PKO Bank Polski: obszarem cyberbezpieczeństwa należy zarządzać dynamicznie

Z Radosławem Januszem, dyrektorem Biura Architektury i Usług Cyberbezpieczeństwa w PKO Banku Polskim rozmawiam o tym, dlaczego więcej uwagi trzeba poświęcać bezpieczeństwu klientów banku; na czym polega współpraca z przedstawicielami innych obszarów, a także o dynamicznym zarządzaniu ochroną w kontekście zmieniających się wyzwań i potrzeb.

W jaki sposób cyberzagrożenia rozkładają się dziś pomiędzy bankiem a jego klientami? Jak wpływa to na Państwa strategię i taktykę?

Zagrożenia obserwujemy zarówno w przypadku klientów banku, jak i samego banku. Ponieważ jednak nasz sektor od wielu lat mocno inwestuje w cyberbezpieczeństwo – zabezpieczanie systemów i infrastruktury IT – rzadko słychać o skutecznych cyberatakach na infrastrukturę banków. Coraz mniej słyszymy np. o skutecznych atakach opierających się na wzmożonym ruchu – DoS i DDoS, bo coraz lepiej, jako banki, sobie z nimi radzimy.

Natomiast coraz więcej jest przykładów wykorzystania zasad psychotechnik w atakach na naszych klientów. To obecnie jeden z bardziej wrażliwych – z punktu widzenia banków – obszarów CyberSec. Za pomocą psychotechniki cyberprzestępcy operują metodami „na wnuczka”, „na OLX”, „na BLIK” itd. Scenariuszy jest dużo, są zmienne, wciąż nowe, konstruowane pomysłowo i starannie, aby skutecznie zaskakiwać klientów banków.

W gruncie rzeczy schemat za każdym razem polega na tym samym: wywarciu presji na podjęcie określonej decyzji. Można to uzyskać, wzbudzając złe emocje, np. coś się wydarzyło i trzeba zareagować, lub odwrotnie: odwołując się do emocji pozytywnych, np. obietnicy szybkiego zysku. W każdym wypadku atakujący wywiera presję na to, by decyzja klienta byłą podjęta szybko, pod wpływem emocji. „wnuczek”, „spadek”, „inwestycja” nie mogą czekać. Ludzie są podatni na jedno i na drugie – na strach albo na oczekiwane pozytywne emocje.

Z perspektywy banku musimy więc kłaść większy nacisk na bezpieczeństwo klienta i budowanie w nim świadomości zagrożeń oraz potrzeby nieustannej ostrożności.

W lipcu 2023 roku PKO Bank Polski ruszył z kampanią „Zwolnij, by wyprzedzić oszustów”, która prezentuje typowe sytuacje takiego ataku. Zastanawiam się nad mechanizmem tworzenia tej komunikacji. Czy to produkt jakiejś wstecznej inżynierii społecznej, odtwarzającej scenariusze i mechanizmy ataku, na które trzeba zwrócić uwagę jak największej liczbie osób? I w związku z tym, czy jest to efekt pracy uzyskany na podstawie nowych, specjalnych kompetencji w tym względzie, ulokowanych np. w specjalnej komórce CyberSec?

Nie, to nie jest działanie scentralizowane. Mamy rozbudowaną strukturę i prace w obszarze tematyki bezpieczeństwa są rozproszone w całej organizacji. Przykładowo za zabezpieczanie klientów kanałów zdalnych odpowiadają zespoły zajmujące się wytwarzaniem naszej aplikacji mobilnej IKO oraz serwisu iPKO, przy wsparciu innych jednostek, np. departamentów walczących z fraudami czy z moją jednostką, Departamentem Cyberbezpieczeństwa.

Klient jest chroniony przez wiele różnorodnych zabezpieczeń, by przestępca nie miał szans przejęcia jego konta w aplikacji mobilnej czy serwisie www. Dla przykładu, staramy się analizować to, co dzieje się z finansami i w aplikacjach klienta. Jeśli zaobserwujemy zachowanie odbiegające od pewnego wzorca, wtedy włączają się specjaliści, którzy odpowiadają za monitorowanie transakcji klienta, za tzw. fraudy, i w niektórych przypadkach blokują operacje o charakterze budzącym wątpliwości.

Właściwe cyberbezpieczeństwo – jako jednostka i funkcja banku – jest zagadnieniem rozciągającym się szerzej niż to, co widzi nasz klient. Dostarczamy narzędzia i dbamy o to, aby zabezpieczyć bank i naszych klientów na wypadek już zidentyfikowanych scenariuszy oraz wyszukiwać nowe, zaskakujące zjawiska w działaniach klientów i w ich otoczeniu.

Za komunikację z klientem odpowiada osobna komórka w banku, która przygotowuje działania we współpracy z nami, jak już poznamy schemat scenariusza ataku – po to, aby przed nim ostrzec klientów. Ponadto tworzymy informacje uniwersalne, budujące odpowiednie podejście klientów do korzystania z kanałów cyfrowych i ogólnych zasad bezpieczeństwa. To bardzo ważne, aby prowadzić regularne działania edukacyjne, ponieważ informując tylko o konkretnych typach ataku, będziemy zawsze o krok za przestępcami.

Ogólne zasady, fundamenty naszego podejścia, pozwalają nam uprzedzać czy wykluczać pewne próby ataku już na początku. Przykładem jest choćby uświadomienie istnienia mechanizmów wywołujących silne emocje, by w określonych sytuacjach związanych z tymi emocjami zawsze klientowi zapalała się lampka ostrzegawcza.

Efektem tej edukacji ma być, tak samo jak u klienta, również u pracownika pewien spójny sposób myślenia o CyberSec?

Tak, wrażliwość, zachowanie zdrowego rozsądku i określone umiejętności są kluczowe zarówno u klienta, jak i pracownika banku.

Departament Cyberbezpieczeństwa jest odpowiedzialny za dostarczanie narzędzi, które on świadomie będzie wybierał i aplikował stosownie do sytuacji?

Większość narzędzi w banku nie jest świadomie używana przez użytkowników. Pozostają one w tle i chcemy, by tak działały – bez wpływu na pracę naszych pracowników.

I nie ma potrzeby, aby wyposażać w wiedzę o nich np. szefów jednostek biznesowych? Aby pogłębić w nich świadomość i poczucie, że CyberSec to coś istotnego?

Są oczywiście grona, w których taką świadomość budujemy. To dotyczy np. kwestii finansowania naszej pracy. Musi być transparentność i zrozumienie korzyści z niej płynących. Dlatego dobrze komunikujemy to architektom budżetu banku.

Inny przykład to obszar HR. Także w tym wypadku staramy się wyjaśniać, w jaki sposób i dlaczego kompetencje ze świata cyberbezpieczeństwa są wysoko wyceniane przez rynek. Mówimy również co w związku z tym robić, aby je pozyskiwać i utrzymywać.

Podobnie menadżerowie z obszaru technologii, często używanie naszych narzędzi wymaga też pracy ludzi spoza naszej jednostki, czy to w zakresie utrzymania, infrastruktury, czy integracji między aplikacjami biznesowymi z naszymi narzędziami.

Jednym ze stosowanych przez nas paradygmatów – zgodnie z koncepcją Shift-Left Testing – jest jak najwcześniejsze testowanie aspektów bezpieczeństwa, nawet na środowiskach deweloperskich. Tam, gdzie jest to możliwe stosujemy narzędzia analizy oprogramowania pod kątem podatności. Jeśli wiemy, z jakich bibliotek ono korzysta, to automatycznie możemy wykluczać te wersje, które zawierają znane podatności. Najłatwiej to wychwycić już na bardzo wczesnym etapie rozwoju oprogramowania. Dzieje się to automatycznie.

W organizacji budujemy zatem świadomość znaczenia i zakresu pracy oraz złożoności aspektów CyberSec. Natomiast nie jest to świadomość masowa.

Jak obszar CyberSec jest osadzony w strukturze PKO Banku Polskiego? Czy  funkcjonuje w nim model DevSecOps?

Wiele kwestii rozstrzyga struktura organizacyjna. W PKO Banku Polskim Departament Cyberbezpieczeństwa jest w obszarze IT, który obejmuje także pion rozwoju aplikacji oraz pion infrastruktury. Jesteśmy trzecim podmiotem w ramach szerokiego obszaru IT. Nie ma pomiędzy nami barier. Wspólnie podlegamy temu samemu członkowi zarządu, naszemu CIO. Ta sytuacja ułatwia m.in. wdrażanie modelu DevSecOps. Hasło to w naszym banku przybrało już realny kształt i przynosi efekty. To proces, który rozpoczęliśmy i będziemy rozwijać – zacieśniać tak zdefiniowaną współpracę.

Czy DevSecOps ma także przełożenie na wybory architektoniczne? Czy taki model pozwala przekładać rozpoznane fakty dotyczące kontekstu na wnioski i decyzje co do strategicznych kwestii, uzasadniając to miarami ryzyka?

Kontekst to słowo klucz. Wychodzimy od potrzeb, do których przypisujemy oszacowanie ryzyka. W ten sposób określamy, co tak naprawdę możemy robić. Nazywamy to widocznością, ponieważ dotyczy tego, co się dzieje w danym oprogramowaniu, aplikacji czy systemie. Im ryzyko niższe, tym zapewnienie widoczności jest mniej istotne.

Możemy wówczas pójść na pewnego rodzaju ustępstwa. Nie potrzebujemy m.in. tak krótkich czasów reakcji czy specjalistycznych zasobów. I odwrotnie, jeśli jakieś rozwiązania są zakwalifikowane jako krytyczne, to ich monitorowanie musi być bardzo dokładne, szybkie i na wysokim poziomie. Te analizy potrzeb i ryzyka oraz obserwacje dają z kolei podstawę do wpływania na decyzje o kierunkach rozwoju architektury danych systemów.

Czy w taki sam sposób jesteście w stanie opiniować i kształtować zmiany w procesach wytwarzania? Przykładowo czy głos Departamentu Cyberbezpieczeństwa ma znaczenie, gdyby przyszło decydować o wprowadzeniu automatyzacji z użyciem AI do wytwarzania kodu aplikacji? Jak często włączacie się w ocenę przyszłych rozwiązań IT?

Odpowiadając najkrócej, często włączamy się w kształtowanie procesu wytwarzania oprogramowania. Naszą ambicją jest, abyśmy zawsze byli w tych procesach obecni, byśmy w praktyce, na partnerskich warunkach, na bieżąco realizowali koncepcję DevSecOps.

Podana jako przykład generatywna sztuczna inteligencja to – z naszego punktu widzenia – jeszcze ciekawostka. Czytelnicy na pewno orientują się, że problemem z jej używaniem w zaawansowanych zastosowaniach jest choćby kwestia praw autorskich do kodu źródłowego, a precyzyjniej utraty pełni kontroli nad powstającym kodem. W związku z tym jesteśmy tu ostrożni.

Natomiast świat GenAI bardzo dynamicznie się rozwija. Coraz częściej słychać o dużych modelach językowych, które można mieć w ramach własnej infrastruktury. Wówczas oczywiście odzyskujemy kontrolę nad treściami i danymi. Przyglądamy się temu i niebawem będziemy lepiej wiedzieć, jak z tego bezpiecznie korzystać, bo potencjał biznesowy tych narzędzi widać gołym okiem.

Bardzo proszę o odniesienie się do dynamiki także w ramach zarządzania aktywami technologicznymi. Czy cyfrowy kontekst, bardzo zmienny, nie powoduje również zmienności oceny tego, co jest a co nie zasobem krytycznym? Być może to byłby krok w stronę urealnienia cyberobrony w sytuacji deficytu zasobów. Można by sobie wyobrazić zdjęcie – okresowo – klauzuli krytyczności z określonego systemu czy aplikacji, a w ślad za tym obniżenie dla niego wspomnianego poziomu „widoczności”. Tym samym też zaangażować w ochronę adekwatnie mniej zasobów.

Portfolio usług, które realizują banki, jest coraz szersze. Banki są obecne w e-commerce, otwierają własne marketplace’y. Zatem nie wszystko, co robimy podpada pod definicję procesów krytycznych czy Ustawę o Krajowym Systemie Cyberbezpieczeństwa. W związku z tym można – i należy – zarządzać dynamicznie obszarem cyberbezpieczeństwa w banku. Każdorazowo wychodząc od potrzeb biznesu, aplikujemy wskaźniki ryzyka i odpowiednio dobieramy narzędzia oraz czułość monitorowania.

Niedawno w debacie redakcyjnej poświęconej Disaster Recovery pojawił się wątek tzw. złotych kopii, odpowiednio dobranych elementów, które pozwolą w przypadku zdarzenia losowego przywrócić krytyczne procesy. Byłoby logiczne, aby także ten zestaw był dynamicznie odświeżany w odniesieniu do nieustannej oceny potrzeb i ryzyka. Jaka architektura najlepiej pomoże zrealizować cele wspomnianej „złotej kopii”? Czy, biorąc doświadczenia ukraińskich banków, chmura byłaby dobrym rozwiązaniem?

Obserwacja wydarzeń wynikających z wojny na Ukrainie ma dla nas znaczenie i zmusiła do pewnych refleksji, zwiększyła naszą czujność. Sytuację ataku na Polskę, militarnego czy innego, skutkującego znaczącą utratą infrastruktury, trzeba rozpatrywać z punktu widzenia naszej geografii. Mamy wiele centrów danych. Korzystamy z chmury. Natomiast fizycznie i tak większość tej infrastruktury jest zlokalizowana – i to dotyczy większości banków w Polsce – w Warszawie.

To rodzi pytanie: czy Warszawa, jako centrum przetwarzania danych sektora finansowego, naprawdę jest bezpieczna? Czy to najlepsze miejsce do ulokowania chociażby złotej kopii? Może powinna być ulokowana w większej odległości? To są pytania, na które musi sobie odpowiedzieć każdy bank i każda firma.

Wspominaliśmy kilkukrotnie o zmienności, dynamice. Czy uwzględniając strategię, potrzeby banku, rysują się obecnie jakieś szczególnie ważne trendy i zjawiska technologiczne w obszarze cyberbezpieczeństwa?

O kilku takich zjawiskach już rozmawialiśmy, DevSecOps, Shift-Left Testing. To już nie tyle hasła czy nowinki, ale koncepcje, które realizujemy i będziemy kontynuować.

Podobnie z podejściem Zero Trust. To nadrzędny kierunek, w którym idziemy jako bank. Część elementów tego podejścia już zrealizowaliśmy, inne są zaplanowane. Ważny jest tu aspekt edukacyjny. Jest kluczowy dla podejścia Zero Trust, bo to nie jest praca, którą wykonamy raz, ale ustawiczny proces. Musimy zbudować w organizacji nawyki i sposób myślenia, filozofię, procesy, aby to coraz lepiej i skuteczniej działało w przyszłości.

Oprócz tego, bankowość ma znaczenie poza sektorem finansowym. Jest silnie uregulowana, co ma wpływ na świat cyberbezpieczeństwa. Przed nami rekomendacja DORA. Jej wdrożenie do polskiego prawa będzie kwestią istotną nie tylko z punktu widzenia cyberbezpieczeństwa, lecz także całego sektora IT.

Mówiliśmy również o kompetencjach, które stają się coraz bardziej cenne na rynku. Pozyskiwanie odpowiedniej liczby ekspertów stanowi wyzwanie. Jednak mamy nadzieję na poprawę sytuacji. W Warszawie i innych ośrodkach akademickich znajdziemy kilka uczelni oferujących programy cyberbezpieczeństwa. Może za kilka lat liczba ekspertów w dziedzinie CyberSec będzie wystarczająca, aby sprostać potrzebom sektora.

Wspomniał Pan DORA. Spodziewa się Pan dalszych prób dogonienia technologii przez prawo? Do którego momentu będzie to miało uzasadnienie, a kiedy stanie się przeszkodą w efektywnym funkcjonowaniu?

Unia Europejska dąży do coraz bardziej szczegółowego regulowania różnych aspektów życia, w tym technologii. Moim zdaniem nie wszystko da się uregulować. Życie toczy się własnym torem, a regulacje nie zawsze nadążają za zmianami. Przyjrzyjmy się np. sztucznej inteligencji. To nie jest nowość, funkcjonuje od dziesiątków lat. Obecnie zyskała ogromną popularność dzięki dużym modelom językowym, które przyciągnęły uwagę społeczeństwa. Dopiero teraz ustawodawcy i regulacje zaczynają reagować na te zmiany.

Podobnie wiele innych technologii, takich jak kryptowaluty, istnieje od dawna. Dopiero jednak niedawno stały się obiektem zainteresowania regulacyjnego. Prawo często goni za rozwojem technologii, co rzeczywiście rodzi pytania o sens takiego podejścia. Być może powinniśmy rozważyć luźniejsze regulacje, które nie ingerują w konkretne aspekty technologii. Może warto podchodzić do tego filozoficznie, zamiast próbować uregulować każdy szczegół. Czy się jednak tego spodziewam? Szczerze mówiąc, nie.

Mieliśmy podobną rozmowę ze Sławomirem Panasiukiem, wiceprezesem KDPW i Zbigniewem Wilińskim, dyrektorem Departamentu Innowacji w KNF. Być może ukierunkowanie na wyrównanie szans powinno być celem, aby uczestnicy rynku nie tracili w stosunku do tych graczy, dla których po prostu jeszcze powstały stosowne ustawy?

Warto wspomnieć w tym kontekście o sektorze FinTech. Nie tak dawno Revolut zdobywał rzesze nowych użytkowników. Następnie pojawili się jego naśladowcy, jak np. N26 w Niemczech. To były instytucje z sektora FinTech, które oferowały usługi finansowe, ale nie były bankami. Dlatego miały nieco łatwiejszy start, nie podlegając regulacjom, które obowiązują tradycyjne banki. Mogły też zapewnić klientom prostszy dostęp do usług finansowych, co przekładało się na wygodę.

Jednak regulacje z czasem obejmują również FinTechy. Revolut ma obecnie status banku i licencję. Okazuje się, że nie generuje już takich przyrostów użytkowników ani zysków, jak wcześniej, a procesy w jego aplikacjach mobilnych przestają być tak przyjazne. Pojawiają się klauzule, zgody i inne aspekty regulacyjne. Wprowadza to elementy przypominające tradycyjne banki. To duża zmiana z perspektywy klienta.

Czy to dobra ścieżka? Dla klienta końcowego odpowiedź może nie być jednoznaczna: z jednej strony interfejsy klienckie, niegdyś bardzo proste, stają się nieco bardziej złożone. Z drugiej – małe podmioty obarczone dużym ryzykiem, tak istotnym gdy chodzi o finanse, stają się bezpieczniejsze, bo są regulowane, a zatem i objęte gwarancjami bankowymi.

A z perspektywy cyberbezpieczeństwa?

Cyberbezpieczeństwo to obszar, w którym konkurencja między instytucjami – niezależnie od tego, czy są to banki, czy inne podmioty – nie powinna być priorytetem, a czasem może stanowić zagrożenie. Istnieje pewna fundamentalna rola regulacji w tym kontekście.

Oczywiście, ważne jest, aby regulacje uwzględniały ewolucję cyberbezpieczeństwa i jego rolę w firmach, a także potrzebę współpracy i otwierania się na nowe wyzwania. Jednak nie mogą być zbyt szczegółowe. Jak już wspomnieliśmy, technologia rozwija się dynamicznie, szybciej niż prawo. Dlatego zbyt detaliczne regulacje mogą stać się przestarzałe już w momencie ich wejścia w życie. To jest nieskuteczne i może być ograniczeniem, w związku z tym warto zabiegać u regulatorów o to, by wystrzegali się podobnych pułapek.

Nie odnosząc się do konkretnych rozwiązań i producentów, czy widzi Pan, że na rynku rozwiązań cyberbezpieczeństwa panuje stagnacja, czy wręcz przeciwnie – przyspieszenie?

Rynek cyberbezpieczeństwa rozwija się dynamicznie i wydaje mi się, że ten rozwój wciąż przyspiesza. Wspominaliśmy już np. o sztucznej inteligencji w kontekście CyberSec. Uczenie maszynowe, algorytmy samouczące są coraz powszechniej stosowane i znajdują coraz więcej obszarów, w których przynoszą realną wartość biznesową. To dynamicznie rozwijający się obszar.

Również w obszarze narzędzi bezpieczeństwa nie brakuje innowacji, także innych niż AI, które pozytywnie wpływają na funkcjonalność narzędzi cyberbezpieczeństwa. Rynek tych narzędzi jest różnorodny. Mamy wiele dużych graczy oferujących bogate portfolio narzędzi, ale jest też szerokie grono mniejszych firm, dynamicznie rozwijających produkty – czasem obserwujemy także konsolidację, tj. przejmowanie mniejszych graczy przez większych.

Czyli jest równowaga między wytwarzaniem i pojawianiem się na rynku nowych pomysłów a ich konsolidowaniem przez wielkie marki?

Zdecydowanie tak. Są mali i wielcy dostawcy. Jest ich wielu i wciąż przybywa. Nie mamy odpowiednika Microsoftu w świecie cyberbezpieczeństwa.

Gdyby zechciał Pan zatem podsumować. Co jest dziś najważniejszym wyzwaniem dla działów cyberbezpieczeństwa?

Gdybym miał podsumować to jednym słowem, to: człowiek. W naszej rozmowie wielokrotnie wspominaliśmy o nim i jego roli w różnych kontekstach. Mówimy tu o pracownikach banku, specjalistach ds. cyberbezpieczeństwa, ale także klientach. Człowiek stanowi zarówno najmocniejsze, jak i najsłabsze ogniwo w łańcuchu CyberSec. Napisana 20 lat temu książka Kevina Mitnicka pt. „Sztuka podstępu. Łamałem ludzi, nie hasła” nadal jest aktualna, a jej głównym tematem jest właśnie człowiek.

Ten człowiek jest bardziej świadomy tego, że żyje w świecie cyfrowym, czy pozostaje dzieckiem, które trzeba prowadzić za rękę?

Nie ma jednoznacznej odpowiedzi na to pytanie. Można by założyć, że młodsze pokolenia – które dorastają z telefonami w rękach – są już przyzwyczajone do technologii. Czasem słychać tezę, że każdy nastolatek rozumie ją i zdaje sobie sprawę z ryzyka. Słyszymy także, że szkoły poświęcają uwagę kwestiom związanym z cyberbezpieczeństwem. Dzieci uczą się o odpowiedzialności w internecie oraz właściwym obchodzeniu się ze swoimi danymi.

Jednak, moim zdaniem, wiedza w tej dziedzinie nie jest powszechna. Nadal wiele pracy przed nami. Chociaż młodsze pokolenia są bardziej zaznajomione z technologią, nie oznacza to, że są w pełni świadome cyberzagrożeń. Nie tylko seniorzy, lecz także młodsze osoby mogą być podatne na różnego rodzaju, wspomniane ataki psychotechniczne.

Jesteśmy tak zanurzeni w cyfrowym świecie, że podpisujemy bez mrugnięcia okiem kilkudziesięciostronicowe umowy, byle tylko skorzystać z usługi czy aplikacji.

Tak, a potem dowiadujemy się, że nasze zdjęcia z aplikacji trafiają na serwery w Azji czy Rosji. To właśnie sedno sprawy. Musimy skupić się na edukacji naszych pracowników i klientów, budując świadomość tego, co tak naprawdę może się stać z ich danymi i czego należy unikać. To kluczowy element działań w dziedzinie cyberbezpieczeństwa.

Rozmowę możemy podsumować tym, że dodatkowo cyberbezpieczeństwo wkłada kij w szprychy pędzącej machiny kapitalizmu inwigilacji, który opisała Shoshana Zuboff.

Dla dobra człowieka.