DIB/WOR/0735/2/3/2015 - Zabezpieczenie danych osobowych klientów banków.

W nawiązaniu do mojej odpowiedzi z dnia 24 lipca 2015 r. (znak: DIB/WOR/0735/2/2/2015) w odniesieniu do pisma Pana (...) - Sekretarza Stanu, Szefa Gabinetu Politycznego Prezesa Rady Ministrów, z dnia 14 lipca 2015 r. (znak: SPRM-4810-3474-15) ws. interpelacji Pana Posła (...) (numer: 33434) dotyczącej wycieku danych osobowych klientów ... Banku SA (dalej: Bank), przekazuję powyższą informację poprzez elektroniczną skrzynkę podawczą z podpisem kwalifikowanym (ePUAP).

1. Jakie działania planuje podjąć rząd w celu szczególnej ochrony klientów, których dane wyciekły do Internetu?

Ochrona interesów nieprofesjonalnych uczestników rynku finansowego jest jednym z zadań wykonywanych przez Komisję Nadzoru Finansowego (dalej: KNF). Realizacja celów w tym zakresie jest wykonywana zarówno w aspektach systemowych (w tym np. poprzez analizę praktyk stosowanych przez nadzorowane podmioty oraz analizę produktów finansowych i wzorów umów oraz podejmowanie działań nadzorczych w tym zakresie, a także poprzez bieżącą współpracę z Urzędem Ochrony Konkurencji i Konsumentów w sprawach z zakresu ochrony konsumentów usług finansowych) oraz dotyczących otoczenia prawnego (poprzez opiniowanie oraz postulowanie zmian legislacyjnych), jak również poprzez zaangażowanie w analizę sygnałów zgłaszanych w skargach kierowanych do KNF przez klientów instytucji finansowych. W przypadkach braku właściwych relacji pomiędzy klientem i instytucją finansową lub zaistnienia sporu co do prawidłowości realizacji zobowiązań umownych, klient instytucji finansowej ma także możliwość skorzystania z mediacji oferowanej przez Centrum Mediacji w Sądzie Polubownym przy Komisji Nadzoru Finansowego.

Taka formuła może mieć również zastosowanie w sprawach dotyczących klientów Banku w związku ze skutkami incydentu bezpieczeństwa systemów teleinformatycznych, który miał miejsce w I półroczu 2015 r.

W kontekście ochrony klientów, należy również wskazać na fakt, że szereg działań dotyczących kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych jest realizowany przez Generalnego Inspektora Ochrony Danych Osobowych.

2. Na jakim etapie trwają obecnie prace dotyczące kontroli systemów zabezpieczeń ... Bank?

W dniach 24 czerwca - 15 lipca 2015 r. w siedzibie Banku zostało przeprowadzone postępowanie wyjaśniające KNF dotyczące incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego oraz możliwości naruszenia tajemnicy bankowej. W ramach tego postępowania, zgodnie z kompetencjami KNF, analizie poddano przede wszystkim sposób zarządzania przez Bank bezpieczeństwem teleinformatycznym, w kontekście przedmiotowego incydentu, na etapie przed jego wystąpieniem, jak również w zakresie działań podejmowanych w celu identyfikacji przyczyn zdarzenia oraz dalszych działań Banku. W ramach tej analizy został również podjęty wątek możliwości naruszenia tajemnicy bankowej. Na obecnym etapie przygotowywana jest dokumentacja pokontrolna, w której są prezentowane ustalenia z przeprowadzonych czynności kontrolnych. W kolejnym kroku do podmiotu zostaną skierowane zalecenie pokontrolne.

Należy przy tym podkreślić, że konieczność zapewnienia odpowiednich systemów zabezpieczeń w instytucjach finansowych oraz nadzór nad funkcjonowaniem tych systemów należy przede wszystkim do kompetencji organów zarządczych tych instytucji. Natomiast, w kontekście ustawowych czynności podejmowanych w ramach nadzoru bankowego, w przedmiotowym zakresie KNF koncentruje się w szczególności na badaniu procesu zarządzania ryzykiem prowadzonej działalności, w tym dostosowania procesu identyfikacji i monitorowania ryzyka oraz sprawozdawania o ryzyku do rodzaju i skali działalności banku, w tym również w odniesieniu do ryzyk wynikających ze stosowanych przez bank narzędzi teleinformatycznych. W ramach dodatkowych mechanizmów kontrolnych w odniesieniu do systemów zabezpieczeń instytucje mają również możliwość ewentualnego wykorzystania wyspecjalizowanych firm zewnętrznych (takie działania są realizowane na zlecenie i koszt instytucji).

3. Jakie systemowe działania proponowane przez rząd mogłyby zapobiec takiej sytuacji w przyszłości?

Działania nadzorcze podejmowane przez KNF, w ramach jego ustawowych praw i obowiązków, w kontekście nadzoru nad infrastrukturą i bezpieczeństwem systemów teleinformatycznych są realizowane na wielu płaszczyznach, w tym zarówno w ramach podejścia systemowego (z uwzględnieniem najlepszych praktyk krajowych i międzynarodowych), jak i poprzez oddziaływanie na indywidualne podmioty finansowe.

Jednym z elementów działań systemowych jest podejmowanie inicjatyw regulacyjnych, w ramach których należy wskazać na wydaną przez KNF Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (dalej: Rekomendacja D). Rekomendacja ta została wydana po raz pierwszy w 2002 r., a od początku 2015 r. banki są zobowiązane do zapewnienia zgodności swojej działalności z zaleceniami Rekomendacji D, która została gruntownie zaktualizowana w 2013 r. Dokument ten ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w tym m.in. w odniesieniu do zarządzania bankowością elektroniczną i jej 3 bezpieczeństwem (zdarzenie, które miało miejsce w Banku dotyczyło bezpieczeństwa systemu bankowości elektronicznej).

W zakresie standardów opracowywanych w ramach współpracy międzynarodowej, KNF wprowadził też do stosowania przez banki krajowe rekomendacje opracowane przez Europejskie Forum ds. Bezpieczeństwa Płatności Detalicznych 1 przy Europejskim Banku Centralnym, dotyczące bezpieczeństwa płatności internetowych. Zalecenia te określają wymagania dla usług płatności internetowych z wykorzystaniem kart (w tym również wirtualnych), poleceń przelewu, poleceń zapłaty oraz pieniądza elektronicznego pomiędzy dwoma rachunkami z wykorzystaniem Internetu.

W ramach bieżącego monitorowania rynku finansowego pod kątem zagrożeń bezpieczeństwa teleinformatycznego, KNF reaguje bezpośrednio na zjawiska zagrażające bezpieczeństwu środków finansowych użytkowników, w tym:

* W kwietniu 2013 r. do banków skierowane zostało pismo dotyczące prób blokowania dostępu do witryn internetowych, w tym w formie tzw. Distributed Denial-of-Service (DDoS). W piśmie tym wskazano w szczególności na mechanizmy organizacyjne i techniczne pozwalające, z jednej strony na minimalizację prawdopodobieństwa realizacji skutecznych działań typu DDoS, a z drugiej zaś na ograniczenie skutków w przypadku ich powodzenia. Kolejne komunikaty w tym zakresie zostały opublikowane w serwisie informacyjnym KNF w listopadzie 2014 r. i kwietniu 2015 r.

* W listopadzie 2013 r. w serwisie informacyjnym KNF opublikowano komunikat w sprawie "phishingu" danych, informujący o ryzykach związanych z przestępczym mechanizmem pozyskiwania danych autoryzacyjnych za pośrednictwem fałszywych maili lub linków, jak również pozyskiwania danych osobowych i numerów dowodów tożsamości w ramach fałszywych ogłoszeń rekrutacyjnych, wskazujący na konieczność przestrzegania podstawowych zasad bezpieczeństwa przez użytkowników.

* W lipcu 2014 r. KNF podjął działania zmierzające do zaniechania przez banki stosowania screen scrapingu, jako praktyki zagrażającej bezpieczeństwu loginu i hasła do konta, niezgodnej z ustawą o usługach płatniczych oraz łamiącej regulaminy prowadzenia kont - bankom, które stosowały tę technikę wydano stosowne zalecenia, a w serwisie informacyjnym KNF opublikowano komunikat w tej sprawie.

Podejmowane są też działania o charakterze proaktywnym, zmierzające do szczegółowej analizy kwestii istotnych dla tego obszaru. W ramach tych działań, obecnie analizowane są, pochodzące z ankiet KNF "IT i bezpieczeństwo w bankach", informacje dotyczące poziomu ryzyka w zakresie środowiska teleinformatycznego polskich banków.

Obok działań systemowych, bezpieczeństwo systemów teleinformatycznych jest również przedmiotem regularnych i szczegółowych analiz w ramach czynności kontrolnych przeprowadzanych w poszczególnych bankach. W szczególności, ocenie jest poddawane zarządzanie tego typu ryzykami, w tym z uwzględnieniem zgodności banków z regulacjami nadzorczymi (Rekomendacja D KNF oraz ww. rekomendacje Europejskiego Forum ds. Bezpieczeństwa Płatności Detalicznych), jak również w kontekście stosowania przez banki dobrych praktyk zarządzania bezpieczeństwem teleinformatycznym. Ustalenia indywidualne wynikające z czynności kontrolnych są przekazywane bezpośrednio badanym bankom, a w przypadku występowania zastrzeżeń i wątpliwości co do stosowanych praktyk - formułowane są również indywidualne zalecenia dla banków (terminy i sposób realizacji tych zaleceń każdorazowo podlegają monitorowaniu i weryfikacji przez KNF).

W świetle zakresu i ciągłości prowadzonych czynności nadzorczych w obszarze bezpieczeństwa teleinformatycznego banków i innych instytucji finansowych należy mocno podkreślić, że KNF przyjmuje aktywną postawę ukierunkowaną na ustalanie standardów niezbędnych do utrzymania najwyższego poziomu bezpieczeństwa sektora bankowego w tym obszarze, jak również regularnie monitoruje działania banków w tym zakresie, reagując odpowiednio w sytuacjach tego wymagających.

Z uwagi na powyższe, wnioski wynikające z analizy incydentu bezpieczeństwa, który miał miejsce w odniesieniu do Banku SA zostaną również uwzględnione w ramach podejścia systemowego. W tym zakresie planuje się m.in. współpracować ze Związkiem Banków Polskich (dalej: ZBP) w kierunku rozwoju standardów zarządzania bezpieczeństwem teleinformatycznym w instytucjach finansowych, z uwzględnieniem zarówno ustaleń dokonanych przez KNF, jak i wniosków z prac Grupy ds. incydentów w systemach IT (działającej w ramach ZBP), która współpracowała z Bankiem w sprawie wyjaśnienia incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego.

Jednocześnie KNF rozważa przedstawienie informacji na temat wniosków płynących z omawianego incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego na posiedzeniu Rady ds. Systemu Płatniczego (działającej przy Narodowym Banku Polskim).