Cyberbezpieczeństwo (i bezpieczeństwo danych)
Projekty realizowane przez CBB w ramach działań związanych z cyberbezpieczeństwem (i bezpieczeństwem danych) obejmują działania wpisane w realizację Strategii Bezpieczeństwa Teleinformatycznego w Banku Pekao S.A. na lata 2021-2024, w celu m.in. podnoszenia poziomu bezpieczeństwa informacji i środowiska ICT (m.in. zakup rozwiązań czy kampanie edukacyjne skierowane do pracowników i klientów). Działania te realizujemy m.in poprzez.:
- program edukacyjny cyberPEKAO, obejmując także działalność szkoleniową (szkolenia dla pracowników oraz webinaria dla klientów);
- wydarzenia związane z cyberbezpieczeństwem (m.in. kampania Bądźmy #CYBERczujni, kampanie CRM);
- udział w kampanii edukacyjno-informacyjnej Związku Banków Polskich Nie pomagaj się okraść;
- komunikację wewnętrzną (informacje publikowane na portalu bezpieczeństwa, wiadomości w aktualnościach, wiadomości e-mail skierowane do pracowników);
- komunikację zewnętrzną (np. CRM, strona internetowa Banku, media społecznościowe, powiadomienia w aplikacji mobilnej, audycje radiowe).
Dodatkowo, organizujemy oraz współorganizujemy wydarzenia o tematyce cyberbezpieczeństwa oraz współpracujemy z portalem CyberDefence24, poruszającym problematykę cyberbezpieczeństwa, na którym jest prowadzona dedykowana strefa Banku. Uczestniczymy również w akcjach edukacyjno-informacyjnych z zakresu cyberbezpieczeństwa organizowanych przez Związek Banków Polskich. Finansowanie działań będzie realizowane zarówno jako Capex, jak i Opex.
W celu realizacji Strategii Bezpieczeństwa Teleinformatycznego w Banku Pekao S.A. i zgodnie z jej założeniami w CBB przeprowadzono następujące projekty:
- Wymiana skanera podatności
- Bezpieczeństwo danych i aplikacji Banku w chmurze
- Ochrona Baz danych
- Wdrożenie zaawansowanych narzędzi testowych
Ww. rozwiązania zostały poprzedzone analizą zmieniających się zagrożeń, analizą ryzyka oraz analizą rynku. Projekty te realizowały zadania wynikające z ww. Strategii i były cyklicznie monitorowane dla określenia stopnia realizacji założonych celów. Wdrożenie zaawansowanych narzędzi testowych zostało wdrożone w połowie 2022 r., a pozostałe – w różnych kwartałach 2023 r. Wszystkie rozwiązania zostały zaimplementowane przed końcem 2024 r., a więc zakładanym czasem zakończenia Strategii.
Poprzez wdrożenie powyższych rozwiązań nowo pojawiające się zagrożenia zostały zmitygowane i pozostają pod stałym monitoringiem.
W ramach realizowanych obowiązków CBB dokonuje cyklicznych przeglądów dokumentów bezpieczeństwa informacji, które są elementem Polityki Bezpieczeństwa Informacji. Ponadto przekazywane są cyklicznie raporty o stanie bezpieczeństwa środowiska teleinformatycznego Banku w ramach systemu informacji zarządczej (raporty kwartalne i raport roczny) Zarządowi Banku, Komitetowi Ryzyka Rady Nadzorczej Banku, Radzie Nadzorczej Banku. W ramach przeprowadzonych audytów zgodności, z ustawą z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa, przeprowadzane jest również badanie dojrzałości Organizacji. W CBB realizowane są także kontrole w ramach systemu kontroli wewnętrznej, co pozwala dodatkowo zarządzać skutecznością i jakością realizowanych działań dla zwiększenia bezpieczeństwa danych.