Bezpieczeństwo teleinformatyczne jest dla Unii Europejskiej priorytetem, co pokazuje dobitnie rozporządzanie DORA (Digital Operational Resilience Act), które weszło w życie 16 stycznia br. Regulacja nakłada wymagania na obszar zarządzania ciągłością działania w organizacjach z sektora finansowego. Na dostosowanie do nowych wymogów firmy mają dwa lata. Kogo dokładnie dotkną zmiany i jak się na nie przygotować?
Finalny kształt dokumentu DORA znany jest od końca ubiegłego roku. Dokładnie 27 grudnia 2022 roku w dzienniku urzędowym Unii Europejskiej ukazała się ostateczna forma rozporządzenia. Wtedy też pojawiły się wątpliwości.
Jakie podmioty obejmuje DORA?
Nowa regulacja dotyczy trzech grup instytucji, do których należą:
1. Tradycyjne organizacje z sektora finansowego – banki, towarzystwa ubezpieczeniowe, instytucje kredytowe, firmy inwestycyjne.
2. Fintechy – instytucje płatnicze, emitenci pieniędzy cyfrowych, giełdy krypotowalut.
3. Dostawcy ICT – dostawcy usług chmurowych, usług związanych z utrzymaniem infrastruktury i outsourcingiem, producenci oprogramowania, integratorzy IT.
Aby spełnić wymagania rozporządzenia, objęte nim podmioty będą musiały ustalić procesy zarządzania ryzykiem i ciągłością działania oraz ściśle połączyć je z systemem zarządzania bezpieczeństwem informacji. DORA ma na celu integrację procesu klaryfikacji i raportowania incydentów. Kładzie kluczowy nacisk na wczesne wykrywanie i reagowanie w czasie zbliżonym do rzeczywistego.
Ponadto, DORA wymaga cyklicznego sprawdzania zabezpieczeń kluczowych komponentów infrastruktury IT. Obejmuje to skanowanie w poszukiwaniu luk i prowadzenie testów penetracyjnych. Pojawił się wymóg okresowego weryfikowania i testowania planu ciągłości działania, także u podwykonawców zatrudnionych przez objęte rozporządzeniem podmioty.
„Cechą charakterystyczną cyberataków jest ich szeroko zakrojony zakres, który obejmuje wiele organizacji jednocześnie. Wymóg dotyczący konieczności dzielenia się informacjami o zagrożeniach pomoże całemu sektorowi stać się bardziej świadomym, a w konsekwencji aktywnie te zagrożenia zwalczać” – mówi Mateusz Kopacz, ekspert z obszaru security oraz szef działu sprzedaży adaptacyjnego systemu Cyrima do zabezpieczania procesów tworzenia i aktualizowania oprogramowania.
Jakie zmiany przynosi DORA w zakresie odporności cyfrowej?
DORA wprowadza nowe wymagania w miejsce od dawna istniejących luk i nieścisłości, szczególnie w odniesieniu do testowania tzw. odporności cyfrowej. Dobrą zmianą jest budowa platformy do wymiany informacji i zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT.
Rozporządzenie przyznaje nowe uprawnienia organom nadzoru finansowego w zakresie kontroli i sprawozdawczości. Istnieje wiele standardów, które regulują bezpieczeństwo finansowe tych instytucji, natomiast nowe prawo rozszerza zakres dotychczasowych wymagań nakładanych na obszary IT i bezpieczeństwa, uzupełniając dotychczasowe akty prawne. Nowe rozwiązanie legislacyjne nie zostawi dużego pola do dowolnej interpretacji, regulując szczegółowo obszar bezpieczeństwa usług cyfrowych.
I tak, efektem tych działań ma być dalszy wzrost znaczenia cyberbezpieczeństwa w sektorze finansowym. Organizacje muszą więc z wyprzedzeniem przygotować scenariusze działania po ewentualnym ataku. A jak wiadomo podmioty działające w kluczowym sektorze finansowym są na nie szczególnie narażone. Nakładane przez DORA wymogi wymuszają na nich sprawdzanie swojej odporności i opracowanie nie tylko planu B na wypadek ataku, lecz także planów C i D.
DORA w praktyce
Treść rozporządzenia jest sformułowana w sposób bardziej jednoznaczny niż treść pozostałych aktów prawnych z tego obszaru. Z jednej strony ułatwia to określenie zakresu niezbędnych wdrożeń, z drugiej – zawęża możliwość manewrowania. Potrzebne są procesy bezpieczeństwa, które w sposób ciągły będą kontrolować możliwości odparcia potencjalnego ataku.
Rozporządzenie DORA wprowadza istotną, nadrzędną zasadę. Pełna odpowiedzialność za określenie, zatwierdzenie, wdrożenie i nadzorowanie polityki zarządzania ryzykiem usług ICT będzie ciążyć na organie zarządzającym. System zarządzania bezpieczeństwem informacji w usługach cyfrowych to zbiór polityk, procedur i standardów, które już niedługo zaczną funkcjonować w całym sektorze finansowym. Niezależnie, czy mówimy o globalnej korporacji, czy lokalnym banku spółdzielczym.
Obecnie każda taka firma współpracuje z wieloma dostawcami – korzysta z ich oprogramowania lub polega na ich infrastrukturze. Opisana zmiana pozwala natomiast osobom odpowiedzialnym za bezpieczeństwo, odwrócić dotychczasową narrację i wpisać w DNA swoich organizacji ścisłe procedury bezpieczeństwa.
„Obecnie wyróżnić możemy cztery scenariusze postępowania z ryzykiem. Pierwszy i najważniejszy to stworzenie infrastruktury, procesów i procedur. Drugi to zakup – najczęściej hardware’u oraz licencji. Trzeci to transfer części ryzyka do polisy ubezpieczeniowej lub wynajem zewnętrznego zespołu do reagowania na incydenty. Czwarty natomiast jest związany z akceptacją ryzyka, jednak postępowanie w ten sposób bez podjęcia jakichkolwiek działań zaradczych objęte jest coraz większą presją regulacyjną. To dlatego wiele organizacji będzie musiało zrewidować swoje dotychczasowe podejście. Widzimy po realnych przykładach tysięcy ludzi okradanych w Internecie, że jako osoby projektujące i zarządzające musimy tworzyć bezpieczne środowisko ICT od podstaw, a nie je mozolnie zabezpieczać” – tłumaczy Mateusz Kopacz z Cyrimy.
Przygotowanie organizacji do spełnienia założeń DORA wymaga zrewidowania procesu zakupowego. To na tym etapie podmioty z sektora finansowego powinny weryfikować dostawców pod kątem cyberbezpieczeństwa. Na początku niezbędna będzie ekspercka wiedza prawnicza oraz technologiczna, ponieważ w umowach będą musiały znaleźć się nowe zapisy zawarte w sekcji SLA (Service Level Agreement). Zmiany dotkną również regulaminy zakupowe oraz sposób przyznawania dostępów do kluczowych lokalizacji, w których przetwarzane są dane.
DORA dyktuje – rynek odpowiada
Już teraz powstają narzędzia, które pomagają zaadaptować się do nowych wymogów – jednym z nich jest Cyrima. Można też zaobserwować wzmożoną aktywność w obszarze SSDLC (Secure Software Development Lifecycle). Nowe rozwiązania wpisujące bezpieczeństwo teleinformatyczne w cykl życia produktu lub jego aktualizacji cieszą się rosnącą popularnością, znacząco upraszczając drogę do osiągnięcia zgodności z wymogami prawnymi. Z uwagi na ograniczenia czasowe narzucone przez UE, jest to kwestia istotna dla wielu firm.
Istniejące dziś na rynku frameworki są w stanie adaptować się do specyfiki organizacji i tym samym adresować również specyficzne wymagania dedykowane dla wybranych sektorów – takie jak DORA. „Jestem przekonany, że skala wdrożenia takich technologii w ciągu najbliższych dwóch lat wzrośnie skokowo” – podsumowuje Mateusz Kopacz.
