Jak má banka chránit vaše údaje a peníze?
15.06.2021Chcete zaplatit kartou ve své oblíbené restauraci a terminály náhle vypoví službu. Případně si kontrolujete odchozí platby a bankovní server náhle spadne kvůli přetížení. Nebo vám zprostředkovatel penzijního připojištění „jenom“ oznámí, že si máte na všech svých účtech změnit heslo kvůli „technickému problému“. Od „nevinných“ incidentů, kdy firmě zajišťující transakce na pár minut vypadne proud, až po kyberútoky s potenciálem vyřadit celou bankovní korporaci – rizika moderních technologií se v dnešním finančnictví objevují prakticky všude.
Z pozice stínového zpravodaje se teď v Evropském parlamentu zabývám regulací, která má za cíl bezpečnost IT systémů finančních firem zvýšit. A jak nám vývoj nahlášených útoků v USA ukazuje, na zlepšení je nejvyšší čas.
To, jak (ne)dostatečně bankovní a pojišťovnické firmy současná IT rizika řeší, se liší od firmy k firmě – a od státu ke státu. A že řešení jsou povětšinou nedostatečná, stvrzuje server o IT bezpečnosti Purplesec, který odhalil, že až 50 % IT security expertů považuje své firmy za nedostatečně připravené odrazit ohrožení v podobě tzv. ransomwaru či obdobného útoku. Celkové náklady spojené s kyberkriminalitou navíc v posledních letech rostou, a vyšší bezpečnostní nároky jsou proto u tak důležitého sektoru, jakým jsou finance, velmi na místě. Návrh o digitální a operační odolnosti – v angličtině „Digital Operational Resilience Act“, nebo zkráceně „DORA“ –, na kterém s Piráty v EP pracuji, se s těmito problémy vypořádává napřímo.
Jasnější a vydatnější bezpečnostní nároky, strukturovaný způsob hlášení IT incidentů a usnadnění spolupráce mezi evropskými institucemi, národními regulátory a firmami jsou jen některými novinkami, se kterými DORA přichází.
Nejprve bychom si měli říct, proč by vlastně EU, potažmo členské státy, měly mít zájem digitální rizika ve finančnictví odbourávat. Pravda, mohlo by se zdát, že IT zajištění je jen další z mnoha firemních aktivit. Od účetnictví až po distribuci – způsob, jakým si firma řídí své záležitosti, by přeci měl být plně v její kompetenci, ne? Pokud přeci společnost v dané oblasti selže, sama také musí nést následky neplnění svých tržních závazků. U finančních institucí ale je tato intuice falešná.
Finanční infrastruktura totiž nejen že zprostředkovává „produkt“ v podobě bankovních a pojišťovnických služeb, ale svými funkcemi je klíčová pro fungování ekonomiky jako celku. Selhání finančních IT systémů je tak dost mastná záležitost – a to nejen pro danou instituci, ale především pro ostatní firmy a jednotlivce. „Narovnání trhu“ přirozenou cestou tak může pěkně bolet.
I proto také od poslední krize podléhají finanční instituce důraznější veřejné kontrole: když se mohou spolehnout na to, že je stát zachrání (nic moc jiného vládám také nezbývá), je přirozené po bankách vyžadovat dodržení alespoň nějakých základních pravidel. Třeba v tom, že když bance hrozí krach, nebude vyplácet závratné bonusy svým manažerům. Ztráty, kterými jsou takové odměny vykoupeny, totiž pak musí zatáhnout právě stát. To přirozeně motivuje banky riskovat. A stejná logika platí i pro digitální rizika.
Vysoká „společenská cena“ za nedostatečné zohlednění digitálních rizik však není jediným problémem. Finanční instituce také manipulují s velmi citlivými, osobními údaji. Vzhledem k faktu, že až 75 % firem infikovaných ransomewarem přesto mělo ustanoveno alespoň nějaký typ IT ochrany, současné, běžně volené přístupy se zdají jako dost nedostatečné. V případě, že dojde k úniku dat, opět netrpí jenom poškozená firma, ale i všichni její uživatelé. Napáchané škody pak mohou být v řádu desítek milionů korun – a jak lze vyčíst z následující grafiky, pro finanční sektor bývají takové škody jedny z největších. Samozřejmě, žádná obrana nikdy nebude stoprocentní – proto také DORA počítá nejen s odolností, ale přichází také s obšírným řešením předávání informací o útoku a krizovými plány spojenými s případným zasažením systémů.
Dále má pak DORA za cíl sjednotit mnohdy rozdílné standardy v regulacích jednotlivých členských států. Ty totiž poskytují různě kvalitní ochranu spotřebitelům nejen v závislosti na konkrétní firmě, ale i na jejím sídle. Nizozemské bankovní instituce se musí kupříkladu podrobit jasně určenému testování kyberbezpečnosti svých IT systémů. Mnoho členských států, jako například Španělsko, obdobný systém však postrádá. Podobně například firmy zajišťující bankovní transakce musí díky dřívější iniciativě Evropského parlamentu (alespoň některá) rizika informačních a komunikačních technologií zohledňovat. Jiné finanční instituce oproti tomu – například ratingové agentury – vůči nim zřetel mít nemusí. Přístup k citlivým peněžním datům mají přitom často srovnatelný. A to ještě nemluvíme o tom, že diametrálně rozdílné náklady na vyšší zabezpečení mohou pokřivovat evropský trh skrze konkurenční výhodu institucí v „deregulovanějších“ státech.
Že je regulace digitálních rizik potřeba jako sůl nám potvrzují i „pandemické“ trendy. Jak totiž poukazuje server Purplesec, frekvence digitální kriminality v souvislosti s přesuny aktivit online se zvýšila o závratných 600 %. Tento fakt je navíc o to znepokojivější, že značnou část tohoto nárůstu představují sofistikované phishingové emailové útoky, kde se útočník vydává za jinou osobu – kupříkladu Světovou zdravotnickou organizaci nebo jinou oficiální instituci. Rostoucí obratnost útočníků se projevuje i na vážnosti a dopadu incidentů (viz výše).
Velké firmy a instituce přitom rozhodně nejsou z obliga, jak nám ostatně nedávný kyberútok na Colonial Pipeline, firmu spravující největší ropovod v US, připomíná. Není třeba zdlouhavě vysvětlovat, že podobné napadení některé z velkých bank či platebních společností by předznamenal podobně ničivý výpadek. I to by proto firmy měly brát ve svých kalkulacích v potaz, a přesně to také DORA institucím – proporčně ke své důležitosti a velikosti – ukládá.
Pokud navíc k nějakému IT incidentu skutečně dojde, rychlá, účelná a především plánovaná reakce je tím nejlepším receptem k minimalizaci dopadu nehody a s ní spojených ztrát. Na to také DORA myslí. V neposlední řadě, zavedením přehledného a strukturovaného způsobu, jakým incidenty dokumentovat a hlásit, DORA nejen umožní firmám incident adekvátně zdokumentovat a identifikovat tak slabé články své obranné strategie, ale zprostředkuje také úzkou spolupráci mezi ostatními firmami a evropskými institucemi. Evropský dohled nad klíčovými hráči pak zajistí, že pravidla jsou dodržována stejným způsobem v Maďarsku i v Nizozemí.
Jako stínový zpravodaj vývoj DORA sleduji prakticky od počátku. Ačkoli Komise odvedla při přípravě návrhu poctivou práci, žádný text není perfektní. S kolegy z naší frakce proto nyní připravujeme pozměňovací návrhy, které zajistí, aby byl text nejen funkční, ale aby neplýtval evropskými prostředky a nebyl přílišnou zátěží pro regulované firmy. To, že celoevropské posilnění digitální obranyschopnosti je potřeba, se však zdá ve světle častějších a častějších útoků nad slunce jasnější. Strategie prevence a spolupráce je v oblasti kyberbezpečnosti tím nejlepším možným řešením – a skrze DORA chci právě takovou strategii pro Evropu zajistit.