Wyniki ćwiczeń Cyber-EXE Polska 2024: polskie banki gotowe na DORA

We wrześniu minionego roku odbyła się 8. edycja ćwiczeń Cyber-EXE Polska, organizowana przez Fundację Bezpieczna Cyberprzestrzeń. Po raz czwarty ćwiczenia były poświęcone sektorowi finansowemu. Tym razem oceniono przygotowania do wymogów DORA oraz współpracę między uczestnikami. 

W ćwiczeniach Cyber-EXE Polska 2024 (CEP24) wzięło udział 18 podmiotów, w tym czołowi przedstawiciele największych polskich banków: PKO Bank Polski, Bank Pekao, Santander Bank Polska, mBank, ING Bank Śląski, BNP Paribas Bank Polska, Alior Bank oraz krajowego ekosystemu cyberbezpieczeństwa, w tym CSIRT-y poziomu krajowego (MON, GOV, NASK) i sektorowy CSIRT KNF. Organizatorem ćwiczeń była Fundacja Bezpieczna Cyberprzestrzeń (FBC), a głównym partnerem firma doradcza EY, do grona partnerów należą także SimSpace, Splunk, Mastercard.

Jak banki reagują na incydenty poważne?

W ramach CEP24 rozegrano dwa scenariusze symulujące ataki na sektor finansowy, inspirowane rzeczywistymi działaniami grup hakerskich APT (Advanced Persistent Threat). Każdy scenariusz zakładał dynamiczną symulację rozwoju incydentu, przy czym scenariusze zakładały przełamanie mechanizmów obronnych i wystąpienie incydentu poważnego. Realizowano je w różnych trybach interakcji między uczestnikami – samodzielnym, kiedy zespół banku kontaktował się tylko z zespołem CSIRT oraz w trybie współpracy z innymi zespołami bankowymi w celu wymiany doświadczeń oraz wsparciem zespołu CSIRT.

Autorzy scenariuszy ćwiczeń wytyczyli trzy podstawowe cele ćwiczeń:

• weryfikację operacyjnych zdolności systemu cyberbezpieczeństwa sektora bankowego,
• efektywną komunikację w sytuacjach kryzysowych,
• podniesienie świadomości wśród organów odpowiedzialnych za zarządzanie kryzysowe.

Celem głównym CEP24 było przygotowanie podmiotów sektora finansowego do wdrożenia i działania zgodnie z nowymi regulacjami z zakresu cyberbezpieczeństwa (rozporządzenie DORA, nowelizacja UoKSC).

Cele szczegółowe dotyczyły:

• weryfikacji procesu klasyfikacji incydentu jako poważny – zgodnie z wytycznymi właściwych regulacyjnych standardów technicznych (RTS);
• weryfikacji kompetencji zespołów technicznych cyberbezpieczeństwa do analizy artefaktów i zbierania informacji niezbędnych do zgłoszenia incydentu poważnego;
• weryfikacji współpracy zespołów technicznych i pozostałych komórek organizacyjnych w wypełnianiu formularza zgłoszenia incydentu poważnego;
• oceny przydatności formularza zgłoszenia incydentu poważnego, opracowanego przez KNF na podstawie RTS;
• weryfikacji procesu współpracy banków z CSIRT KNF.

Celem dodatkowym, biorąc pod uwagę udział w ćwiczeniu CSIRT KNF oraz CSIRT‑ów krajowych, była weryfikacja współpracy pomiędzy CSIRT‑em poziomu krajowego, sektorowym a CSIRT‑ami poziomu krajowego.

Wnioski i rekomendacje

We wnioskach i rekomendacjach z badania stwierdza się m.in., że o ile banki przygotowane są do działania w ramach obu regulacji, konieczne są dalsze ćwiczenia. Mają one m.in. objąć aspekty DORA nie ujęte w scenariuszu dotychczasowego badania. Zrealizowane scenariusze uznano za nieco uproszczone i mało różnorodne. Ponadto, zasadny byłby udział zewnętrznych dostawców technologii, aby testować komunikację i reakcję na incydenty w odniesieniu do usług ICT świadczonych przez strony trzecie.

Ćwiczenia potwierdziły także znaczenie komunikacji – w trybie pełnej współpracy zespoły osiągały lepsze rezultaty. Z kolei tryb samodzielny był o tyle cenny, że pozwalał zidentyfikować dobrze własne luki w zdolności do reakcji na incydent.

W ramach ćwiczeń udało się właściwie zaklasyfikować incydent w ramach regulacyjnych standardów technicznych (RTS). Wystąpiły jednak trudności interpretacyjne podczas wypełniania formularza zgłoszeń incydentów. Stąd rekomendacja szkoleń z udziałem KNF. Potwierdzono też, że zespoły bankowe dysponują stosownymi narzędziami do klasyfikacji incydentów.

Ćwiczenia potwierdziły, że zespoły posiadają odpowiednie kompetencje techniczne do realizacji takich zadań w myśl wymogów DORA i NIS2. Dotyczy to zdolności gromadzenia i analizy artefaktów pod kątem identyfikacji poważnego incydentu. Dalszy sugerowany kierunek rozwoju umiejętności dotyczył zagadnień thread hunting i analizy powłamaniowej.

Ćwiczenia dowiodły także bardzo dobrej komunikacji i współpracy banków z sektorowym CSIRRT-em KNF. Także współpraca z CSIRT KNF z CSIRT-ami krajowymi została oceniona jako dobra. Uznano jednak, że scenariusze ćwiczeń nie pozwalały w pełni zweryfikować ze względu np. na brak udziału w ćwiczeniach szczebla decyzyjnego. We wnioskach dostrzeżono także potrzebę poprawy procedur komunikacyjnych – rozwinięcie ich poza kanał poczty elektronicznej. W przypadku wystąpienia równolegle wielu incydentów poważnych wpływałoby to na efektywność komunikacji. Stąd rekomendacja rozbudowy środków i procedur komunikacji oraz dystrybucji informacji.

Inne wnioski i zalecenia dotyczyły wykorzystanej w ćwiczeniach jako warstwy infromacyjnej platformy CyberBastion oraz środowiska cyber range. To ostatnie wymaga np. poprzez uzupełnienie o narzędzia klasy EDR i NDR czy optymalizację samej platformy.

Obszerny raport opublikowany został udostępniony przez organizatorów: Raport z ćwiczeń Cyber-EXE Polska 2024 – najważniejsze wnioski i rekomendacje – Fundacja Bezpieczna Cyberprzestrzeń