GRI
Raport Roczny 2022

Bezpieczeństwo

Raport Roczny 2022

Bezpieczeństwo Klientów w procesie korzystania z produktów

Jednym z priorytetów Banku jest wyznaczanie najwyższych standardów bezpieczeństwa. Bezpieczeństwo klientów w procesie korzystania z produktów Banku i Grupy Kapitałowej Banku obejmuje przede wszystkim bezpieczeństwo środków klientów, ale także bezpieczeństwo fizyczne klientów w obiektach Banku. [2-23] Kwestię bezpieczeństwa określają przepisy wewnętrzne Banku, w tym Polityka Bezpieczeństwa w PKO Banku Polskim S.A. oraz, szczegółowo, przepisy dotyczące konkretnych obszarów bezpieczeństwa: (i) ochrony osób i mienia, (ii) bezpieczeństwa systemu informatycznego, (iii) zarządzania incydentami bezpieczeństwa.

Bezpieczeństwo środków Klientów

Bezpieczeństwo inwestowanych środków

Bank dokłada wszelkiej staranności, aby jego produkty nie generowały ryzyka utraty środków przez klientów. Ma to szczególne znaczenie w przypadku produktów inwestycyjnych. Dlatego też Bank w ramach obowiązków nałożonych przez Dyrektywę MiFID, informuje klientów przed transakcją czy dany produkt jest dla nich odpowiedni.

Bezpieczeństwo powierzonych depozytów:

Podstawowym mechanizmem gwarancji bezpieczeństwa środków klientów środków jest stabilność wyniku finansowego Banku i pozostałych podmiotów Grupy Kapitałowej Banku. Dodatkowym mechanizmem jest uczestnictwo Banku w obowiązkowym systemie gwarantowania wkładów, który funkcjonuje na podstawie ustawy o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.

Bezpieczeństwo środków klientów gwarantują także procedury cyberbezpieczeństwa.

Bezpieczeństwo fizyczne Klientów

Bank i pozostałe podmioty Grupy Kapitałowej Banku zapewniają klientom w swych placówkach najwyższą jakość obsługi bezpośredniej, m.in. dzięki wdrożonym w Banku standardom bezpieczeństwa spełniającym wymagania przepisów prawa i norm. We wszystkich obiektach stosuje się odpowiednie do zidentyfikowanych zagrożeń i ryzyka nowoczesne systemy, urządzenia i rozwiązania techniczne oraz organizacyjne, zapewniające fizyczne bezpieczeństwo klientów, pracowników, gotówki i depozytów oraz bezpieczeństwo informacji chronionych, w tym tajemnicy bankowej i danych osobowych.

Ochrona obejmuje wszystkie udostępniane klientom placówki i urządzenia samoobsługowe i ma formę:
  • zabezpieczeń technicznych (budowlanych, mechanicznych i elektronicznych, w tym systemy: sygnalizacji włamania i napadu, telewizji dozorowej i kontroli dostępu),
  • bezpośredniej stałej ochrony fizycznej wybranych obiektów Banku,
  • monitorowania sygnałów alarmowych przez koncesjonowane przedsiębiorstwa ochrony i dojazdu tzw. grup interwencyjnych po odebraniu sygnałów alarmowych.

Ponadto pracownicy wszystkich oddziałów i agencji Banku podlegają szkoleniom z zakresu bezpieczeństwa w formie e-learningu oraz bezpośredniej z ćwiczeniami nt. „Przeciwdziałanie napadom i postępowanie w sytuacjach zagrożenia bezpieczeństwa”. Realizację szkoleń bezpośrednich, zawieszonych z powodu pandemii, wznowiono w czerwcu 2022 roku i w kolejnych latach będą sukcesywnie realizowane we wszystkich oddziałach.

Cyberbezpieczeństwo

Bank posiada politykę bezpieczeństwa, która odnosi się również do zasad bezpieczeństwa cyfrowego. Zarząd przyjął tę politykę w 2015 roku. W Banku funkcjonuje Departament Cyberbezpieczeństwa, który zajmuje się:

  • zapewnianiem bezpieczeństwa systemu informatycznego Banku,
  • rozwojem systemów oraz monitorowaniem parametrów cyberbezpieczeństwa i usług krytycznych,
  • zapewnianiem obsługi zdarzeń i incydentów dotyczących cyberbezpieczeństwa, w tym zdarzeń i incydentów w zakresie bankowości elektronicznej.

Za kontrolę aktualnego poziomu bezpieczeństwa infrastruktury odpowiada dyrektor tego departamentu. Podlega mu również Operacyjne Centrum Bezpieczeństwa (SOC – Security Operations Centre). Za realizację polityki cyberbezpieczeństwa i kontrolę cyberbezpieczeństwa odpowiada dyrektor Departamentu Cyberbezpieczeństwa. Nadzór nad realizacją tych funkcji sprawuje wiceprezes Zarządu odpowiedzialny za Obszar Informatyki. Nadzór nad realizacją polityki sprawuje prezes Zarządu. Aby doskonalić metody przeciwdziałania przestępstwom Departament Cyberbezpieczeństwa  przygotowuje  analizy  i  przedstawia  Zarządowi  i  Radzie  Nadzorczej  Banku  wnioski i rekomendacje dotyczące wdrożenia lub modyfikacji rozwiązań.

Monitorowaniem i reagowaniem na incydenty zajmuje się w Banku specjalistyczna komórka CERT PKO Banku Polskiego S.A. Aby zapewnić bezpieczeństwo informatyczne usług Banku w zakresie reagowania na incydenty wdrożono tryb pracy 24/7/365.

W 2021 roku Bank wdrożył projekt CyberSecurity Operations Center w ramach którego zoptymalizowano procesy Departamentu Cyberbezpieczeństwa oraz przygotowano strategię świadczenia usług dla spółek Grupy. Ponadto w ramach projektu wdrożono system klasy SOAR umożliwiający automatyzację obsługi incydentów bezpieczeństwa. Wdrożone zmiany przełożyły się na znaczne usprawnienie pracy w zakresie obsługi alertów i incydentów, co pozwoliło skrócić proces reakcji i wpłynęło na minimalizację zagrożeń (w niektórych przypadkach nawet o 95% – obsługa phishingu). W 2022 roku CERT PKO BP zgłosił i zablokował, we współpracy z CERT Polska oraz CERT Orange, ponad 2 700 fałszywych stron. Oszustwa były kierowane głównie w usługi elektroniczne i klientów Banku, ale 25% zgłoszeń dotyczyło wyłudzeń innego typu, co pokazuje wkład zespołu CERT PKO BP w ogólny poziom bezpieczeństwa teleinformatycznego w polskiej cyberprzestrzeni.

CERT PKO BP jest członkiem międzynarodowego forum zrzeszającego zespoły reagujące na incydenty cyberbezpieczeństwa FIRST oraz należy do grupy roboczej europejskich zespołów reagujących (TERENA TF-CSIRT) i działającej przy niej organizacji Trusted Introducer. Jest też wiodącym uczestnikiem Bankowego Centrum Cyberbezpieczeństwa działającego pod patronatem Związku Banków Polskich.

Bank systematycznie edukuje pracowników w zakresie bezpieczeństwa środowiska teleinformatycznego oraz bezpieczeństwa informacji przetwarzanych w tym środowisku. W 2022 roku udostępnił pracownikom nowe szkolenia e-learningowe, dzięki którym użytkownicy zdobyli wiedzę dotyczącą zagrożeń związanych z:

  • korzystaniem z urządzeń mobilnych,
  • korzystaniem z własnego sprzętu informatycznego w celach zawodowych oraz korzystaniem ze sprzętu służbowego w celach prywatnych,
  • publikowaniem przez pracowników informacji dotyczących Banku w Internecie (w szczególności na portalach społecznościowych),
  • atakami

Szkolenia te stanowią również pakiet szkoleń obowiązkowych dla każdego nowego pracownika. Bank realizuje szkolenia zgodnie z ustalonym harmonogramem szkoleń i na bieżąco monitoruje ich realizację przez pracowników w ramach niezależnego monitorowania mechanizmów kontrolnych.

Podnoszeniu wiedzy pracowników służy też uruchomiony w październiku 2022 roku program symulowanych ataków phishingowych. Wiadomości wysyłane są do wszystkich zatrudnionych w Banku osób i imitują rzeczywiste zagrożenia, na jakie narażeni są na co dzień użytkownicy.

Zgodnie z polityką Banku zasad cyberbezpieczeństwa muszą przestrzegać nie tylko pracownicy, ale również podmioty zewnętrzne (wykonawcy). Bank określa wymagania bezpieczeństwa dla dostawców usług IT w zakresie ochrony informacji Banku, dostępu do budynków i pomieszczeń Banku oraz ochrony systemów informatycznych Banku.

W 2022 roku przeprowadzono trening Security Awareness (symulacja ataku phishingowego) którym objęto wszystkich pracowników Banku (ponad 20 000) oraz przeprowadzono dedykowany trening dla Zarządu Banku. W Banku działa również wewnętrzna komórka (RedTeam), która symuluje w sposób kontrolowany potencjalne ataki w celu identyfikacji słabych punktów jeszcze przed ich wykorzystaniem przez przestępców.

W 2022 roku szeroko analizowano informacje w ramach ThreatIntelligence w zakresie działań realizowanych w cyberprzestrzeni związanych z konfliktem Rosja/Ukraina z jednoczesnym nałożeniem zagrożeń, które mogą się zmaterializować w Banku. Duży nacisk skierowano na usuwanie podatności, co skutkowało najniższą ilością podatności w historii Banku.

Bank na bieżąco identyfikuje zagrożenia dla cyberbezpieczeństwa. Monitoruje źródła informacji, wdraża zabezpieczenia przed potencjalnymi zagrożeniami oraz tworzy plany reagowania na incydenty. W Banku funkcjonuje sformalizowany proces weryfikacji bezpieczeństwa i podatności nowych lub modyfikowanych systemów i aplikacji przed dopuszczeniem ich do produkcji. Ten proces Bank realizuje w dwóch wymiarach: jako związany z wdrażaniem i modyfikacją oprogramowania oraz jako proces projektowy. Każdy nowy projekt, w którym zmienia się system kluczowy dla procesów biznesowych, jest poddawany audytowi bezpieczeństwa IT.

Audyt wewnętrzny obejmuje procesy IT minimum raz w cyklu 3-letnim. Wybór procesów IT do audytu wewnętrznego w danym roku zależy m.in. od: wyników przeprowadzonych audytów wewnętrznych, zmian środowiska teleinformatycznego, ryzyk związanych ze zidentyfikowanymi oszustwami wewnętrznymi i zewnętrznymi oraz zmian w przepisach wewnętrznych i zewnętrznych wpływających na funkcjonowanie i działalność operacyjną Banku. Wewnętrzne audyty procesów IT realizuje Zespół Audytu IT i Bezpieczeństwa, zgodnie z ustalonym harmonogramem. Audyty zewnętrzne cyberbezpieczeństwa są zlecane firmom audytowym z którymi Bank ma podpisane umowy ramowe.

Według Banku oraz PKO Towarzystwa Funduszy Inwestycyjnych S.A. najistotniejszym zagrożeniem dla bezpieczeństwa klientów są potencjalne przestępcze działania osób trzecich, wymierzone w klientów korzystających z elektronicznych kanałów dostępu do usług bankowych i inwestycyjnych.

Po pierwsze, w Banku stosowane są najnowsze rozwiązania bezpieczeństwa teleinformatycznego gwarantujące klientom  bezpieczny  dostęp  do  swoich  środków.  Bank  stale  podnosi  jakość  zabezpieczenia  systemów  IT, w szczególności w zakresie aplikacji wykorzystywanych przez klientów Banku. Dotyczy to m.in. aktywnego zwalczania stron phishingowych podszywających się pod serwisy Banku, identyfikacji zamiarów oraz zdolności przestępców z uwzględnieniem taktyk, technik i procedur (normalizacja i ustrukturyzowanie informacji o zagrożeniach w jednym modelu danych), śledzenia rozwoju złośliwego oprogramowania atakującego klientów Banku, rozwoju mechanizmów detekcji zainfekowanych komputerów klientów oraz doskonalenia reguł i rozszerzania zakresu monitoringu transakcji elektronicznych.

Po drugie, Bank przywiązuje bardzo dużą wagę do informowania i podnoszenia świadomości klientów na temat bezpiecznego korzystania z bankowości elektronicznej i kart płatniczych. Dzieje się tak dlatego, że bezpieczeństwo w tym zakresie uzależnione jest w znacznej mierze od działań użytkownika. Działania edukacyjne Banku to między innymi:

  • regularne kampanie edukacyjne realizowane w mediach społecznościowych oraz innych kanałach służących do kontaktu z klientami np. portal edukacyjny bankomania.pkobp.pl,
  • filmy z przykładami realnych ataków publikowane w serwisie YouTube,
  • artykuły edukacyjne w mediach elektronicznych oraz prasie,
  • webinary oraz szkolenia z najczęściej występujących ataków,
  • bieżące odpowiedzi na zapytania klientów (e-mail, media społecznościowe),
  • bieżące przekazywanie mediom stanowiska Banku i materiałów edukacyjnych na temat cyberprzestępstw i zasad bezpieczeństwa,
  • bieżące reagowanie na inne sygnały dotyczące zagrożeń,
  • przekazywanie klientom informacji cyberbezpieczeństwa poprzez strony internetowe Banku, serwis transakcyjny i mailingi.

W 2022 roku skuteczność detekcji złośliwego oprogramowania (w szczególności mobilnego) u klientów Banku, osiągnęła pułap bliski 100%. W sumie wykryto i zaraportowano do systemów antyfraudowych ponad 40 tys. infekcji lub anomalii u klientów bankowości mobilnej iPKO. Ponadto przeprowadzono testy (proof of concept) usługi mitygującej ataki na klientów poprzez podszywanie się pod infolinię Banku i rozpoczęto działania projektowe w celu dalszego podnoszenia bezpieczeństwa klientów za pomocą biometrii.

W 2022 roku Bank doskonalił systemy wykrywania incydentów, anomalii oraz zaawansowanych typów złośliwego oprogramowania. Automatyzował także wiele działań związanych z obsługą incydentów. Zapewnił aktualność technologiczną rozwiązań do informatyki śledczej zgodnie z aktualnym profilem wymagań.

Dodatkowo przedstawiciele Banku angażują się w prace Bankowego Centrum Cyberbezpieczeństwa (BCC) przy Związku Banków Polskich. Celem BCC są kompleksowe i długofalowe działania na rzecz zwiększenia poziomu bezpieczeństwa bankowości mobilnej i elektronicznej oraz przygotowanie narzędzi (struktury procedury, mechanizmy wymiany informacji) umożliwiających zarządzanie sytuacją kryzysową (np. w przypadku zmasowanego ataku).

Bank nie posiada certyfikacji w zakresie ISO 27001, jednak procesy i przepisy w zakresie cyberbezpieczeństwa tworzy w oparciu o wymagania tej normy. Wysoka dojrzałość organizacyjna w obszarze obsługi incydentów cyberbezpieczeństwa jest szczególnie istotna w świetle decyzji KNF z 2018 roku o uznaniu PKO Banku Polskiego S.A. za operatora usługi kluczowej w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa.

Ryzyko naruszenia prywatności

PKO Bank Polski S.A. działa zgodnie z powszechnie obowiązującymi przepisami, w tym z:

  • rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych zwane RODO),
  • ustawą z 10 maja 2018 roku o ochronie danych osobowych,

a także posiada wewnętrzne przepisy o ochronie danych osobowych.

Wspomniane przepisy wewnętrzne dotyczą zasad przetwarzania danych osobowych w Banku, w szczególności sposobu ich przetwarzania oraz środków technicznych i organizacyjnych zapewniających bezpieczeństwo procesu.

Dodatkowo w Banku obowiązują przepisy wewnętrzne dotyczące w szczególności:

  • bezpieczeństwa informacji chronionych,
  • bezpieczeństwa systemu informatycznego,
  • ochrony osób i mienia,
  • zarządzania incydentami bezpieczeństwa, gdzie został określony sposób zarządzania naruszeniami ochrony danych osobowych,
  • prowadzenia postępowań wyjaśniających,
  • opracowywania i wdrażania mechanizmów bezpieczeństwa.

Standardy Bezpieczeństwa w Grupie Kapitałowej Banku adresują następujące zagadnienia: ochrona danych osobowych, zarządzanie ciągłością działania, bezpieczeństwo teleinformatyczne, przeciwdziałanie praniu pieniędzy, zarządzanie incydentami bezpieczeństwa, zasady outsourcingu oraz zasady raportowania stanu bezpieczeństwa.

Bank przetwarza dane osobowe z zachowaniem wymogów powszechnie obowiązującego prawa, w tym zasady zgodności z prawem i przejrzystości danych, zasady ograniczenia celu przetwarzania danych, zasady minimalizacji danych, zachowania prawidłowości, integralności i poufności przetwarzanych danych. Aby zrealizować te cele Bank stosuje zarówno regulacje proceduralne, jak i rozwiązania technologiczne. Są one projektowane tak, aby zachować określone w RODO zasady przetwarzania danych osobowych.

Bank powołał Inspektora Ochrony Danych (IOD). Do jego zadań należy nadzór nad prawidłowym przetwarzaniem danych osobowych. Klienci mogą skontaktować się z IOD pisząc do niego na adres Banku lub na e-mail.

Zgodnie obowiązkami wynikającymi z RODO Bank opracował Informację o przetwarzaniu danych osobowych i przekazuje ją klientom. Informuje ich o obowiązujących zasadach przetwarzania danych osobowych, celu ich przetwarzania, oraz o swoich prawach, w tym prawie dostępu do danych, sprostowania danych i prawie do usunięcia danych.

Ponadto na stronie internetowej Banku znajdują się informacje o przetwarzaniu danych osobowych, w tym m.in. o powołanym IOD, informacja o przetwarzaniu danych osobowych, podstawach prawnych przetwarzania danych, realizacji praw osób których dane dotyczą.

Gdy Bank przetwarza dane na podstawie zgody osoby, której dotyczą, informuje ją o prawie do wycofania zgody.

Klienci Banku mogą w formie reklamacji zgłaszać wątpliwości dot. bezpieczeństwa danych, a także wystąpić z wnioskiem o realizację praw wynikających z RODO. Opracowane zostały również przepisy wewnętrzne dotyczące zarządzania naruszeniami ochrony danych osobowych. Bank określił zasady informowania klientów w przypadku naruszenia bezpieczeństwa ich danych. Zasady te są zgodne z wymogami prawa.

Ciągła wymiana informacji i poprawa bezpieczeństwa w oparciu o najlepsze praktyki są stałym elementem współpracy i obowiązujących Porozumień w Grupie Kapitałowej Banku. Postępowanie z ewentualnymi naruszeniami odbywa się w sposób zgodny z prawem. Dotyczy to również informowania odpowiednich organów o naruszeniach, co także wynika z przepisów wewnętrznych oraz przepisów prawa.

Bank zarządza ryzykiem nieuprawnionego dostępu do informacji o klientach zgodnie z „Polityką Bezpieczeństwa w PKO Banku Polskim S.A.”. „Zasady bezpieczeństwa informacji chronionych w PKO Banku Polskim S.A.” regulują kwestie poufności informacji i zachowania tajemnicy bankowej oraz bezpieczeństwa danych osobowych, w tym odpowiedzialność pracowników Banku w zakresie ochrony danych osobowych. Każdy pracownik obligatoryjnie i zgodnie z procedurami jest zobowiązany ukończyć stosowne szkolenie z ochrony danych osobowych. Szkolenia są realizowane także cyklicznie. Działania na rzecz bezpieczeństwa danych są podejmowane z udziałem Zarządu. Aby chronić dane, wdrażane są najwyższej klasy rozwiązania z zakresu polityki i bezpieczeństwa systemowego. Rozwiązania te zarówno w aspekcie systemowym, jak i polityk, są przedmiotem ciągłej ewaluacji, działań audytowych i ulepszania zgodnie z najlepszymi praktykami rynkowymi. Departament Bezpieczeństwa nadzoruje realizację obowiązków związanych z zabezpieczeniem informacji chronionych w Banku oraz przygotowuje informacje o stanie bezpieczeństwa dla Zarządu Banku oraz Rady Nadzorczej w raporcie w cyklu półrocznym. W ramach swoich działań Departament  Bezpieczeństwa  prowadzi  w  jednostkach  Banku  kontrole  z  zakresu  bezpieczeństwa (w tym bezpieczeństwa informacji) oraz opiniuje w tym zakresie nowe rozwiązania i projekty wdrażane w Banku.

Zgodnie z powyższymi zasadami:

  • pracownicy mają dostęp do informacji chronionych w Banku wyłącznie w zakresie powierzonych zadań i obowiązków służbowych,
  • pracownicy przed rozpoczęciem przetwarzania informacji chronionych realizują szkolenia z zakresu bezpieczeństwa informacji chronionych,
  • gdy materiały zawierające informacje chronione są udostępniane podmiotom zewnętrznym, pomiędzy stronami jest zawierana umowa o zachowaniu poufności, zaś w przypadku powierzenia przetwarzania danych osobowych, zawierana jest umowa o powierzeniu przetwarzania danych osobowych. Umowa ta zawiera m.in. zobowiązania podmiotów współpracujących z Bankiem do ochrony powierzonych danych, wykorzystania ich wyłącznie w celach związanych z realizacją umowy oraz przekazywania informacji o wszelkich naruszeniach bezpieczeństwa. Bank określa wymogi zabezpieczenia przetwarzanych danych zgodnie z przepisami powszechnie obowiązującego prawa. Bank przewiduje również możliwość kontroli bezpieczeństwa danych przetwarzanych u podmiotów współpracujących.

Bank zobowiązany jest do zachowania tajemnicy bankowej określonej przepisami ustawy Prawo bankowe.

Wszelkie udostępnienie informacji, które stanowią tajemnicę bankową, w tym danych osobowych klientów Banku, może mieć miejsce przy zachowaniu obowiązków wynikających z przepisów powszechnie obowiązującego prawa. Zapytania od podmiotów uprawnionych do żądania udzielenia informacji, które stanowią tajemnicę bankową (np. od agend rządowych) są rozpatrywane przez Bank zgodnie z zasadami określonymi w przepisach prawa. Informacje objęte tajemnicą bankową Bank udziela wyłącznie w przypadkach określonych przepisami wymienionej ustawy, po spełnieniu przesłanek uprawniających do ich udzielenia.

Bank podejmuje działania w zakresie występujących naruszeń ochrony danych osobowych zgodnie z przyjętymi Zasadami zarządzania incydentami bezpieczeństwa w PKO Banku Polskim S.A. oraz z RODO. W przypadku stwierdzenia naruszenia niezwłocznie podejmowane są działania zmierzające do jego analizy oraz minimalizacji negatywnych skutków, jeśli takie wystąpią. Przypadki naruszenia ochrony danych osobowych skutkujące ryzykiem naruszenia praw lub wolności osób fizycznych są niezwłocznie zgłaszane do Prezesa UODO. Ponadto, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o takim naruszeniu niezwłocznie zawiadamia się osobę, której dane dotyczą.

Każdy z pozostałych podmiotów Grupy Kapitałowej Banku, który przetwarza dane osobowe, posiada odrębne przepisy wewnętrzne i realizuje obowiązki związane z ochroną danych osobowych jako odrębny administrator. Spółki wprowadziły Standardy Bezpieczeństwa (w tym w zakresie ochrony danych osobowych) będące częścią

„Wytycznych w zakresie Standardu bezpieczeństwa w Grupie Kapitałowej PKO Banku Polskiego”. Są one zgodne z powszechnie obowiązującymi przepisami oraz ze standardami stosowanymi w Banku, a w niezbędnym zakresie zawierają regulacje szczególne, adekwatne do specyfiki konkretnego podmiotu.

Poprzednia strona
Przeciwdziałanie korupcji
Następna strona
Podsumowanie strategii

Wyniki wyszukiwania