Minister Streżyńska: Bankowe Centrum Cyberbezpieczeństwa odpowiedzialne za cyberbezpieczeństwo sektora finansowego

Parlamentarzyści opozycji: Agnieszka Pomaska (fot.), Joanna Mucha, Sławomir Nitras, Paweł Olszewski, Cezary Tomczyk i Rafał Trzaskowski z Platformy Obywatelskiej, w formie interpelacji poselskiej nr 12636 zadali minister cyfryzacji Annie Streżyńskiej pytanie w sprawie ataków cybernetycznych.

Interpelanci pytali o przeszkolenie pracowników instytucji finasowych w zakresie cyberbezpieczeństwa, komunikacji pomiędzy instytucjami finansowymi, bankami i ubezpieczycielami, przeprowadzone audyty instytucji finansowych i o fakt posiadania przez nie kopii zapasowych danych.

Minister Cyfryzacji Anna Streżyńska odpowiedziała, że szkolenia pracowników instytucji finansowych leżą w kompetencjach poszczególnych podmiotów, zaś Ministerstwo Cyfryzacji nie jest właściwe do przeprowadzania tego typu szkoleń ani nie posiada narzędzi umożliwiających weryfikację czy i jak często są przeprowadzane. MC nie posiada również informacji, czy i jak są prowadzone szkolenia w innych, niezależnych instytucjach.

Czytaj też: Żołnierze PKW chronieni przed cyberatakiem

Kwestiami cyberbezpieczeństwa w sektorze finansowym zajmuje się utworzone przez Związek Banków Polskich Bankowe Centrum Cyberbezpieczeństwa. Do ZBP należy łącznie 106 banków komercyjnych, oddziałów instytucji kredytowych oraz banków spółdzielczych, których aktywa obejmują ponad 95 proc. sektora bankowego w Polsce - można więc według Streżyńskiej uznać, że jest to instytucja reprezentująca sektor bankowy w Polsce. Należy jednak wskazać, że ZBP jest partnerem Narodowego Centrum Cyberbezpieczeństwa (NC Cyber) i pozostaje w stałym kontakcie z CERT Polska. W związku z powyższym dla Ministerstwa kluczowa jest współpraca na linii banki - NC Cyber. Resort cyfryzacji nie posiada natomiast informacji o tym, jak wygląda komunikacja między poszczególnymi bankami.

Jeśli chodzi o audyt bezpieczeństwa teleinformatycznego, to jest to jedno z zaleceń, których muszą przestrzegać banki w Polsce, a wynika to z wydanej przez KNF rekomendacji D. Zgodnie z punktem 22 tej rekomendacji, obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów przeprowadzanych przez osoby posiadające odpowiednie kwalifikacje – odpowiada szefowa resortu cyfryzacji. Rekomendacje KNF to tzw. soft law. W przypadku ich nierespektowania przez bank takie działanie będzie jednak interpretowane przez Komisję jako naruszenie przepisów prawa powszechnie obowiązującego, które ustanawia nakaz ostrożnego i stabilnego zarządzania bankiem. Ministerstwo Cyfryzacji nie jest właściwe w omawianym zakresie – odpowiada Anna Streżyńska.

Minister cyfryzacji informuje także w odpowiedzi na interpelację, że wszystkie podmioty publiczne realizujące zadania w rozumieniu ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (tj. organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki samorządu terytorialnego i ich organy i in.) zobowiązane są posiadać system zarządzania bezpieczeństwem informacji. Rozporządzenie o krajowych ramach interoperacyjności reguluje konieczne działania wchodzące w skład takiego systemu. Mowa jest w nim również o zapewnieniu odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającym m.in. na minimalizowaniu ryzyka utraty informacji w wyniku awarii i ochronie przed błędami, utratą czy nieuprawnioną modyfikacją. Są to przepisy powszechnie obowiązujące, które podmioty objęte danym obowiązkiem muszą stosować.