1

Mateusz Górnisiewicz Departament Inspekcji Bankowych, Instytucji Płatniczych

i Spółdzielczych Kas Oszczędnościowo-Kredytowych

Urząd Komisji Nadzoru Finansowego

IV Edycja IT BREAKFAST for FIN

Warszawa, 28 sierpnia 2014 r.

Ankieta „IT i bezpieczeństwo w bankach”

Podsumowanie przez UKNF

2

Agenda

1) Zdalna weryfikacja tożsamości

2) Pieniądz elektroniczny

3) Karty przedpłacone

4) Cyberprzestępczość – ataki DDoS

5) Outsourcing

6) Cloud computing

7) BYOD

8) Niewspierane oprogramowanie

9) End-User Computing

3

Ok. połowy banków

250 000 rachunków

Rekomendacje ZBP:

Integralność procesu

Tytuł przelewu

Przelew zwrotny

...

Zdalna weryfikacja tożsamości

4

> 15% banków – deklaracje

Głównie karty przedpłacone /

elektroniczne portmonetki

Potencjalna niezgodność

z definicją pieniądza

elektronicznego

Pieniądz elektroniczny

5

> 30% banków

Ok. 1 500 000 wydanych kart

Możliwość identyfikacji po NRB w

5 bankach

W niektórych przypadkach

deklarowany brak limitów salda

Karty przedpłacone

6

Maksymalnie 9 ataków w ciągu

roku

Niedostępność od 8 do 345 minut

(średnio 120 minut)

Identyfikacja w ciągu 5-30 minut

W większości przypadków

nieznane przyczyny

Cyberprzestępczość – ataki DDoS

7

Budżet utrzymaniowy: średnio 35 000 000 PLN

Budżet rozwojowy: średnio 20 000 000 PLN

Główni dostawcy to firmy telekomunikacyjne

Nie zawsze określone zasady doboru dostawców

Główne problemy i ryzyka:

Jakość świadczonych usług

Zagrożenie naruszeniem poufności danych

Zagrożenia dla ciągłości działania

Uzależnienie od dostawców

Niekiedy brak uwzględnienia outsourcingu w

zarządzaniu incydentami

Outsourcing

8

< 10% banków

Kolejne banki rozważają

Rzadkie wykorzystanie w zakresie do

istotnych usług

Zagrożenia:

Wydajność

Obsługa incydentów

Naruszenia poufności

Ciągłość działania

Cloud computing

9

> 10% banków

Głównie poczta elektroniczna

Przeprowadzono analizy ryzyka

Głównie przez VPN/dostęp terminalowy

Niekiedy wsparcie MDM

BYOD

10

> 60% banków

> 600 systemów

Używane również w istotnych procesach:

Księgowość

Obsługa płatności

Obsługa transakcji skarbowych

Bankowość elektroniczna

...

Niewspierane oprogramowanie

11

Korzystanie przez banki:

> 80% banków

Głównie komputery i bankomaty

Znaczna skala w 25%

przypadków

Korzystanie przez klientów:

Większość banków deklaruje

podejmowanie działań

edukacyjnych

Niewspierane oprogramowanie – Windows XP

12

> 80% banków wprowadziło zasady

(identyfikacja, logowanie dostępów,

właścicielstwo, ...)

Od 1 do ponad 300 narzędzi

Wspierane procesy:

Raportowanie

Zarządzanie sprzedażą

...

End-User Computing

13

Omówione tematy będą przedmiotem

zainteresowania UKNF

Jednocześnie należy pamiętać o już wcześniej

sygnalizowanych obszarach:

Zarządzania architekturą i jakością danych

Planowania strategicznego IT i współpracy

pomiędzy obszarami biznesowymi i

technicznymi

Systemu informacji zarządczej w zakresie IT

i bezpieczeństwa IT

Podsumowanie