Bezpieczeństwo klientów i ich środków

Bank posiada politykę bezpieczeństwa, która odnosi się również do zasad bezpieczeństwa cyfrowego. Zarząd przyjął tę politykę w 2015 roku. W Banku funkcjonuje Departament Cyberbezpieczeństwa, który zajmuje się:

•  zapewnianiem bezpieczeństwa systemu informatycznego Banku,
•  rozwojem systemów oraz monitorowaniem parametrów cyberbezpieczeństwa i usług krytycznych,
•  zapewnianiem obsługi zdarzeń i incydentów dotyczących cyberbezpieczeństwa, w tym zdarzeń i incydentów w zakresie bankowości elektronicznej.

Za kontrolę aktualnego poziomu bezpieczeństwa infrastruktury odpowiada dyrektor tego departamentu. Podlega mu również Operacyjne Centrum Bezpieczeństwa (SOC – Security Operations Centre). Za realizację polityki cyberbezpieczeństwa i kontrolę cyberbezpieczeństwa odpowiada dyrektor Departamentu Cyberbezpieczeństwa. Nadzór nad realizacją tych funkcji sprawuje wiceprezes Zarządu odpowiedzialny za Obszar Technologii. Nadzór nad realizacją polityki sprawuje prezes Zarządu. Aby doskonalić metody przeciwdziałania przestępstwom Departament Cyberbezpieczeństwa przygotowuje analizy i przedstawia Zarządowi i Radzie Nadzorczej Banku wnioski i rekomendacje dotyczące wdrożenia lub modyfikacji rozwiązań.

Monitorowaniem i reagowaniem na incydenty zajmuje się w Banku specjalistyczna komórka CERT PKO Banku Polskiego S.A. Aby zapewnić bezpieczeństwo informatyczne usług Banku w zakresie reagowania na incydenty wdrożono tryb pracy 24/7/365.

Od 2021 roku działa w Banku CyberSecurity Operations Center obejmujące również monitoring i reagowanie na incydenty w spółkach Grupy Kapitałowej Banku. Całodobowy SOC działa w oparciu o system klasy SOAR pozwalający na automatyzację w zakresie monitoringu, reagowania jak i obsługi incydentów bezpieczeństwa. W 2023 roku CERT PKO BP zgłosił i zablokował, we współpracy z CSIRT KNF, CERT Polska oraz CERT Orange, ponad 1 930 fałszywych stron. Celem oszustw były głównie usługi elektroniczne i klienci Banku, ale 20% zgłoszeń dotyczyło wyłudzeń innego typu, co pokazuje wkład zespołu CERT PKO BP w ogólny poziom bezpieczeństwa teleinformatycznego w polskiej cyberprzestrzeni. Bank korzysta z zaawansowanych mechanizmów ochrony przed atakami DDoS co pozwala CERT PKO BP na szybkie i sprawne reagowanie oraz usuwanie skutków ataków wolumetrycznych skierowanych na usługi bankowości elektronicznej.

CERT PKO BP jest członkiem międzynarodowego forum zrzeszającego zespoły reagujące na incydenty cyberbezpieczeństwa FIRST oraz należy do grupy roboczej europejskich zespołów reagujących (TERENA TF-CSIRT) i działającej przy niej organizacji Trusted Introducer. Jest też wiodącym uczestnikiem Bankowego Centrum Cyberbezpieczeństwa działającego pod patronatem Związku Banków Polskich.

Bank systematycznie edukuje pracowników w zakresie bezpieczeństwa środowiska teleinformatycznego oraz bezpieczeństwa informacji przetwarzanych w tym środowisku. Udostępnia pracownikom szkolenia e-learningowe dotyczące cyberbezpieczeństwa (10 modułów), dzięki którym użytkownicy zdobywają wiedzę dotyczącą potencjalnych zagrożeń. Powyższe szkolenia są obowiązkowe dla nowych pracowników. Bank realizuje szkolenia zgodnie z ustalonym harmonogramem i na bieżąco monitoruje ich realizację w ramach niezależnego monitorowania mechanizmów kontrolnych.

Zgodnie z polityką Banku zasad cyberbezpieczeństwa muszą przestrzegać również podmioty zewnętrzne (wykonawcy). Bank określa wymagania bezpieczeństwa dla dostawców usług IT w zakresie ochrony informacji, dostępu do budynków i pomieszczeń oraz ochrony systemów informatycznych Banku.

Podnoszeniu wiedzy pracowników służy też program symulowanych ataków phishingowych. Wiadomości wysyłane są do wszystkich zatrudnionych w Banku osób i imitują rzeczywiste zagrożenia, na jakie narażeni są na co dzień użytkownicy. Od 2022 roku cyklicznie przeprowadzany jest trening Security Awareness, którym objęto wszystkich pracowników oraz Zarząd Banku.

W Banku działa wewnętrzna komórka (RedTeam), która symuluje w sposób kontrolowany potencjalne ataki w celu identyfikacji słabych punktów jeszcze przed ich wykorzystaniem przez przestępców. Działania symulujące ataki zostały zautomatyzowane m.in. poprzez wdrożenie narzędzia klasy BAS (Breach and Attack Simulation). W 2023 roku rozpoczęto aktywne działanie komórki Purple Team wraz ze zbudowaniem platformy do współpracy zespołów ofensywnych i defensywnych.

W odpowiedzi na trendy związane z atakami na środowiska korporacyjne, w zakresie technologii aktualnie implementowanych w Banku na różnych poziomach, szczególną uwagę zwracano na bezpieczeństwo:

•  wykorzystania oprogramowania „open source” w procesach wydawania aplikacji (CI/CD),
•  implementacji narzędzi opartych o generatywną sztuczną inteligencję (genAI), wspierających procesy biznesowe (m. in. komunikacja z klientami, holistyczna analityka),
•  narzędzi opartych o technologię Blockchain i środowiska chmurowe.

W 2023 roku szeroko analizowano informacje w ramach ThreatIntelligence w zakresie działań realizowanych w cyberprzestrzeni związanych z konfliktem Rosja/Ukraina z jednoczesnym uwzględnieniem zagrożeń, które mogą się zmaterializować w Banku. Jednocześnie w związku z ciągle wysokim zagrożeniem wynikającym z fałszywych inwestycji i ataków phishingowych wdrożono system do identyfikacji trendów ataków na klientów oparty o zgłoszenia klientów. System ma na celu monitorowanie zmian w scenariuszach ataków na klientów.

Bank na bieżąco reaguje na zagrożenia w obszarze cyberbezpieczeństwa. Monitoruje źródła informacji, tworzy scenariusze potencjalnych zagrożeń, analizuje ryzyko, wdraża zabezpieczenia oraz w sposób zorganizowany reaguje na incydenty. W Banku funkcjonuje sformalizowany proces weryfikacji bezpieczeństwa i podatności nowych lub modyfikowanych systemów i aplikacji przed dopuszczeniem ich do produkcji. Każda zmiana projektowa która dotyczy systemu kluczowego dla procesów biznesowych, jest analizowana i poddawana audytowi bezpieczeństwa IT.

Audyt wewnętrzny obejmuje procesy IT minimum raz w cyklu 3-letnim. Wybór procesów IT do audytu wewnętrznego w danym roku zależy m.in. od: wyników przeprowadzonych audytów wewnętrznych, zmian środowiska teleinformatycznego, ryzyk związanych ze zidentyfikowanymi oszustwami wewnętrznymi i zewnętrznymi oraz zmian w przepisach wewnętrznych i zewnętrznych wpływających na funkcjonowanie i działalność operacyjną Banku. Wewnętrzne audyty procesów IT realizuje Zespół Audytu IT i Bezpieczeństwa, zgodnie z ustalonym harmonogramem. Audyty zewnętrzne cyberbezpieczeństwa są zlecane firmom audytowym z którymi Bank ma podpisane umowy ramowe.

Według Banku oraz PKO Towarzystwa Funduszy Inwestycyjnych S.A. najistotniejszym zagrożeniem dla bezpieczeństwa klientów są potencjalne przestępcze działania osób trzecich, wymierzone w klientów korzystających z elektronicznych kanałów dostępu do usług bankowych i inwestycyjnych.

Po pierwsze, w Banku stosowane są najnowsze rozwiązania bezpieczeństwa teleinformatycznego gwarantujące klientom bezpieczny dostęp do swoich środków. Bank stale podnosi jakość zabezpieczenia systemów IT, w szczególności w zakresie aplikacji wykorzystywanych przez klientów. Dotyczy to m.in. aktywnego zwalczania stron phishingowych podszywających się pod serwisy Banku, identyfikacji zamiarów oraz zdolności przestępców z uwzględnieniem taktyk, technik i procedur (normalizacja i ustrukturyzowanie informacji o zagrożeniach w jednym modelu danych), śledzenia rozwoju złośliwego oprogramowania atakującego klientów Banku, rozwoju mechanizmów wykrywania zainfekowanych komputerów klientów oraz doskonalenia reguł i rozszerzania zakresu monitoringu transakcji elektronicznych.

Po drugie, Bank przywiązuje bardzo dużą wagę do informowania i podnoszenia świadomości klientów na temat bezpiecznego korzystania z bankowości elektronicznej i kart płatniczych. Dzieje się tak dlatego, że bezpieczeństwo w tym zakresie uzależnione jest w znacznej mierze od działań użytkownika. Działania edukacyjne Banku to między innymi:

• regularne kampanie edukacyjne realizowane w mediach społecznościowych oraz innych kanałach służących do kontaktu z klientami np. portal edukacyjny www.bankomania.pkobp.pl,
•  filmy z przykładami realnych ataków publikowane w serwisie YouTube,
•  artykuły edukacyjne w mediach elektronicznych oraz prasie,
•  webinary oraz szkolenia z najczęściej występujących ataków,
•  bieżące odpowiedzi na zapytania klientów (e-mail, media społecznościowe),
•  spotkania stacjonarne dla klientów oraz osób zainteresowanych bankowością dotyczące najpopularniejszych oszustw (skierowane dla seniorów, przedsiębiorców i studentów),
•  bieżące przekazywanie mediom stanowiska Banku i materiałów edukacyjnych na temat cyberprzestępstw i zasad bezpieczeństwa,
•  bieżące kampanie i szerzenie wiedzy w zewnętrznych kanałach informacyjnych (obecnie trwa współpraca z radiem polegająca na udziale w audycjach dotyczących cyberbezpieczeństwa),
•  bieżące reagowanie na inne sygnały dotyczące zagrożeń,
•  przekazywanie klientom informacji nt. cyberbezpieczeństwa poprzez strony internetowe Banku, serwis transakcyjny i mailingi.

W 2023 wdrożono mechanizmy wykrywania i prewencji przeciw atakom typu „vishing” polegających na próbach podszywania się pod infolinię Banku i nakłaniania w ten sposób Klientów Banku do realizacji scenariuszy oszustw.

W 2023 roku Bank doskonalił systemy wykrywania incydentów, anomalii oraz zaawansowanych typów złośliwego oprogramowania. Automatyzował także wiele działań związanych z obsługą incydentów. Zapewnił aktualność technologiczną rozwiązań do informatyki śledczej zgodnie z aktualnym profilem wymagań.

Dodatkowo, przedstawiciele Banku angażują się w prace Bankowego Centrum Cyberbezpieczeństwa (BCC) przy Związku Banków Polskich. Celem BCC są kompleksowe i długofalowe działania na rzecz zwiększenia poziomu bezpieczeństwa bankowości mobilnej i elektronicznej oraz przygotowanie narzędzi (struktury, procedury, mechanizmy wymiany informacji) umożliwiających zarządzanie sytuacją kryzysową (np. w przypadku zmasowanego ataku).

Bank nie posiada certyfikacji w zakresie ISO 27001, jednak procesy i przepisy w zakresie cyberbezpieczeństwa tworzy w oparciu o wymagania tej normy. Wysoka dojrzałość organizacyjna w obszarze obsługi incydentów cyberbezpieczeństwa jest szczególnie istotna w świetle decyzji KNF z 2018 roku o uznaniu PKO Banku Polskiego S.A. za operatora usługi kluczowej w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa.