O raporcie

Grupa ING Banku Śląskiego przygotowała raport roczny w wersji online, który odwołuje się do najlepszych światowych praktyk w zakresie raportowania zintegrowanego. Aby ułatwić czytelnikom posługiwanie się narzędziami interaktywnymi, przygotowaliśmy instrukcję opisującą kluczowe funkcjonalności. Zachęcamy do obejrzenia krótkiej animacji jeszcze przed rozpoczęciem lektury raportu.

Zintegrowany Raport Roczny
ING Banku Śląskiego 2019

Ryzyko niefinansowe

Ryzyko niefinansowe obejmuje funkcje zarządzania ryzykiem operacyjnym i ryzykiem braku zgodności (Compliance) oparte na wspólnych ramach określających jasne zasady i standardy identyfikacji, oceny, monitorowania, ograniczania i raportowania ryzyka. Bank zarządza ryzykiem niefinansowym zgodnie z przyjętą przez Zarząd Banku Strategią oraz Deklaracją Apetytu na Ryzyko Niefinansowe określającą limity i tolerancję na ryzyko.

warszawa_ing_01-2020_rk_1965 warszawa_ing_01-2020_rk_1965

Zgodność z deklarowanym apetytem na ryzyko jest monitorowana z wykorzystaniem okresowego Raportu o stanie ryzyka niefinansowego (NFRD). Ponadto, w Banku funkcjonuje Komitet Ryzyka Niefinansowego powoływany przez Zarząd Banku, który wykonuje funkcje doradcze dla Zarządu Banku w zakresie zarządzania ryzykiem niefinansowym. Rada Nadzorcza pełni nadzór nad zarządzaniem ryzykiem operacyjnym przez Zarząd i dokonuje co najmniej raz w roku oceny efektywności działań w tym zakresie.

Wspólne ramy zarządzania ryzykiem niefinansowym pozwalają Bankowi aktywnie identyfikować główne zagrożenia i luki oraz związane z nimi ryzyka, które mogą powodować niepożądane zdarzenia. Wspierają je takie procesy jak samoocena ryzyka i kontroli, analizy scenariuszowe, monitorowanie kluczowych wskaźników ryzyka czy testowanie kluczowych kontroli. Wyniki analiz zdarzeń wewnętrznych i zewnętrznych stale poprawiają adekwatność i efektywność funkcjonującego w Banku systemu kontroli wewnętrznej.

Bank jest przekonany, że skuteczne środowisko kontroli jest niezbędne do budowy i utrzymania zrównoważonego biznesu, a także zachowuje i zwiększa zaufanie klientów, pracowników i akcjonariuszy.

Ryzyko operacyjne

Ryzyko operacyjne rozumiemy jako możliwość wystąpienia bezpośredniej lub pośredniej straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub ze zdarzeń zewnętrznych. Jako element ryzyka operacyjnego uznajemy ryzyko prawne.

Definicja ryzyka operacyjnego jest szeroka i obejmuje następujące obszary:

  • ryzyko błędów w kontroli,
  • ryzyko niedozwolonych działań,
  • ryzyko błędów w przetwarzaniu,
  • ryzyko niewłaściwych praktyk kadrowych i bezpieczeństwa miejsca pracy,
  • ryzyko naruszenia bezpieczeństwa osób i zasobów,
  • ryzyko informacji (ang. IT risk),
  • ryzyko zakłócenia ciągłości działalności,
  • ryzyko oszustw wewnętrznych i zewnętrznych,.

Definicje tych ryzyk znajdują się w Rocznym Skonsolidowanym Sprawozdaniu Finansowym Grupy Kapitałowej ING Banku Śląskiego S.A. za 2019 rok.

katowice_ing_01-2020_rk_1179 katowice_ing_01-2020_rk_1179

Naszym celem w zarządzaniu ryzykiem operacyjnym jest ciągła poprawa bezpieczeństwa Banku i naszych klientów, obniżenie kosztów funkcjonowania i poprawa efektywności działania.

Zarząd Banku – po uzyskaniu akceptacji Rady Nadzorczej – określił strategię zarządzania ryzykiem operacyjnym. Wprowadził spójny pakiet wewnętrznych dokumentów normatywnych. Uregulowany tam zakres, zasady i obowiązki jednostek organizacyjnych oraz pracowników mają na celu ograniczanie skutków i prawdopodobieństwa strat finansowych i reputacyjnych w tym obszarze. Strategia zarządzania ryzykiem operacyjnym naszego banku uwzględnia wymagania prawne i regulacyjne oraz wykorzystuje dobre praktyki Grupy ING.

Ponadto Zarząd – także w porozumieniu z Radą Nadzorczą – w deklaracji apetytu na ryzyko określił maksymalne dopuszczalne limity strat, limity kapitałowe oraz zakres ryzyka, jaki jest skłonny podjąć, realizując zaplanowane cele biznesowe – przy zachowaniu pełnej zgodności z prawem i regulacjami. Poziom wykorzystania limitów jest monitorowany i przedstawiany okresowo Zarządowi, Komitetowi Ryzyka oraz Radzie Nadzorczej.

System zarządzania ryzykiem operacyjnym dotyczy wszystkich sfer naszej działalności oraz działalności grupy kapitałowej, współpracy z klientami, dostawcami i partnerami. Stanowi spójną, stałą praktykę. Obejmuje ona następujące elementy:

  • identyfikację i ocenę ryzyka,
  • ograniczanie ryzyka i monitorowanie działań ograniczających,
  • wykonywanie kontroli,
  • monitorowanie i zapewnienie jakości.

Zarządzanie ryzykiem operacyjnym w naszym Banku opieramy na następujących ogólnych zasadach:

  • utrzymujemy kompletną, spójną i transparentną strukturę zarządzania ryzykiem operacyjnym z jasno przypisanym zakresem zadań i odpowiedzialności.
  • rozpoznajemy charakter środowiska wewnętrznego i zewnętrznego – w tym ograniczenia oraz słabości – wyciągamy wnioski ze zdarzeń zewnętrznych i wewnętrznych, aby ustalić przyczyny zdarzenia oraz rozpoznać ewentualne nieprawidłowości w środowisku kontrolnym lub określić nierozpoznane ekspozycje na ryzyko.
  • identyfikujemy przyczyny, rodzaje i poziomy ryzyka, które jesteśmy gotowi podjąć. Wyznaczamy standardy działań kontrolnych i ograniczających uwzględniając transfer ryzyka na rynek ubezpieczeniowy.
  • mamy skuteczną i spójną identyfikację i kontrolę ryzyka dla wszystkich produktów, działań, procesów i systemów funkcjonujących w Banku.
  • monitorujemy i raportujemy wielkość wymaganego kapitału, profil ryzyka oraz ekspozycji na ryzyko.
  • ciągle zwracamy uwagę na podnoszenie świadomości pracowników oraz managerów. Zapewniamy, aby pracownicy posiadali odpowiednie kwalifikacje w celu wykonywania czynności związanych z zarządzaniem ryzykiem niefinansowym oraz byli wyposażeni w odpowiednie narzędzia.

Priorytetem jest efektywność procesów zarządzania ryzykiem oraz wysoka jakość wykorzystywanych danych.

Jako główne czynniki mające wpływ na poziom ryzyka uznajemy:

  • wiedzę i kompetencje pracowników,
  • warunki pracy,
  • odpowiedni podział obowiązków i nadzór nad ich wypełnianiem,
  • poziom bezpieczeństwa informacyjnego,
  • integralność procesów biznesowych oraz systemów informatycznych i technicznych,
  • czynności zlecone na zewnątrz (outsourcing),
  • jakość dokumentacji wewnętrznej i zewnętrznej,
  • zdarzenia zewnętrzne związane ze zmianami w środowisku biznesowym,
  • klęski żywiołowe, awarie i katastrofy.

W 2019 roku kontynuowaliśmy doskonalenie systemu zarządzania ryzykiem operacyjnym, jednocześnie mając na uwadze zapewnienia zgodności z nowymi wymogami regulacyjnymi, w tym między innymi:

  • wzmocniliśmy mechanizmy kontrole i zakres monitorowania w obszarze przeciwdziałania oszustwom wewnętrznym i zewnętrznym.
  • prowadziliśmy analizę czynników ryzyka, z uwzględnieniem miar biznesowych badając ich wzajemne powiązania,
  • poszerzamy wykorzystanie testów warunków skrajnych zgodnie z wymogami EBA Stress tests guidelines.
  • optymalizujemy System Kontroli Wewnętrznej poprzez odpowiedni dobór mechanizmów kontroli dla kluczowych procesów na bazie okresowej oceny jego efektywności
  • prowadziliśmy przegląd procesów zarządzania ryzykiem pod kątem optymalizacji działań pierwszej i drugiej linii obrony oraz użycia wypracowanych narzędzi zarządzania danymi
  • wdrożyliśmy nową zintegrowaną metodę wyliczania poziomu ryzyka ciągłości działania;
  • rozpoczęliśmy pracę nad zapewnieniem zgodności z wymaganiami EBA dotyczącymi outsourcingu.
  • kontynuowaliśmy prace związane z bezpieczeństwem funkcjonowania Banku po wdrożeniu dyrektywy PSD2;
  • usprawniliśmy metody komunikacji kryzysowej;
  • wprowadziliśmy nowe lub uaktualniliśmy istniejące regulacje, m.in. politykę zarządzania ryzykiem operacyjnym, polityki bezpieczeństwa informacji, politykę dot. systemu kontroli wewnętrznej, procedury dotyczące zarządzania danymi, oceny ryzyka oraz testowania kluczowych kontroli.

Stale dbamy o jakość wykorzystywanych danych, podnosimy swoje kwalifikacje oraz poszerzamy możliwości wykorzystywania zaawansowanych metod analiz danych w procesach identyfikacji i monitorowania zagrożeń. Automatyzujemy również czynności operacyjne związane z zarządzaniem ryzykiem z wykorzystaniem narzędzi RPA (Robotics Process Automation).

Podnosimy świadomość ryzyka pracowników naszego banku oraz naszych klientów wskazując na bieżące zagrożenia i sposoby właściwego postępowania. Wyciągamy lekcje z zaistniałych zdarzeń. Wyjaśniamy ich przyczyny oraz wprowadzamy rozwiązania minimalizujące możliwość ich wystąpienia w przyszłości.

Ryzyko braku zgodności (Compliance)

Misją Banku w zakresie zapewnienia zgodności jest budowanie kultury korporacyjnej opartej na znajomości i przestrzeganiu przepisów prawa, regulacji wewnętrznych, standardów rynkowych oraz Wartości i Zachowań ING, określonych w Pomarańczowym Kodzie.

Rada Nadzorcza Banku sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności w Banku, a Zarząd Banku odpowiada za efektywne zarządzanie w Banku ryzykiem braku zgodności, w tym za: wdrożenie rozwiązań organizacyjnych, regulacji i procedur, umożliwiających efektywne zarządzanie ryzykiem braku zgodności oraz za zapewnienie adekwatnych zasobów i środków wymaganych dla realizacji zadań.

Jednostka Compliance pełni rolę komórki ds. zarządzania ryzykiem braku zgodności i odpowiada za organizację i funkcjonowanie procesu zarządzania ryzykiem braku zgodności, rozumianego jako proces identyfikacji, oceny, kontroli i monitorowania ryzyka braku zgodności działalności Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie.

W ostatnim roku, jednostka Compliance dostosowała swoją organizację do zmieniającego się środowiska zewnętrznego, aby lepiej zarządzać ryzykiem braku zgodności opartym o aktywność pracowników we wszystkich obszarach i zakresach odpowiedzialności, ukierunkowanym na jego skuteczne ograniczanie. Zmiana organizacyjna przy jednoczesnym wzmocnieniu kompetencji pracowników przełoży się na ograniczenie błędów w projektowaniu procesów oraz identyfikacji ryzyk w podobnych procesach biznesowych w celu określenia ryzyk niedostrzeganych w pojedynczym procesie.

W celu efektywnego zarządzania ryzykiem braku zgodności, Compliance kontynuował wykonywanie niezależnych kontroli, opracowania i monitorowania realizacji programów szkoleniowych, wydawania zaleceń i rekomendacji w procesie opiniowania zmian produktowych, legislacyjnych oraz materiałów marketingowych.

W 2019 roku Bank kontynuował prace w celu implementacji wymogów regulacyjnych: Dyrektywy MIFID II i polskich przepisów wykonawczych, Dyrektywy w sprawie usług płatniczych i przepisów wykonawczych (PSD2), Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, jak również regulacji dotyczących przeciwdziałaniu wykorzystania sektora finansowego do wyłudzeń skarbowych (STIR i Split Payment) oraz regulacji w zakresie raportowaniu schematów podatkowych oraz unikaniu opodatkowania (MDR).

Rada Nadzorcza Banku sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności w Banku, a Zarząd Banku odpowiada za efektywne zarządzanie w Banku ryzykiem braku zgodności, w tym za: wdrożenie rozwiązań organizacyjnych, regulacji i procedur, umożliwiających efektywne zarządzanie ryzykiem braku zgodności oraz za zapewnienie adekwatnych zasobów i środków wymaganych dla realizacji zadań.

Jednostka Compliance pełni rolę komórki ds. zarządzania ryzykiem braku zgodności i odpowiada za organizację i funkcjonowanie procesu zarządzania ryzykiem braku zgodności, rozumianego jako proces identyfikacji, oceny, kontroli i monitorowania ryzyka braku zgodności działalności Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie.

W ostatnim roku, jednostka Compliance dostosowała swoją organizację do zmieniającego się środowiska zewnętrznego, aby lepiej zarządzać ryzykiem braku zgodności opartym o aktywność pracowników we wszystkich obszarach i zakresach odpowiedzialności, ukierunkowanym na jego skuteczne ograniczanie. Zmiana organizacyjna przy jednoczesnym wzmocnieniu kompetencji pracowników przełoży się na ograniczenie błędów w projektowaniu procesów oraz identyfikacji ryzyk w podobnych procesach biznesowych w celu określenia ryzyk niedostrzeganych w pojedynczym procesie.

W celu efektywnego zarządzania ryzykiem braku zgodności, Compliance kontynuował wykonywanie niezależnych kontroli, opracowania i monitorowania realizacji programów szkoleniowych, wydawania zaleceń i rekomendacji w procesie opiniowania zmian produktowych, legislacyjnych oraz materiałów marketingowych.

W 2019 roku Bank kontynuował prace w celu implementacji wymogów regulacyjnych: Dyrektywy MIFID II i polskich przepisów wykonawczych, Dyrektywy w sprawie usług płatniczych i przepisów wykonawczych (PSD2), Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, jak również regulacji dotyczących przeciwdziałaniu wykorzystania sektora finansowego do wyłudzeń skarbowych (STIR i Split Payment) oraz regulacji w zakresie raportowaniu schematów podatkowych oraz unikaniu opodatkowania (MDR).

Bezpieczeństwo transakcji i stabilność systemów IT

Bezpieczeństwo środków i danych naszych klientów oraz partnerów jest kluczową kwestią, na którą zwracamy szczególną uwagę w naszych codziennych działaniach. Na bieżąco obserwujemy zagrożenia i analizujemy ich wpływ na infrastrukturę teleinformatyczną (aplikacje, systemy, sieci), a także nasze procesy biznesowe, procesy naszych partnerów oraz ich potencjalny wpływ na klientów. Na tej podstawie projektujemy i wdrażamy odpowiednie rozwiązania organizacyjne i techniczne w obszarach prewencji, detekcji i reakcji.

Nasze systemy teleinformatyczne chronią wielowarstwowe mechanizmy i systemy cyberbezpieczeństwa.

Zapewnienie właściwego poziomu usług bankowych dla klientów to także zapewnienie stabilności działania systemów. By to osiągnąć podejmujemy różnorodne działania takie jak:

  • zapewnienie odpowiedniego procesu zarządzania zmianami w systemach informatycznych, które gwarantują przeprowadzenie adekwatnych testów wpływu zmian na działanie systemów,
  • zapewnienie właściwej architektura systemów krytycznych gwarantującej pełną redundantność komponentów i odporność na awarie,
  • zaimplementowanie mechanizmu monitoringu poprawności działania systemów, pozwalający na wczesne wykrywanie symptomów błędnego działania komponentów i szybką diagnostykę błędów,
  • zaimplementowanie procesu zarządzania wzrostem zapotrzebowania na zasoby gwarantujący dostosowanie zasobów sprzętowych i oprogramowania do zmian w wolumenach biznesowych i zmianach sposobu działania klientów.

Do zarządzania bezpieczeństwem IT podchodzimy w sposób systemowy i ciągły, poczynając od odpowiedniego podziału zadań i przypisania odpowiedzialności za ich realizację. Bezpieczeństwo jest zapewniane nie tylko w ramach dedykowanych do tego jednostek i procesów, ale jego aspekty są wbudowane w każdy proces czy obszar działania naszego banku. Procesy i role są budowane i organizowane zgodnie z najlepszymi i uznanymi międzynarodowymi standardami (np. jak COBIT).

W naszym banku działa Rada Bezpieczeństwa Środowiska Teleinformatycznego. Składa się z m.in. kierownictwa jednostek: biznesowych, IT, cyberbezpieczeństwa, ryzyka operacyjnego, bezpieczeństwa danych, przeciwdziałania oszustwom. Rada ta wydaje kierunkowe decyzje technologiczne i proceduralne w zakresie zapewniającym adekwatny poziom cyberbezpieczeństwa naszego banku. Na co dzień za zadania związane z cyberbezpieczeństwem, w tym monitoring bezpieczeństwa w trybie ciągłym, odpowiada dedykowana do tego jednostka.

Na poziomie rozwiązań technicznych na wstępie projektujemy i uaktualniamy na bieżąco standardy i architektury bezpieczeństwa obowiązujące w Banku. W oparciu o ich wymagania systemy teleinformatyczne są projektowane, budowane i wdrażane zgodnie z zasadą by zapewniać bezpieczeństwa na jak najwcześniejszych etapach ich życia. W trakcie tworzenia, przed wdrożeniem oraz cyklicznie po wdrożeniu systemy są poddawane różnym testom, w tym testom penetracyjnym.

Dla każdej technologii teleinformatycznej w naszym banku opracowujemy wzorcowe wymagania bezpieczeństwa, a ich skuteczność i poprawność wdrożenia jest regularnie weryfikowana w ramach testów i przeglądów bezpieczeństwa, jak również audytów wewnętrznych i zewnętrznych. Takie audyty i testy wykonywane są przez renomowane firmy eksperckie.

Komponenty systemu teleinformatycznego naszego banku są poddawane ciągłemu procesowi skanowania mającemu na celu wykrycie wszelkich podatności oraz ich niezwłoczną likwidację. Ponadto, systemy bankowe (sieć, infrastruktura i aplikacje) posiadają wdrożony monitoring bezpieczeństwa, który pozwala wykrywać wszelkie anomalie, działania niepożądane i incydenty bezpieczeństwa.

Procesy mające na celu zapewnienie bezpieczeństwa są poddawane nieustannej kontroli efektywności, co pozwala stale doskonalić nasze procesy i procedury związane z przeciwdziałaniem, wykrywaniem i reagowaniem na zagrożenia, jak również podejmowaniem działań eliminujących ich potencjalne skutki (np. niedostępność usług bankowych). W ramach tych działań, wdrożyliśmy dodatkowe mechanizmy uwierzytelniania i monitorowania aktywności użytkowników systemów teleinformatycznych oraz uszczelniliśmy warstwę ochrony przed złośliwym oprogramowaniem (takim jak np. ransomware).

Stosujemy rozwiązania wiodących dostawców narzędzi i usług z obszaru cyberbezpieczeństwa oraz unikalne rozwiązania opracowane przez naszych specjalistów. Jednocześnie stale współpracujemy z podmiotami Grupy ING oraz innymi firmami i organizacjami w Polsce (banki, stowarzyszenia branżowe, policja). Pozwala nam to obserwować trendy, wykrywać nowe podatności i z wyprzedzeniem przeciwdziałać zagrożeniom w obszarze bezpieczeństwa IT.

Adekwatnego poziomu zabezpieczeń wymagamy również od współpracujących z nami Partnerów zarówno za pomocą odpowiednich zapisów umownych z wymaganiami bezpieczeństwa IT jak i weryfikacji ich spełniania przez współpracujące firmy w ramach cyklicznie wykonywanych audytów.

W ramach naszej bankowości internetowej, stosujemy następujące rozwiązania bezpieczeństwa:

  • Autoryzacja transakcji kodem jednorazowym – metoda ta umożliwia autoryzację dyspozycji w systemie bankowości internetowej za pomocą kodu autoryzacyjnego. Użytkownik otrzymuje kod przez SMS. Kod generowany jest do jednej konkretnej dyspozycji i ma ograniczony czas ważności. Wraz z kodem klient otrzymuje informację o szczegółach transakcji, co pozwala dodatkowo zweryfikować dyspozycję.
  • Twardy limit dzienny – limit kwotowy, do którego mogą zostać wykonane przelewy w danym dniu w bankowości internetowej.
  • Szyfrowane połączenie internetowe – dostęp do systemów bankowych jest możliwy tylko po podaniu identyfikatora i hasła. Komunikacja pomiędzy komputerami klientów a serwerem Banku jest szyfrowana protokołem TLS. Serwis ingbank.pl oraz system bankowości internetowej chronione są certyfikatami cyfrowymi o wysokim poziomie zaufania, które zabezpieczają połączenie po szyfrowanym protokole HTTPS. To gwarantuje w pełni bezpieczne przesyłanie danych w formie zaszyfrowanej, zabezpiecza je przed zmianami z zewnątrz oraz uwierzytelnia komputery komunikujące się ze sobą.
  • 3D Secure (standard płatności kartą przez internet) – gdy nasi klienci płacą kartą w sklepie internetowym obsługującym 3D Secure, płatność potwierdzają dodatkowo jednorazowym kodem SMS. Aby korzystać z płatności w 3D Secure w naszym banku, nie trzeba niczego uruchamiać ani aktywować – wystarczy karta obsługująca płatności internetowe.
  • Hasło maskowane – logowanie do systemu bankowości internetowej odbywa się bez podania całego hasła – system automatycznie losuje tylko wybrane znaki.
  • Automatyczne wylogowanie w razie bezczynności użytkownika – po upływie 5 minut bezczynności użytkownika, system wykonuje automatyczne wylogowanie.

W odniesieniu do bankowości mobilnej, stosujemy następujące rozwiązania bezpieczeństwa:

  • Autoryzacja transakcji w aplikacji mobilnej – metoda ta jest dostępna dla klientów, którzy korzystają z systemu bankowości internetowej Moje ING, wykonają przelew na komputerze i mają zainstalowaną aplikację Moje ING mobile; stosowana jest zamiennie z kodem SMS.
  • Logowanie odciskiem palca – opcja ta jest dostępna dla telefonów z czytnikiem linii papilarnych. Aktywacja tej metody logowania, dostępna jest po zalogowaniu do aplikacji.
  • Twardy limit dzienny – limit kwotowy, do którego mogą zostać wykonane przelewy w danym dniu przez aplikację mobilną.
  • Automatyczne wylogowanie w razie bezczynności użytkownika – po upływie 60 sekund bezczynności użytkownika, system automatycznie wykonuje wylogowanie.

W przypadku uzasadnionego podejrzenia zagrożenia cyberprzestępczością lub oszustwem wobec klientów banku, blokujemy usługi w chroniąc klientów przed przejęciem ich danych lub środków przez osoby nieupoważnione.

Rok 2019 obfitował w wiele zdarzeń związanych z publikacją informacji o nowych lukach w bezpieczeństwie produktów IT różnych dostawców oraz nowych metodach realizacji włamań, cyberprzestępstw i oszustw jakich dokonywano na całym świecie. Widoczne trendy jakie można wyróżnić na tej podstawie są następujące:

  • nadal popularne są kampanie phishingowe, w szczególności dystrybuowane za pomocą wiadomości SMS, aczkolwiek klienci reagują coraz lepiej na tego typu wyłudzenia, a także bank jest lepiej przygotowany,
  • nie odnotowujemy znaczących zmian w stosunku do lat ubiegłych w kontekście nadużyć i zaawansowania socjotechnik stosowanych wobec osób fizycznych,
  • stopień technologicznego zaawansowania ataków realizowanych za pomocą złośliwego oprogramowania (ang. Malware) jest wyższy, ataki tego typu stają się bardziej kierunkowe, lub prowadzą do realizacji kradzieży środków za pomocą ataku wykorzystującego socjotechnikę, jednakże sama liczba ataków zdecydowanie zmalała,
  • stopień zaawansowania celowanych ataków na przedsiębiorstwa i instytucje (głównie finansowe) realizowane przez zorganizowane grupy cyberprzestępców jest podobny do lat poprzednich.

Odnotowano próby ataków / kompromitacji dostawców zewnętrznych w celu dostania się do infrastruktury firm współpracujących.

Równocześnie zmienia się otoczenie w którym przychodzi nam żyć i funkcjonować. Szybko rozwijają się:

  • Internet Rzeczy (IoT),
  • inteligentne miasta,
  • e-państwo / e-administratcja,
  • usługi chmurowe,
  • sieci 5G,

co ma wpływ nie tylko na wygodę, sprawność i wydajność, ale również niesie z sobą wiele zagrożeń.

Mając to na uwadze nieustannie wzmacniamy i rozwijamy własny system cyberzabezpieczeń na poziomie lokalnym jak i całej Grupy ING w celu zapobieżenia aktom cyberprzestępstw wobec klientów, pracowników oraz systemowi teleinformatycznemu naszego banku.
Nieustannie doskonalimy rozwiązania i systemy bezpieczeństwa służące do ochrony naszych klientów, jak i samego Banku, ustawicznie testując ich rzeczywistą efektywność poprzez m.in. wykonywanie testów penetracyjnych infrastruktury i aplikacji bankowych, zaawansowanych testów APT (ang. Advanced Persistent Threat), testów odporności na ataki DDoS (ang. Distributed Denial of Service) i wiele innych.

Utrzymujemy i aktualizujemy istniejące oraz wdrażamy nowe narzędzia do wczesnego wykrywania wszelkiego rodzaju oszustw i nadużyć, zaawansowanych ataków celowanych, w tym także zapobiegania wyciekowi informacji czy realizacji nieautoryzowanego transferu dużych środków pieniężnych z systemu bankowego.

Działamy na rzecz poprawy przeciwdziałania cyberprzestępczości w ramach programów podejmowanych w Grupie ING. Aktywnie współpracujemy z innymi instytucjami finansowymi, organami rządowymi i organami ścigania oraz dostawcami usług internetowych, szczególnie po uznaniu naszego banku operatorem kluczowej usługi w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa.

W ubiegłym roku nasz bank realizował wiele działań mających na celu podniesienie poziomu świadomości pracowników Banku w zakresie zagrożeń cyberbezpieczeństwa oraz realizował programy mające na celu podniesienie umiejętności pracowników IT i zespołów odpowiedzialnych za zapewnienie odpowiedniego poziomu cyberbezpieczeństwa Banku. Uruchomiliśmy nowe kampanie informacyjne dla klientów naszego banku ostrzegające o aktualnych zagrożeniach.

Ponadto, od kilku lat Bank prowadzi współpracę ze Związkiem Banków Polskich tworząc Kampanię „Dokumenty Zastrzeżone”. Ma ona przede wszystkim informować społeczeństwo, zarówno osoby będące klientami banków, jak i tych, którzy jeszcze nimi nie są, o możliwościach dokonywania zastrzeżeń dokumentów tożsamości w wypadku ich utraty (zagubienie, kradzież). Akcja informacyjna realizowana jest poprzez między innymi plakaty, ulotki, oznaczenia dostępne w placówkach, mailing, banery, komunikaty i materiały prasowe.

Dzięki skoordynowanym działaniom mającym na celu zapewnienie optymalnego poziomu cyberbezpieczeństwa, w 2019 roku nasz bank nie zanotował istotnych incydentów cyberbezpieczeństwa lub oszustw jakie wynikałby ze słabości bankowego systemu zabezpieczeń.

Przeciwdziałanie cyberprzestępczości jest jedną z podstawowych metod budowy przez nasz bank bezpiecznych i odpornych na ataki kanałów interakcji z klientami. Z uwagi na ciągły rozwój nowych, zaawansowanych metod ataków, zespoły bezpieczeństwa banku stale udoskonalają istniejące systemy a także budują nowe, skuteczniejsze mechanizmy detekcji i prewencji. Istotnym elementem naszej strategii rozwoju jest stałe udoskonalanie kompetencji specjalistów bezpieczeństwa oraz testowanie systemów, procesów i ludzi w ramach licznych testów APT (ang. Advanced Persistent Threat) oraz DDoS (Distributed Denial of Service). Wszystkie te czynności mają na celu ochronę zasobów banku przez zagrożeniami z wewnątrz oraz z zewnątrz, a tym samym ochronę naszych klientów i powierzonych nam środków.

W drugiej połowie 2019 roku wdrożyliśmy weryfikację behawioralną, czyli usługę polegającą na analizie zachowania klienta podczas korzystania z serwisu transakcyjnego. Utworzony profil użytkownika pozwala na wykrycie oszustwa w przypadku, gdy osoba nieuprawniona podejmie próbę wykonania transakcji.

Weryfikacja behawioralna analizuje interakcje użytkownika z komputerem lub urządzeniem mobilnym. Podczas tej weryfikacji nie sprawdzamy co robi dany użytkownik, ale w jaki sposób to robi. Zbieramy i analizujemy m.in. informacje o tym, jak szybko i często użytkownik klika w poszczególne klawisze na klawiaturze, jak przewija ekran, jak szybko i często klika myszką komputerową oraz jak trzyma urządzenie. Profil użytkownika budujemy tylko po zalogowaniu do Mojego ING i po każdym logowaniu porównujemy zachowania.

Dzięki temu rozwiązaniu, wkrótce będziemy mogli w dodatkowy sposób zabezpieczać wykonywane transakcje oraz dostęp do bankowości internetowej. W ten sposób będziemy przeciwdziałać podszywaniu się osób trzecich pod użytkowników Mojego ING.

Na bieżąco informujemy klientów poprzez serwisy internetowe o istniejących zagrożeniach, edukujemy i wskazujemy jak należy się zachować, aby bezpiecznie korzystać z bankowości internetowej i mobilnej. Tego typu działania są widoczne w naszym systemie bankowości elektronicznej dla każdego użytkownika, a aktualne informacje systematycznie są umieszczane na podstawie aktualnie wykrytego zagrożenia celującego w każdego użytkownika bankowości elektronicznej.

Stale rozwijamy narzędzia, algorytmy i reguły służące do wykrywania różnego rodzaju oszustw i nadużyć, w tym także zapobieganiu wyciekowi danych. Wiele z tych zadań realizujemy wspólnie z innymi jednostkami Grupy ING, a także we współpracy z instytucjami finansowymi, organami państwa i organami ścigania. Nawiązujemy współpracę z dostawcami nowoczesnych technologii, celem wprowadzenia nowych faktorów autoryzacji opartych np. o biometrię czy zachowania klienta.

Rok 2019 to przede wszystkim wzmacnianie zabezpieczeń wielu systemów do obowiązujących wymogów technicznych i prawnych mających na celu lepszą ochronę danych klientów przetwarzanych w naszych systemach oraz rozpoczęcie działania banku w ramach krajowego systemu cyberbezpieczeństwa.

Bezpieczeństwo danych osobowych

  • [103-1]
    Wyjaśnienie tematów zidentyfikowanych jako istotne wraz ze wskazaniem ograniczeń
  • [103-2]
    Podejście do zarządzania i jego elementy
  • [103-3]
    Ewaluacja podejścia do zarządzania

Stabilność systemów IT to również ochrona danych osobowych klientów, partnerów biznesowych i pracowników. Jednak poza bezpieczeństwem informatycznym, dbamy również o bezpieczeństwo fizyczne danych i informacji przechowywanych w naszym banku. Nasze wewnętrzne regulacje ściśle określają obecność osób postronnych w naszych biurach i wykluczają podłączanie niezweryfikowanych urządzeń do naszej sieci teleinformatycznej.

Regularnie testujemy nasze fizyczne zabezpieczenia, a wnioski z kontroli stają się inspiracją dla zmian. Testowanie zabezpieczeń fizycznych stało się w Banku nieodłącznym elementem testów APT badających odporność cyberbezpieczeństwa Banku.

Zarządzanie bezpieczeństwem danych osobowych

W ostatnim roku nie stwierdziliśmy uzasadnionych skarg dotyczących naruszenia prywatności klienta.

Dbamy o wysoki poziom świadomości pracowników naszego banku na temat ochrony danych osobowych, finansowych i biznesowych nakładając na nich obowiązek odbycia obowiązkowego cyklu szkoleń. Nieustannie realizujemy programy mające na celu ustawiczne zwiększanie kompetencji pracowników w zakresie ochrony danych, wskazując jak ważna jest ochrona prywatności klientów, partnerów biznesowych oraz samych pracowników. Wykorzystujemy w tym zakresie spotkania, warsztaty a także cykliczną komunikację do pracowników.

Adekwatnie do zmian, dostosowaliśmy wymagane prawem, regulacjami wewnętrznymi oraz dobrymi praktykami zabezpieczenia techniczne i proceduralne w celu lepszej ochrony danych naszych klientów.

Bezpieczeństwo korzystania z usług bankowych zależy także od naszych klientów, dlatego dzielimy się z nimi informacjami o potencjalnych zagrożeniach i rekomendujemy rozwiązania bezpieczeństwa na urządzeniach, poprzez które klienci korzystają z bankowości internetowej.

Do dyspozycji każdego klienta naszego banku oddajemy zbiór zasad prawidłowego korzystania z bankowości on-line:

  • podpowiadamy, jak stworzyć bezpieczne hasło,
  • informujemy na bieżąco na temat zagrożeń w bankowości internetowej,
  • przypominamy o zasadach bezpiecznego bankowania,
  • wyjaśniamy, jak zabezpieczyć się przed kradzieżą danych w Internecie,
  • uczymy, jak chronić urządzenia, z których korzystają klienci,
  • blokujemy usługi w uzasadnionych przypadkach chroniąc klientów przed przejęciem ich danych przez osoby nieupoważnione,
  • uświadamiamy zagrożenia podczas rozmów z klientami, którzy odwiedzają nas w placówce,
  • spotykamy się z seniorami, aby świadomość zagrożeń pozwalała im skuteczniej się chronić,
  • uczestniczymy w warsztatach dla środowisk akademickich mających na celu podnoszenie świadomości.

Dbamy o klientów detalicznych, ale nie zapominamy również o bezpieczeństwie klientów korporacyjnych. Podobnie jak w latach ubiegłych kontynuujemy konferencje dla klientów korporacyjnych i strategicznych, w trakcie których prezentujemy zagrożenia związane z cyberprzestępczością oraz mechanizmy naszych aplikacji i rozwiązań, które pozwalają przeciwdziałać nadużyciom.

Bank nie tylko wdrożył wymagania związane z wprowadzeniem Rozporządzenia Unii Europejskiej dotyczącego ochrony danych osobowych, ale również analizuje zmiany i wprowadza je bez zbędnej zwłoki w procedury i regulacje wewnętrzne. Ostatnim przykładem ciągłej analizy zmian i aktualizacji wewnętrznych regulacji jest wdrożenie tzw. ustawy sektorowej, która – implementując RODO w przepisach prawnych Polski – dodała zapisy w Prawie bankowym zapewniające łatwiejszy dostęp do informacji o podejmowanych decyzjach automatycznych w odniesieniu do klientów. Tak jak w poprzednich latach, współpracujemy w ramach Związku Banków Polskich, z innymi bankami w celu wypracowania wspólnego kodeksu postępowania, a także wypracowania spójnych rozwiązań związanych z ochroną danych osobowych.

Ryzyko środowiskowe i społeczne

ryz-sridow ryz-sridow

Jako bank mamy wpływ na finansowanie i kredytowanie przedsięwzięć mogących wywierać znaczący negatywny wpływ na społeczeństwo i środowisko. Poszanowanie praw człowieka, ochrona środowiska naturalnego oraz zrównoważony rozwój stanowią ważny element długoterminowej strategii budowania wartości naszego banku. Jesteśmy świadomi zagrożeń płynących z nieodpowiedzialnego korzystania z zasobów naturalnych. Wspieramy klientów w prowadzeniu działalności w sposób zrównoważony oraz zachęcamy do ciągłego doskonalenia się w tym zakresie. Wymagamy, aby nasi klienci prowadzili działalność zgodnie z przepisami regulującymi zagadnienia społeczno-środowiskowe oraz aby posiadali wszystkie wymagane prawem pozwolenia i licencje. Dlatego chcąc unikać zagrożeń związanych z finansowaniem przedsięwzięć wywierających negatywny wpływ na środowisko stosujemy ocenę ryzyka środowiskowego i społecznego oraz Politykę wykluczeń.

Najważniejsze ryzyka społeczno-środowiskowe, obejmują:

  • naruszanie praw człowieka na skutek pracy przymusowej, zatrudniania dzieci, nieodpowiednich warunków pracy, stosowania przemocy. Ryzyko występuje przede wszystkim w leśnictwie i plantacjach oraz przetwórstwie przemysłowym,
  • zagrożenie dla zdrowia pracowników oraz lokalnych społeczności na skutek skażenia środowiska, kontaktu ze szkodliwymi materiałami chemicznymi, przenoszenia na ludzi chorób zwierzęcych, nieprzestrzegania prawa pracy. Ryzyko związane jest przede wszystkim z przemysłem chemicznym, energetyką, górnictwem, produkcją metali oraz hodowlą zwierząt,
  • zagrożenie dla zdrowia i życia konsumentów na skutek spożywania szkodliwych dla zdrowia produktów. Ryzyko występuje przede wszystkim w przemyśle tytoniowym,
  • kontrowersyjną politykę handlową, polegającą na kontraktowaniu skrajnie niskich cen za produkty wytwarzane
    w krajach słabo rozwiniętych gospodarczo. Ryzyko związane jest przede wszystkim z przetwórstwem przemysłowym,
  • niehumanitarne traktowanie zwierząt w procesie hodowli, transportu, uboju lub przeprowadzania eksperymentów medycznych (dobrostan zwierząt),
  • utratę różnorodności biologicznej oraz niekontrolowane rozprzestrzenienie się gatunków inwazyjnych, w tym modyfikowanych genetycznie; erozja oraz degradacja gleb. Ryzyko związane jest przede wszystkim z leśnictwem i plantacjami,
  • zanieczyszczenie gleb i wód metalami ciężkimi, odpadami, ściekami oraz wzrost zużycia wody na obszarach ubogich w zasoby wodne. Ryzyko związane jest przede wszystkim z hodowlą zwierząt, leśnictwem i plantacjami, przetwórstwem przemysłowym, przemysłem chemicznym, energetyką, górnictwem oraz produkcją metali.

Zarządzanie ryzykiem środowiskowym i społecznym

  • [102-11]
    Wyjaśnienie, czy i w jaki sposób organizacja stosuje zasadę ostrożności

Ocena ryzyka środowiskowego i społecznego obejmuje klienta oraz transakcję. Oceny dokonujemy według naszej najlepszej wiedzy. Na poziomie klienta oceniamy, czy działalność prowadzona jest z poszanowaniem praw człowieka, zasadami ochrony środowiska naturalnego oraz czy nie jest objęta polityką wykluczeń. Na poziomie transakcji oceniamy, czy jest ona zgodna z wymaganiami polityk szczegółowych.

Polityka wykluczeń dotyczy działalności, z którymi związane jest szczególnie wysokie ryzyko naruszania praw człowieka oraz ryzyko negatywnego wpływu na środowisko naturalne i zasady zrównoważonego rozwoju. Nie nawiązujemy relacji z klientami, których podstawowa działalność objęta jest polityką wykluczeń.

Identyfikujemy oraz odpowiednio zarządzamy relacjami z klientami, którzy działają w obszarach bardziej podatnych na zagrożenia społeczne lub środowiskowe. Stosujemy szczegółowe polityki, które mają za zadanie wspierać ochronę środowiska oraz minimalizować występujące ryzyka w narażonych obszarach.

Polityki szczegółowe dotyczą następujących obszarów:

  • Dobrostan zwierząt,
  • Leśnictwo i plantacje,
  • Przetwórstwo przemysłowe,
  • Przemysł chemiczny oraz wykorzystywanie chemikaliów,
  • Obronność oraz przemysł zbrojeniowy,
  • Górnictwo węgla, energetyka węglowa oraz działalności powiązane,
  • Pozostałe górnictwo i energetyka, petrochemia oraz produkcja metali.

W celu lepszego zarządzania ryzykiem stworzyliśmy dla naszych pracowników Instrukcję ryzyka środowiskowego i społecznego. Wspiera ona identyfikację oraz odpowiednie zarządzanie relacjami z klientami, którzy działają w obszarach znacząco wpływających na środowisko, w którym żyjemy.

Zmień walutę na:

Zmień:

Wyniki wyszukiwania: