Krzysztof Dąbrowski – Dyrektor Zarządzający Pionem Bezpieczeństwa w Urzędzie Komisji Nadzoru Finansowego, wziął udział w debacie „Technologia w zarządzaniu aktywami – między regulacją a innowacją. Jak sektor radzi sobie z wyzwaniami cyfrowymi i budową odporności operacyjnej?”, podczas Seminarium Regulacyjnego Rynku Kapitałowego IZFiA.

W trakcie debaty rozmawiano przede wszystkim o transformacji cyfrowej i cyberbezpieczeństwie. Krzysztof Dąbrowski wskazał, że Rozporządzenie DORA wydaje się adekwatną odpowiedzią na obecny poziom zależności usług finansowych od technologii oraz wagę ryzyka ICT w ogólnym profilu ryzyka podmiotów finansowych. Usługi finansowe, nie tylko bankowe, na przestrzeni ostatnich kilkunastu lat uległy daleko posuniętej cyfryzacji zarówno w wymiarze kontaktu z klientem, jak i procesów wewnętrznych. Obecnie żaden podmiot nie może efektywnie świadczyć usług swoim klientom, czy też obsługiwać procesów wewnętrznych, bez wsparcia  zewnętrznych dostawców ICT, co powoduje wzrost ekspozycji na ryzyko operacyjne w domenie cyfrowej. Rozporządzenie DORA dosyć dobrze wskazuje obszary, którymi priorytetowo powinny zająć się poszczególne podmioty finansowe, aby wzmacniać swoją odporność cyfrową. Odpowiednie zarządzanie ryzykiem, w tym ryzykiem operacyjnym ICT, sprawia, że organizacja jest mniej podatna na wystąpienie różnych incydentów bezpieczeństwa i ich skutki, aczkolwiek nie gwarantuje to ich uniknięcia. 

Krzysztof Dąbrowski wskazał, że DORA jest aktem odnoszącym się przede wszystkim do łańcucha dostaw, a dostawcy zewnętrzni są najczęstszym źródłem incydentów, które zakłócają procesy w podmiotach finansowych. To pokazuje, jak ważne jest odpowiednie zarządzanie ryzykiem zewnętrznych dostawców usług ICT, prowadzenie rejestrów informacji o usługach i dostawcach zewnętrznych, a także jak ważne są standardowe zapisy umów wynikające z Rozporządzenia DORA w tym zakresie. W ramach deregulacji jako Urząd zgłosiliśmy postulaty, aby przykładowo zmniejszyć pewne obowiązki dokumentacyjne, aby wyłączyć pewne segmenty rynku, które prezentują nieznaczny wkład do ryzyka systemowego dla rynku finansowego a nałożone obowiązki wywołują koszty nieproporcjonalne do efektów w skali danego podmiotu czy danego sektora rynku finansowego – dodał Krzysztof Dąbrowski. Wskazał, że widać znaczącą poprawę wśród podmiotów rynku kapitałowego w zakresie cyberbezpieczeństwa i zarządzania ryzykiem, choć jest tu jeszcze sporo do zrobienia. 

„Zachęcam Państwa do poświęcenia szczególnej uwagi obszarowi zarządzania incydentami, w tym ich identyfikację, weryfikowania, prowadzenia rzetelnych ich rejestrów. Podmioty rynku finansowego są także zobligowane do zgłaszania incydentów do Zespołu CSIRT KNF. Ten aspekt będzie weryfikowany podczas naszych działań inspekcyjnych, które będziemy prowadzić w oparciu o DORA, w tym jej wymogi dotyczące zarządzania incydentami wewnątrz organizacji i zgłaszania ich nadzorowi” – powiedział Krzysztof Dąbrowski.

Obecnie materializacja ryzyka ICT może spowodować, że w skrajnym wypadku podmiot znika z rynku. Przykładowo skuteczny atak ransomware może spowodować paraliż operacyjny, utratę wiarygodności oraz publikację w Internecie danych wykradzionych przez przestępców. Świadomość takiego scenariusza powinna skłaniać do przykładania należytej uwagi do zarządzania ryzykiem ICT. W wyniku strat wizerunkowych po skutecznie przeprowadzonym cyberataku, organizacja może mieć problem z odbudowaniem zaufania wśród klientów, z pozyskaniem nowych, a w efekcie z rozwojem. 

W kontekście holistycznego podejścia do zarządzania ryzykiem ICT należy pamiętać, że choć z jednej strony innowacje podnoszą efektywność procesów biznesowych wewnątrz organizacji oraz zwiększają atrakcyjność usług dla klientów, to z drugiej strony nie mogą  istotnie zwiększać ekspozycji na ryzyko. Rozwój innowacji nie stoi w sprzeczności z bezpieczeństwem, ale wymaga uwzględnienia warstwy bezpieczeństwa na każdym etapie życia technologii czy usługi, w tym planowania,  wdrażania, testowania, monitorowania i modyfikacji. Podsumowując swoją wypowiedź Krzysztof Dąbrowski wskazał, że innowacje nierozerwalnie wiążą się z ryzykiem, a regulacje są po to, by wzbudzać zaufanie do rynku finansowego – bez nich nie byłoby jego rozwoju.