
Bankomat wysadzony w nocy. Rano zaczyna się prawdziwy test Banku
Wysadzenie bankomatu może trwać kilkadziesiąt sekund. Obsługa skutków takiego zdarzenia może jednak angażować Bank przez wiele dni.
Zniszczone urządzenie, teren zabezpieczony przez Policję, czasowo zamknięta placówka i klienci oczekujący na obsługę to dopiero początek. Bank musi równocześnie zadbać o bezpieczeństwo ludzi, zabezpieczenie dowodów, rozliczenie gotówki, ciągłość działania, komunikację z klientami oraz formalną ocenę i klasyfikację incydentu.
Największym błędem byłoby potraktowanie takiego zdarzenia wyłącznie jako kradzieży, szkody majątkowej albo sprawy prowadzonej przez Policję.
To także zdarzenie operacyjne, incydent bezpieczeństwa fizycznego i potencjalny incydent związany z ICT.
Nocne zdarzenie przy siedzibie Banku
W analizowanym, zanonimizowanym przypadku do wysadzenia wolnostojącego bankomatu doszło około godziny 3:00 w nocy. Urządzenie znajdowało się przy Centrali Banku.
Po zdarzeniu Policja zabezpieczyła teren, a Bank czasowo wstrzymał obsługę klientów w tej lokalizacji. Klientów skierowano do innych placówek posiadających bankomaty, w tym do placówki wyposażonej również we wpłatomat. Rano opublikowano komunikat na stronie internetowej Banku.
Pierwsza reakcja była prawidłowa:
- nie ingerowano w miejsce zdarzenia,
- podporządkowano się poleceniom Policji,
- ograniczono dostęp do zagrożonego terenu,
- zapewniono klientom obsługę w innych placówkach,
- przekazano informację o utrudnieniach.
Takie działania zabezpieczają najpilniejsze potrzeby. Nie oznaczają jednak zakończenia obsługi incydentu.
Wysadzenie bankomatu to więcej niż szkoda materialna
Bankomat jest urządzeniem ICT wykorzystywanym do świadczenia usług finansowych. Łączy się z systemami autoryzacyjnymi, przetwarza dane transakcyjne i korzysta z infrastruktury telekomunikacyjnej Banku lub jego dostawcy.
Dlatego po takim zdarzeniu należy ustalić nie tylko wartość uszkodzonego urządzenia i utraconej gotówki, ale również:
- czy doszło do nieuprawnionego dostępu do urządzenia, sieci lub systemów,
- czy mogły zostać ujawnione dane klientów,
- czy naruszono konfigurację terminala, certyfikaty lub klucze kryptograficzne,
- czy wystąpiły transakcje przerwane, nierozliczone albo wymagające reklamacji,
- jak długo usługa była niedostępna,
- ilu klientów dotyczyło zakłócenie,
- czy zdarzenie wpłynęło na pracę placówki,
- czy powstał obowiązek zgłoszenia incydentu do właściwego organu.
Samo zawiadomienie Policji nie zamyka incydentu
Po opanowaniu bezpośredniego zagrożenia Bank powinien uruchomić wewnętrzną procedurę obsługi incydentu.
W praktyce oznacza to przede wszystkim:
- zarejestrowanie zdarzenia,
- wyznaczenie osoby odpowiedzialnej za jego koordynację,
- zabezpieczenie monitoringu, logów i danych dotyczących transakcji,
- potwierdzenie odłączenia bankomatu od infrastruktury,
- rozliczenie gotówki oraz ewentualnych reklamacji,
- ocenę wpływu na klientów i ciągłość działania,
- przeprowadzenie formalnej klasyfikacji incydentu,
- udokumentowanie decyzji dotyczącej ewentualnego raportowania.
Kluczowe jest nie tylko ustalenie wyniku klasyfikacji, ale także zachowanie dowodów potwierdzających, w jaki sposób Bank do tego wyniku doszedł.
Nawet jeżeli incydent nie zostanie uznany za poważny, Bank powinien posiadać wypełniony formularz klasyfikacyjny, uzasadnienie odpowiedzi oraz formalną decyzję o braku obowiązku zgłoszenia.
Klasyfikacja incydentu zgodnie z DORA
W ramach klasyfikacji Bank powinien ocenić między innymi:
- krytyczność usługi,
- wpływ na klientów i transakcje,
- czas trwania incydentu i przerwy w świadczeniu usług,
- możliwość utraty danych,
- skutki reputacyjne,
- zasięg geograficzny,
- skalę kosztów i strat,
- możliwość powtarzalności podobnych zdarzeń.
W przypadku wysadzenia bankomatu samo fizyczne zniszczenie urządzenia nie musi automatycznie oznaczać poważnego incydentu ICT. Ocena zależy od rzeczywistych skutków zdarzenia.
Jeżeli jednak pojawią się nowe informacje, na przykład o dostępie do danych, dłuższej niedostępności, rosnących stratach albo kolejnych podobnych zdarzeniach, klasyfikację należy przeprowadzić ponownie.
Najważniejsza jest również komunikacja z klientami
W sytuacji zamknięcia placówki klienci powinni szybko otrzymać prostą i jednoznaczną informację:
- dlaczego obsługa jest czasowo wstrzymana,
- gdzie mogą zostać obsłużeni,
- które bankomaty i wpłatomaty są dostępne,
- z jakich kanałów zdalnych mogą korzystać,
- gdzie zgłaszać ewentualne problemy z transakcjami.
Dobra komunikacja ogranicza chaos, liczbę skarg i ryzyko reputacyjne. Powinna być prowadzona równolegle z działaniami technicznymi i proceduralnymi.
Incydent kończy się dopiero po wyciągnięciu wniosków
Po zakończeniu najpilniejszych działań Bank powinien przygotować raport końcowy, w którym opisze przebieg zdarzenia, jego skutki, wynik klasyfikacji oraz podjęte decyzje.
Należy również ocenić:
- skuteczność monitoringu i alarmu,
- czas reakcji ochrony,
- sposób zabezpieczenia i lokalizację bankomatu,
- bezpieczeństwo przyłączy telekomunikacyjnych,
- możliwość zastosowania dodatkowych barier lub zabezpieczeń,
- zasadność odbudowy urządzenia w tym samym miejscu,
- potrzebę aktualizacji analizy ryzyka, procedur i planów ciągłości działania.
Najczęstszy błąd polega na uznaniu, że sprawa kończy się wraz z zakończeniem czynności Policji. W rzeczywistości incydent powinien zostać formalnie zamknięty dopiero po rozliczeniu skutków, zakończeniu klasyfikacji i wdrożeniu działań ograniczających ryzyko powtórzenia zdarzenia.
Wsparcie Servus Comp Kraków
Servus Comp Kraków wspiera banki w:
- proceduralnej obsłudze incydentów,
- klasyfikacji incydentów zgodnie z DORA,
- ocenie obowiązku zgłoszenia,
- przygotowaniu dokumentacji i raportów,
- opracowaniu działań naprawczych,
- aktualizacji procedur, analiz ryzyka i planów ciągłości działania.
W razie wystąpienia podobnego zdarzenia zapraszamy do kontaktu. Pomagamy Bankom przeprowadzić incydent od pierwszej reakcji aż do jego formalnego zamknięcia.
Zapraszamy Państwa do zapoznania się z innymi wpisami na naszm blogu:
Strategia ICT to za mało. KNF pyta o operacyjną odporność cyfrową Banku:
https://premiumbank.zadbajobezpieczenstwo.pl/strategia-ict-to-za-malo-knf-pyta-o-operacyjna-odpornosc-cyfrowa-banku/
Backup jest? To za mało. KNF zapyta, czy Bank potrafi się odtworzyć:
https://premiumbank.zadbajobezpieczenstwo.pl/backup-jest-to-za-malo-knf-zapyta-czy-bank-potrafi-sie-odtworzyc-strategia-ciaglosci-dzialania-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/Skan to za mało. KNF zapyta, czy Bank naprawdę testuje odporność ICT:
https://premiumbank.zadbajobezpieczenstwo.pl/skan-podatnosci-to-nie-test-odpornosci-knf-zapyta-czy-bank-naprawde-testuje-ict/Jeden dostawca, wiele systemów, jedno duże ryzyko. KNF pyta o koncentrację ICT:
https://premiumbank.zadbajobezpieczenstwo.pl/jeden-dostawca-wiele-systemow-jedno-duze-ryzyko-knf-pyta-o-koncentracje-ict/Audyt ZDU — czy wiesz, kogo naprawdę powinien kontrolować Bank?:
https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zdu-w-banku-spoldzielczym-jak-kontrolowac-dostawcow-zewnetrznych-zgodnie-z-dora/Zarząd musi wiedzieć. KNF zapyta, kto naprawdę nadzoruje ryzyko ICT w Banku:
https://premiumbank.zadbajobezpieczenstwo.pl/raport-ict-do-zarzadu-knf-pyta-kto-nadzoruje-ryzyko-ict-w-banku/Znalazłeś podatność? KNF zapyta, kiedy ją usunąłeś:
https://premiumbank.zadbajobezpieczenstwo.pl/znalazles-podatnosc-knf-zapyta-kiedy-ja-usunales-zarzadzanie-podatnosciami-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/Masz procedury DORA? KNF zapyta: kiedy ostatnio naprawdę je przeczytałeś?:
https://premiumbank.zadbajobezpieczenstwo.pl/coroczny-przeglad-dokumentacji-ict-dora-w-banku-spoldzielczym-po-ocenie-nadzorczej-knf-ryzyka-ict-za-2025-r/DORA nie zna wymówki: pracownik nie miał czasu na szkolenie:
https://premiumbank.zadbajobezpieczenstwo.pl/szkolenia-ict-dora-po-ocenie-knf-ryzyka-ict-za-2025-r-czy-bank-przeszkolil-wszystkich-czy-tylko-ma-plan-szkolenia/Dokument jest? KNF zapyta o dowód, że działa:
https://premiumbank.zadbajobezpieczenstwo.pl/dokument-jest-knf-zapyta-o-dowod-ze-dziala/
Zadzwoń lub napisz do Servus Comp, aby omówić temat.
Strona główna: https://premiumbank.zadbajobezpieczenstwo.pl
Servus Comp Data Security, Świętokrzyska 12/403, 30-015 Kraków
tel. +48 608 407 668, +48 12 631 91 22 • biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS
#WysadzenieBankomatu #IncydentICT #DORA #BezpieczeństwoBanku #BankSpółdzielczy #ZarządzanieIncydentami #KlasyfikacjaIncydentu #CiągłośćDziałania #BezpieczeństwoFizyczne #Cyberbezpieczeństwo #RyzykoICT #ObsługaIncydentu #ServusComp #ServusCompKraków #KNF

Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.