Bezpieczeństwo

Bezpieczeństwo
Niebezpieczeństwu staramy się w pierwszej kolejności przeciwdziałać.
Systematycznie podnosimy świadomość naszych pracowników w kwestii
zarządzania ryzykiem i zapewniamy klientom ochronę środków.
Prowadząc działalność bankową w dynamicznie zmieniającym się świecie, stale identyfikujemy różnego
rodzaju ryzyka. Na co dzień kierujemy się wymogami wynikającymi z przepisów prawa, rekomendacji i uchwał
Komisji Nadzoru Finansowego oraz naszymi wewnętrznymi regulacjami. Dzięki temu środki i dane, które
powierzają nam klienci, są bezpieczne.
Zarządzanie ryzykiem
Chcąc przeciwdziałać incydentom naruszającym bezpieczeństwo, przyjęliśmy w banku spójny zestaw zasad
odnoszących się do zarządzania ryzykiem operacyjnym oraz przeciwdziałania oszustwom. Za ich pomocą
regulujemy zakres i obowiązki pracowników – tak aby ograniczyć prawdopodobieństwo i skutki wystąpienia
incydentów związanych z niedostosowaniem lub zawodnością procesów, ludzi, systemów, jak również
spowodowanych przez zdarzenia zewnętrzne.
W latach 2013-2014 wdrożyliśmy liczne usprawnienia, które zwiększyły bezpieczeństwo środków i danych
powierzonych nam przez klientów. Miały też
na celu utrzymanie ryzyka operacyjnego na akceptowalnym poziomie. Polegały one między innymi na:
modyfikacji systemów i procesów operacyjnych,
przygotowaniach do przeciwdziałania atakom na infrastrukturę IT,
realizacji projektów z zakresu bezpieczeństwa fizycznego, ciągłości działania i przeciwdziałania
cyberprzestępczości,
doskonaleniu mechanizmów utrzymania ciągłości kluczowych procesów oraz systemu zarządzania
kryzysowego,
monitorowaniu i testowaniu mechanizmów zapewniających bezpieczeństwo fizyczne osób i mienia
banku,
podnoszeniu świadomości pracowników w obszarze efektywnego zarządzania ryzykiem operacyjnym
oraz przeciwdziałaniu oszustwom poprzez wprowadzenie nowych szkoleń obowiązkowych dla wszystkich
zatrudnionych w banku.
Szkolenia z zakresu bezpieczeństwa oraz przeciwdziałania oszustwom są
obowiązkowe dla wszystkich pracowników banku. W ten sposób systematycznie
podnosimy świadomość naszych pracowników i zapewniamy klientom większe
bezpieczeństwo. Szkolenia te są prowadzone w formie e-learningowej i dotyczą:
ochrony informacji, ciągłości działania, umiejętności oceny kontroli i ryzyka,
bezpieczeństwa laptopów, urządzeń mobilnych, dobrych praktyk korzystania z
poczty elektronicznej oraz pamięci USB. Więcej na ten temat w rozdziale
Edukacja na temat ryzyka braku zgodności.
Monitoring
Stale dostosowujemy naszą ofertę do potrzeb klientów. Jednak każda decyzja o wdrożeniu nowych lub o
zmianie istniejących produktów i usług poprzedzona jest wnikliwą analizą. Uwzględnia ona wszystkie aspekty
związane z funkcjonowaniem produktu, a szczególnie mechanizmy ograniczające potencjalne zagrożenia:
zgodność produktu z regulacjami prawa,
dostosowanie produktu do potrzeb i możliwości klienta,
zgodność ze strategią banku,
zasady księgowania i raportowania,
potencjalne ryzyka związane z produktem.
Wdrożone już produkty i usługi stale monitorujemy. Ważną funkcję mają tu do spełnienia koordynatorzy ds.
ryzyka operacyjnego. Do ich głównych zadań należą kontrole, obserwacje oraz szkolenia pracowników. W razie
wystąpienia nieprawidłowości zobowiązani są do ich zgłaszania.
16
koordynatorów ds.
ryzyka operacyjnego
w 16 regionach w
całej Polsce
Koordynatorzy prowadzą też ankiety satysfakcji klientów, analizują reklamacje i sprawdzają oddziały pod
kątem:
fizycznego bezpieczeństwa naszych klientów,
ochrony danych – przestrzeganie zasady czystego biurka, tj. zabezpieczania dokumentów i stacji
roboczych,
edukacji pracowników i klientów na temat korzystania z bankowości elektronicznej, a co za tym idzie,
przestrzegania ich przed zagrożeniami (więcej na ten temat w rozdziale Edukacja klientów indywidualnych),
usprawniania procesów bankowych,
podnoszenia jakości obsługi poprzez prowadzenie audytów, po których proponują działania naprawcze.
Bezpieczeństwo systemów IT
Szybki wzrost znaczenia bankowości elektronicznej sprawia, że zabezpieczenia systemów IT stanowią kluczowy
element strategii zarządzania ryzykiem w banku. Mamy tu na względzie zarówno ochronę przetwarzanych
danych, jak i środków.
Ograniczamy wystąpienie incydentów już na etapie projektowania i rozwoju systemów IT, analizujemy też
ryzyka w przypadku istotnych zmian środowiska IT, a przede wszystkim stale monitorujemy bezpieczeństwo
systemów. Nasze systemy i aplikacje przetwarzające dane oparte są na standardzie ISO/IEC 27002:2005. W
latach 2013-2014 nie odnotowaliśmy uzasadnionych skarg dotyczących naruszenia prywatności klientów oraz
utraty danych.
Jednym z kluczowych aspektów bezpieczeństwa
teleinformatycznego banku jest utrata lub
niekontrolowana przerwa w działaniu systemów
informatycznych. Zatrzymanie naszych procesów
biznesowych opartych na systemach
informatycznych jest niedopuszczalne. Dlatego
przywiązujemy najwyższą wagę do zapewnienia
ciągłości ich działania – wdrażamy odpowiednie
rozwiązania technologiczne oraz tzw. Plany
Zachowania Ciągłości. Te ostatnie umożliwiają
odpowiednią reakcję w przypadku wystąpienia
sytuacji kryzysowej. Skuteczność planów
awaryjnych weryfikujemy podczas cyklicznych
testów. Sprawdzamy wówczas zachowanie ciągłości
pracy naszych krytycznych systemów. Testy te
realizowane są według scenariuszy, które
najbardziej prawdopodobnie imitują rzeczywiste
sytuacje kryzysowe. Cały proces trwa kilkanaście
dni i w tym czasie sprawdzamy zdolność banku do
realizacji krytycznych procesów biznesowych z
wykorzystaniem systemów zapasowych.
Dodatkowo, dla przyspieszenia procesu odtworzenia
naszych usług na systemach zapasowych, w latach
2013–2014 zautomatyzowaliśmy nasze plany
awaryjne. Skróciło to w istotny sposób czas ich
realizacji.
Paweł Kopicki
Ekspert IT
Bezpieczeństwo transakcji
Monitorujemy transakcje wykonywane kartami płatniczymi przez naszych klientów i wybrane potwierdzamy
telefonicznie z użytkownikiem karty. Ma to na celu identyfikowanie prób nieuprawnionego użycia karty i
zapobieżenie stratom. Wdrażamy także rozwiązania zwiększające bezpieczeństwo płatności kartowych. Jeżeli
zdarzy się sytuacja, w której karta klienta zostanie wykorzystana w sposób przestępczy – po zawiadomieniu
odpowiednich organów – zwracamy klientowi środki.
Transakcje wykonane przez internet zabezpieczamy jednorazowymi kodami, wysyłanymi na potwierdzony
przez klienta numer telefonu. Dbamy też o bezpieczeństwo transakcji wykonywanych za pośrednictwem
systemów bankowości internetowej. Na bieżąco informujemy użytkowników o pojawiających się zagrożeniach.
Informacje takie przekazujemy poprzez naszą stronę internetową oraz w formie komunikatów wysyłanych
bezpośrednio do użytkowników.
Aktualizowane zawiadomienia o trojanach, złośliwym oprogramowaniu czy wirusach zwiększają świadomość
niebezpieczeństw i jednocześnie pomagają się przed nimi ustrzec. Stworzyliśmy również tematyczne strony, na
których nasi klienci mogą się dowiedzieć o bezpiecznym mobilnym bankowaniu czy korzystaniu z kart
płatnicznych.
Aby jeszcze bardziej podnosić wiedzę na temat potencjalnych niebezpieczeństw, uczestniczymy w pracach
zespołów bezpieczeństwa przy Związku Banków Polskich. W ramach tej współpracy wymieniamy się
doświadczeniami z innymi bankami.