nowej wersji rekomendacji), działania banków nie zawsze były, w ocenie GIODO, wystarczające. Przykładowo, w ww. wystąpieniu GIODO wyraźnie wskazywał na stosowanie przez banki niepełnych, niewystarczających rozwiązań w zakresie systemów dotyczących zbliżeniowych kart płatniczych w kontekście weryfikacji tożsamości ich użytkowników, dostępu do ich danych i ryzyka przypadkowego przeprowadzenia transakcji mogących naruszać ustawę o ochronie danych osobowych, zwłaszcza w kontekście integracji płatności zbliżeniowych z telefonami komórkowymi i technologią NFC.

Chociaż więc nowa rekomendacja formalnie nie wprowadziła rewolucji, z uwagi na rolę KNF-u może przyczynić się do pełniejszej realizacji przez banki ich obowiązków już wynikających z przepisów powszechnie obowiązującego prawa i jednocześnie przyspieszyć proces ujednolicania stosowanych przez banki procedur. To z kolei może wpłynąć na postulowaną interoperacyjność systemów oraz modeli stosowanych przez te instytucje. Trudno jednoznacznie ocenić, czy rekomendacja w sposób wystarczający przewiduje zadania, przed którymi w niedługiej przyszłości staną rynki finansowe - raczej nie wybiega ona w bardzo odległą technologiczną przyszłość. Zawiera natomiast ogólne wytyczne, które po odpowiedniej interpretacji pozwalają na udzielenie odpowiedzi na większość aktualnych pytań, choć nie zawsze jednoznacznych. Należy przy tym uważać, aby proces wdrażania nie doprowadził do zbyt daleko idącego sformalizowania i skostnienia struktury wewnątrz banku – mnogość reguł czasem może doprowadzić do ich nieczytelności, wewnętrznej sprzeczności i problemów z ich stosowaniem, w szczególności w relacjach z zewnętrznymi dostawcami usług, co z kolei może stanowić swoisty hamulec dla innowacji.

Największe trudności we wdrożeniu rekomendacji mogą wynikać z braku właściwej identyfikacji luk w aktualnie istniejącym systemie, zarówno w kontekście funkcjonowania rozwiązań technologicznych, jak i tzw. czynnika ludzkiego – rzetelnej analizy wymaga analiza formalnych i faktycznych wzajemnych powiązań pomiędzy poszczególnymi systemami IT a ludźmi, a także wypracowanych czy wyuczonych sposobów ich działania. W konkretnym przypadku może okazać się, że kilka miesięcy pozostałych na wdrożenie nowych regulacji trzeba będzie przeznaczyć nie tylko na prawidłowe pod kątem prawnym i formalnym zaktualizowanie odpowiednich procedur oraz ew. modernizację technologii, ale także na szkolenia pracowników.

Podsumowując, Rekomendacja D w nowym brzmieniu, choć raczej nie doprowadzi do trzęsienia ziemi, wymaga jednak uwagi oraz jej implementacji w sposób przemyślany. Natomiast dopiero po pierwszych działaniach nadzorczych i wnioskach KNF-u w zakresie prawidłowości jej wdrożenia będzie można ocenić, czy dokument, w wyniku jego stosowania, okazał się pomocnym narzędziem, usprawniającym systemy IT instytucji finansowych.

Autorami są: Mateusz Borkiewicz,Grzegorz Leśniewski z Kancelarii Olesiński & Wspólnicy

Autorzy, w ramach zespołu Kancelarii Olesiński & Wspólnicy, doradzają przedsiębiorcom działającym w sektorze nowoczesnych technologii, w tym działającym na rynku usług finansowych. Współtworzą blog.e-prawnik.pl.

DLP expert magazyn
DLP expert 2/2014


Tekst pochodzi z magazynu DLP expert 2/2014 (9)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja