Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0 wyzwania_informatyki_bankowej_0
Wpisuje się ona w europejskie i krajowe trendy porządkujące sferę walki z zagrożeniami cyberprzestępczością, w tym wdrażaną dyrektywę UE Network and Information Security (NIS) w zakresie centralizacji współpracy w zwalczaniu przestępstw internetowych, a także powstającej strategii Cyberbezpieczeństwa Państwa, w której założeniach istotną rolę w zwalczaniu ataków internetowych pełnić mają CERTy branżowe. BCC posiada strukturę hierarchiczną składającą się z: • Komitetu Sterującego, • Grupy Zarządzania Cyberbezpieczeństwem Banków, • Grupy Operacyjnej. Opracowano szereg procedur regulujących działanie BCC, wybrano tymczasową platformę komunikacyjną (wymiany informacji o zdarzeniach z zakresu cyberbezpieczeństwa), wypracowano mechanizm dyżurów banków w ramach których śledzona i analizowana jest sytuacja w sektorze bankowym. W razie konieczności BCC przekształca się w Sztab Kryzysowy posiadający możliwości zarządzania sytuacja kryzysową dotyczącą cyberbezpieczeństwa w sektorze bankowym. Należy zaznaczyć, że BCC na stałe współpracuje z przedstawicielami Policji oraz Krajowej Izby Rozliczeniowej. Inicjatywa spotkała się z bardzo przychylnym przyjęciem Komisji Nadzoru Finansowego. W ramach prac BCC nawiązywane są kontakty z operatorami telekomunikacyjnymi, giełdami bitcoin, operatorami szybkich płatności oraz innymi instytucjami, które w sposób pośredni wpływają na bezpieczeństwo sektora. W chwili obecnej działalność BCC koncentruje się na następujących obszarach: 1. Prowadzenie stałego monitoringu sytuacji sektora w zakresie cyberbezpieczeństwa i w razie potrzeby podejmowanie stosownych działań (w tym powołanie Sztabu Kryzysowego w razie potrzeby). 2. Opracowanie i wdrożenie technicznych rozwiązań wykorzystywanych na potrzeby bieżącego funkcjonowania struktury oraz na wypadek zarządzania sytuacją kryzysową. 3. Opracowanie, rekomendowanie i monitorowanie wdrożenia oraz nadzór nad aktualnością procedur niezbędnych do realizacji w przypadku wystąpienia sytuacji kryzysowej i na czas „pokoju”. 4. Zarządzanie komunikacją. Bankowy CERT – nowa broń w walce z cyberprzestępczością 193
• Opracowanie ogólnobankowej, spójnej polityki informacyjnej w stosunku do mediów i klientów, opartej na założeniu, że w przypadku zagrożenia cyberbezpieczeństwa lub awarii informatycznych systemów związanych bezpośrednio lub pośrednio z bankowością elektroniczną (skutkujących istotnym ograniczeniem obsługi klientów), banki o tych zdarzeniach będą niezwłocznie informowały. • Wypracowanie systemu i procedur komunikacji między uczestnikami. • Wypracowanie kanałów komunikacji i procedur współpracy m.in. z Policją, ABW, firmami typu CERT, producentami oprogramowania oraz systemów zabezpieczeń (np. IBM, Microsoft, Symantec, itp.). • Wyposażenie uczestników w możliwości techniczne pozwalające na zaimplementowanie powyższej komunikacji. 5. Definiowanie, uzgodnienie terminów realizacji oraz monitorowanie wdrożenia działań prewencyjnych na poziomie sektora i banków o realizacji w warunkach bieżącego (nie kryzysowego) funkcjonowania sektora bankowego. 6. Przygotowanie i monitorowanie realizacji programu podnoszenia świadomości, aktywności w tym temacie (ze względu na tymczasowość dokumentu zestaw przytoczonych poniżej działań ma charakter przykładowy i stanowi zbiór otwarty). 7. Podejmowanie wspólnych przedsięwzięć na arenie międzybankowej. Równolegle do operacyjnej działalności trwają prace nad dalszym rozwojem Bankowego Centrum Cyberbezpieczeństwa. Przedstawiciele branży dostrzegają korzyści z wymiany informacji i wyciąganiu wniosków dla całego sektora (choćby łączenie incydentów w sprawy), toczące się prace obejmują m.in. zdefiniowanie zakresu innych usług, które stanowiłyby wartość dla sektora, uwzględniając potrzeby zarówno dużych podmiotów z rozwiniętymi strukturami zarządzania bezpieczeństwem informacji, jak też mniejszych, które potencjalnie mogłyby istotnie zyskać dzięki współpracy branżowej. Analizowane są m.in. możliwości sprawnej współpracy BCC z podmiotami innymi niż instytucje finansowe – tak, jak czynią to podobne organizacje w innych krajach – pozostając w zgodzie z lokalnym prawodawstwem, szczególnie w zakresie ustawy Prawo Bankowe i ograniczeniach w zakresie udostępniania informacji mogącej stanowić tajemnicę bankową. Planowany jest również rozwój współpracy z giełdami wirtualnej waluty i innymi podmiotami, które mogą w sposób aktywny ograniczać skalę przestępstw realizowanych przez Internet. 194 Adam Marciniak, PKO BP
- Page 144 and 145: gotówka (często liczona, paczkowa
- Page 146 and 147: urządzeń zainstalowanych w sortow
- Page 148 and 149: Zagraniczne doświadczenia pokazuj
- Page 150 and 151: Andrzej Gibas, Microsoft, Karol Maz
- Page 152 and 153: • duża zmienność rynków i wra
- Page 154 and 155: Dominujące dzisiaj podejście do a
- Page 156 and 157: procesorów budowanych w oparciu o
- Page 158 and 159: SDC uzyskało oszczędności na poz
- Page 160 and 161: też zostanie przeprowadzony jednor
- Page 163 and 164: Aleksander P. Czarnowski Prezes AVE
- Page 165 and 166: z co najmniej 2-, a jeszcze lepiej
- Page 167 and 168: Ransomware czyli różne oblicza sz
- Page 169 and 170: system nigdy nie dostarcza pełnego
- Page 171 and 172: Rys 2. Przykład fałszywej wiadomo
- Page 173 and 174: IoT Internet of Things z pewności
- Page 175 and 176: Podatności w SSL/TLS oraz algorytm
- Page 177 and 178: instalacja i konfiguracja serwera S
- Page 179 and 180: w krótkim czasie. Dla niektórych
- Page 181 and 182: Adam Marciniak Dyrektor Pionu Rozwo
- Page 183 and 184: 50 tys. komputerów w tym samym cza
- Page 185 and 186: które łącznie pozwoliły wyprowa
- Page 187 and 188: skutkując izolacją kraju od reszt
- Page 189 and 190: tacji branżowych narodziła się k
- Page 191 and 192: Ciekawym przykładem z ojczyzny Int
- Page 193: Z inicjatywy Rady Bankowości Elekt
- Page 198 and 199: Maciej Gawroński, Sławomir Szepie
- Page 200 and 201: • Sprecyzowanie katalogu wyłącz
- Page 202 and 203: • Płatnik (posiadacz rachunku ba
- Page 204 and 205: Zagraniczne podmioty profesjonalnie
- Page 206 and 207: gulacje odnośnie opłat interchang
- Page 208 and 209: nikacji między poszczególnymi pod
• Opracowanie ogólno<strong>bankowej</strong>, spójnej polityki informacyjnej w stosunku<br />
do mediów i klientów, opartej na założeniu, że w przypadku zagrożenia<br />
cyberbezpieczeństwa lub awarii informatycznych systemów<br />
związanych bezpośrednio lub pośrednio z bankowością elektroniczną<br />
(skutkujących istotnym ograniczeniem obsługi klientów), banki o tych<br />
zdarzeniach będą niezwłocznie informowały.<br />
• Wypracowanie systemu i procedur komunikacji między uczestnikami.<br />
• Wypracowanie kanałów komunikacji i procedur współpracy m.in.<br />
z Policją, ABW, firmami typu CERT, producentami oprogramowania<br />
oraz systemów zabezpieczeń (np. IBM, Microsoft, Symantec, itp.).<br />
• Wyposażenie uczestników w możliwości techniczne pozwalające na<br />
zaimplementowanie powyższej komunikacji.<br />
5. Definiowanie, uzgodnienie terminów realizacji oraz monitorowanie wdrożenia<br />
działań prewencyjnych na poziomie sektora i banków o realizacji w warunkach<br />
bieżącego (nie kryzysowego) funkcjonowania sektora bankowego.<br />
6. Przygotowanie i monitorowanie realizacji programu podnoszenia świadomości,<br />
aktywności w tym temacie (ze względu na tymczasowość dokumentu<br />
zestaw przytoczonych poniżej działań ma charakter przykładowy<br />
i stanowi zbiór otwarty).<br />
7. Podejmowanie wspólnych przedsięwzięć na arenie między<strong>bankowej</strong>.<br />
Równolegle do operacyjnej działalności trwają prace nad dalszym rozwojem<br />
Bankowego Centrum Cyberbezpieczeństwa. Przedstawiciele branży dostrzegają<br />
korzyści z wymiany informacji i wyciąganiu wniosków dla całego<br />
sektora (choćby łączenie incydentów w sprawy), toczące się prace obejmują<br />
m.in. zdefiniowanie zakresu innych usług, które stanowiłyby wartość dla<br />
sektora, uwzględniając potrzeby zarówno dużych podmiotów z rozwiniętymi<br />
strukturami zarządzania bezpieczeństwem informacji, jak też mniejszych,<br />
które potencjalnie mogłyby istotnie zyskać dzięki współpracy branżowej.<br />
Analizowane są m.in. możliwości sprawnej współpracy BCC z podmiotami<br />
innymi niż instytucje finansowe – tak, jak czynią to podobne organizacje<br />
w innych krajach – pozostając w zgodzie z lokalnym prawodawstwem,<br />
szczególnie w zakresie ustawy Prawo Bankowe i ograniczeniach w zakresie<br />
udostępniania informacji mogącej stanowić tajemnicę bankową. Planowany<br />
jest również rozwój współpracy z giełdami wirtualnej waluty i innymi podmiotami,<br />
które mogą w sposób aktywny ograniczać skalę przestępstw realizowanych<br />
przez Internet.<br />
194 Adam Marciniak, PKO BP