Kontynuując omówienie zagadnień dotyczących cyberbezpieczeństwa, tym razem omawiamy kwestie związane z zarządzaniem ryzykami w obszarze ICT. Artykuł powstał na podstawie webinarium, które 21 października 2024 r. prowadziła radca prawny Monika Macura, na temat podstawowych zagrożeń, regulacji oraz dobrych praktyk w zakresie cyberbezpieczeństwa dla instytucji finansowych. Pełne nagranie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych” jest dostępne na kanale youtube.

Zarządzanie ryzykiem ICT

Zarządzanie ryzykiem związanym z technologiami informacyjnymi (ICT) jest podstawowym wymogiem wobec instytucji finansowych, korzystających z systemów płatniczych, co obejmuje obowiązki:

• wprowadzenia spójnej organizacji i ram zarządzania ryzykiem ICT;
• zapewnienia, że organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT;
• stosowania i utrzymywania zaktualizowanych systemów, protokołów i narzędzi ICT;
• identyfikacji, klasyfikacji i dokumentowania funkcji biznesowych opartych na ICT;
• monitorowania i kontroli bezpieczeństwa systemów, protokołów i narzędzi ICT;
• wykrywania, reagowania na incydenty i przywracania sprawności;
• wdrożenia kompleksowej polityki ciągłości działania ICT;
• opracowania i dokumentowania zasad tworzenia kopii zapasowych;
• związane z okresowymi przeglądami raportowaniem i doskonaleniem.

Zarządzanie incydentami ICT

Obejmuje przede wszystkim obowiązek ustanowienia środków w celu wykrywania, zarządzania, rejestrowania i powiadamiania o incydentach związanych z ICT oraz właściwej klasyfikacji incydentów pod kątem ustalonych kryteriów, a także zgłaszanie poważnych incydentów związanych z ICT wyznaczonemu właściwemu organowi i ujednolicenie raportowania incydentów związanych z usługami płatniczymi (PSD2).

Testowanie odporności cyfrowej

Dotyczy obowiązków w zakresie:

• ustanowienia, utrzymywania i weryfikacji solidnych i kompleksowych programów testowania operacyjnej odporności;
• testowania narzędzi i systemów ICT;
• przeprowadzania okresowych testów penetracyjnych;

a także zaawansowanego testowania narzędzi, systemów i procesów ICT z wykorzystaniem TLPT (testy penetracyjne pod kątem wyszukiwania zagrożeń).

Ramy dokumentacji prawnej w zarządzaniu ryzykiem ICT obejmują:

• politykę zarządzania ryzykiem;
• strategię operacyjnej odporności cyfrowej;
• politykę bezpieczeństwa;
• politykę ciągłości działania / plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej (tzw. disaster recovery);
• proces zarządzania incydentami, w tym procedury reagowania na incydenty;
• procedurę testowania operacyjnej odporności cyfrowej;
• strategię dotycząca ryzyka związanego z usługami ICT, w tym ryzyk ze strony zewnętrznych dostawców usług ICT;
• procedury tworzenia kopii zapasowych, a także procedury i metody przywracania i odzyskiwania danych;
• inne wymagane dokumenty opisujące system zarządzania bezpieczeństwem informacji.

Zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT

Obowiązek zarządzania ryzykiem stron trzecich jest integralnym elementem ogólnego ryzyka ICT i obejmuje:

• obowiązek zapewnienia zgodności zawartych umów dotyczących usług ICT z ustanowionymi wymogami;
• obowiązek prowadzenia rejestru umów.

Outsourcing usług płatniczych

Powierzenie wykonywania określonych czynności operacyjnych związanych ze świadczeniem usług płatniczych lub z działalnością w zakresie wydawania pieniądza elektronicznego (w tym czynności istotnych) określone jest w art. 86 Ustawy o usługach płatniczych.

Warto zwrócić uwagę na warunki powierzenia usług płatniczych insoucerowi, zgodnie z którymi:

• powierzenie nie wpłynie niekorzystnie na prowadzenie przez spółkę działalności zgodnie z przepisami prawa i wydanym jej zezwoleniem oraz na ostrożne i stabilne zarządzanie spółką;
• insourcer posiada uprawnienia do wykonywania czynności w zakresie przedmiotu umowy;
• insourcer posiada niezbędną wiedzę i doświadczenie oraz zapewnia warunki techniczne i organizacyjne niezbędne do prawidłowego wykonywania umowy outsourcingu, a w szczególności posiada odpowiedni system zarządzania ryzykiem, w standardzie nie niższym niż wymagany od instytucji płatniczej, odpowiednią infrastrukturę techniczną i technologiczną, zdolność raportowania obejmującą informacje na temat procesu świadczenia usług zgodnie z wymogami spółki;
• sytuacja finansowa insourcera pozwala na prawidłowe wykonywanie umowy;
• insourcer umożliwi skuteczne nadzorowanie przez spółkę wykonywania powierzonych mu czynności oraz zarządzanie ryzykiem związanym z powierzeniem czynności;
• spółka będzie posiadać dostęp do informacji i dokumentów związanych z wykonywaniem czynności powierzonych insourcerowi;
• spółka posiada plan działania zapewniające ciągłe, bezpieczne i niezakłócone prowadzenie działalności w zakresie objętym umową, również w przypadku rozwiązania umowy.

Reżim outsourcingu uzupełniają akty prawa miękkiego – tzw. soft law, w tym:

• Rekomendacja D KNF dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach;
• Rekomendacja M KNF dotycząca zarządzania ryzykiem operacyjnym w bankach,
• Wytyczne EBA ws. outsourcingu z  25.02.2019 r.;
• Wytyczne EBA ws. ICT i zarządzania ryzykiem bezpieczeństwa z 28.11.2019 r.;
• Stanowisko UKNF ws. outsourcingu;
• Komunikat UKNF ws. chmury obliczeniowej oraz moduł Q&A w zakresie stosowania Komunikatu UKNF ws. chmury obliczeniowej.

Polityka w zakresie korzystania z usług dostawców ICT powinna określać:

• środki i kluczowe wskaźniki służące bieżącemu monitorowaniu wyników zewnętrznych dostawców usług ICT;
• zasady przekazywania sprawozdań działań i usług;
• zasady oceny wyników dostawców ICT za pomocą kluczowych wskaźników efektywności, kluczowych wskaźników kontroli, audytów, samocertyfikacji i niezależnych przeglądów;
• zasady powiadamiania o incydentach;
• środki stosowane przez podmiot finansowy w przypadku stwierdzenia niedociągnięć ze strony dostawcy ICT;
• plan wyjścia z umowy z dostawcą ICT, obejmujący min. nieprzewidziane i trwałe przerwy w świadczeniu usług, świadczenie usług w sposób nieodpowiedni lub brak świadczenia usług, niespodziewane wypowiedzenie ustalenia umownego;
• zasady zawierania umów z dostawcami usług ICT wspierających krytyczne lub kluczowe funkcje i wyznaczenie osoby odpowiedzialnej;
• rodzaj usług ICT, miejsce jej świadczenia, siedzibę dostawcy usługi ICT, wzmiankę o przynależności dostawcy do grupy;
• charakter danych przekazywanych dostawcy ICT;
• zasady korzystania z usług dostawcy ICT, posiadającego zezwolenie na świadczenie usług w innym państwie członkowskim;
• ryzyko uzależnienia od zewnętrznych dostawców ICT;
• zasady migracji usług ICT do innego dostawcy;
• wpływ zakłóceń w świadczeniu usług ICT na ciągłość działania podmiotu finansowego;
• zasady audytu i zewnętrznego przeglądu dostawców usług ICT;
• zasady oceny ryzyka dostawcy ICT;
• zapisy umowne – wzorcowe klauzule.

Jakie mogą być funkcje usługi ICT?

Przede wszystkim, ICT development, czyli świadczenie usług związanych z analizą biznesową i projektowaniem. ICT helpdesk zajmuje się tworzeniem i testowaniem oprogramowania. ICT security management services obejmuje świadczenie usług związanych ze wsparciem helpdesku i wsparciem w zakresie incydentów ICT. ICT security management services obejmuje bezpieczeństwo ICT, czyli ochronę, wykrywanie, reagowanie, odzyskiwanie i obsługę incydentów bezpieczeństwa.

Wśród innych funkcji warto wymienić:

• Provision of data – usługa dostawców danych;
• Data analisys – usługi wsparcia analizy danych;
• ICT facilities and hosting – zapewnienie infrastruktury ICT, obiektów i usług hostingowych;
• Computation – zapewnienie możliwości przetwarzania cyfrowego;
• Non-Cloud Data storage – zapewnienie platformy przechowywania danych (z wykluczeniem usług w chmurze);
• Telecom carrier – operacje dla systemów telekomunikacyjnych i zarządzanie przepływem;
• Network infrastructure – zapewnienie infrastruktury sieciowej;
• Hardware and physical devices – dostarczanie stacji roboczych, telefonów, serwerów, urządzeń do przechowywania danych;
• Software licensing – dostarczanie oprogramowania działającego lokalnie;
• ICT operation management – świadczenie usług związanych z konfiguracją infrastruktury, konserwacją, instalacją, zarządzaniem pojemnością;
• ICT Consulting – świadczenie usług w zakresie wiedzy ICT;
• ICT risk management – weryfikacja zgodności z wymogami zarządzania ryzykiem;
• Usługi Infrastructure-as-a-Service / Usługi Platform-as-a-Service / Usługi Software-as-a-Service.

Wzorcowe klauzule umowne – wytyczne ZBP

Wzorcowe klauzule, dotyczące współpracy w zakresie dostawców wspierających usługi krytyczne lub istotne obejmują zasady i postanowienia dotyczące:

• wypowiadania umowy;
• określenia miejsca świadczenia usług;
• bezpieczeństwa danych i zasady informowania o incydentach związanych z bezpieczeństwem danych;
• dostarczania raportów z obszaru bezpieczeństwa teleinformatycznego oraz środków i testów ciągłości działania;
• zwrotu, usunięcia i dostępu do danych;
• współpracy dostawcy z podmiotem finansowym;
• przeprowadzania testów penetracyjnych;
• przeprowadzania audytu (w tym audytów środków kontroli wewnętrznej i audytów finansowych;

a także alternatywne poziomy zabezpieczeń, obowiązki dostawcy w kontekście umowy z podwykonawcami, plany reagowania na incydenty i plany ciągłości działania, strategie wyjścia oraz gwarantowany poziom jakości usług (SLA).

Artykuł powstał na podstawie webinarium, które 21 października 2024 r. prowadziła radca prawny Monika Macura, na temat podstawowych zagrożeń, regulacji oraz dobrych praktyk w zakresie cyberbezpieczeństwa dla instytucji finansowych. Pełne nagranie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych” jest dostępne na kanale youtube.