To ostatni dzwonek na rozpoczęcie dostosowania do regulacji DORA i NIS2

Szefowie firm powinni odgórnie założyć, że ich organizacja będzie kiedyś celem skutecznego ataku. Taki scenariusz dopinguje do przygotowania się na najgorsze. Z Aleksandrą Bańkowską, partnerką w kancelarii PwC Legal Polska, specjalizującą się m.in. w sprawach regulacyjnych dotyczących działalności bankowej oraz z Karolem Okońskim, dyrektorem PwC Polska odpowiedzialnym za obszar cyberbezpieczeństwa dla sektora publicznego w Europie Środkowo-Wschodniej rozmawiamy o wyzwaniach związanych z rosnącą skalą cyberzagrożeń; istocie regulacji DORA i NIS2 dla poszczególnych sektorów i całej UE; dobrych praktykach w dostosowaniu procesów i technologii do nowych przepisów, czy też potrzebie zbudowania strategii uwzględniającej potencjalną potrzebę zmiany dostawców kluczowych technologii.

W jaki sposób na przestrzeni ostatnich lat zmienił się krajobraz cyberzagrożeń wymierzonych w polskie i europejskie organizacje?

Karol Okoński (K.O.): Obserwacje analityków, a także naszego zespołu Cyber Threat Intelligence pokazują, że na świecie zagrożeniem, które dominuje od kilku lat, jest ransomware. Ataki ukierunkowane na wyłudzenia okupów stanowią nawet 33% wszystkich zagrożeń w cyberprzestrzeni. Rosną również kwoty okupów, które zaatakowane firmy decydują się zapłacić przestępcom.

Kolejną pod względem skali grupę zagrożeń stanowią zmasowane i powtarzalne ataki DDoS. Zagrożenia tego typu są w Polsce codziennością. Ich skutki nie są być może drastyczne, ale mają uderzyć w biznes i dostępność usług. Na szczęście, nie każdy z ataków DDoS kończy się takimi problemami. Większość firm i instytucji, a nawet operatorów telekomunikacyjnych dobrze się na takie zagrożenia przygotowała. Z perspektywy klientów jest to często jedynie spowolnienie działania jakiejś strony internetowej.

Trzecim pod względem skali – choć nie tyle liczby ataków, ile skutków – są zagrożenia wymierzone w oprogramowanie, a konkretnie jego producentów i ich podwykonawców. Udane ataki na łańcuch dostaw aplikacji powodują kaskadowe rozprzestrzenianie się zagrożenia wśród użytkowników tego oprogramowania.

W ostatnich latach obserwowaliśmy wiele przykładów takich ataków. Jednym z nich jest – przeprowadzony w grudniu 2020 roku – atak wymierzony we wspierające zarządzanie sieciami rozwiązania SolarWinds. Cyberprzestępcom udało się zaszyć złośliwe oprogramowania w ramach pakietu aktualizacji oprogramowania. Atak dotknął wówczas niemal 20 tys. organizacji.

Innym przykładem jest wykorzystanie podatności w oprogramowaniu narzędziowym  Logk4j. W ciągu kilku dni od wykrycia posłużyła ona do przeprowadzenia kilkuset tysięcy ataków. Rozmiar tych zagrożeń pokazał niesamowitą szybkość i skalę działania przestępców.

Ostatnią kategorią zagrożeń, o których warto powiedzieć, są wycieki danych, często drastyczne w skutkach. Z ostatniego badania PwC Global Digital Trust Insights wynika, że incydenty tego rodzaju wiązały się z kosztami rzędu co najmniej 1 mln USD dla 33% zaatakowanych firm.

Jakie powinny być fundamenty rozwiązań bezpieczeństwa adekwatnych do takich realiów?

K.O.: Przede wszystkim należy odgórnie założyć, że nasza organizacja będzie kiedyś celem ataku i będzie on skuteczny. Takie założenie dopinguje do przygotowania się na najgorszy scenariusz. Powinny one obejmować m.in. odpowiednie izolowanie i separowanie aplikacji i sieci oraz właściwe zaprojektowanie i kontrola praw dostępu, wykorzystanie dodatkowych czynników autoryzacji, które spowodują, że sama znajomość loginu i hasła nie wystarczą do przełamania podstawowych zabezpieczeń. Istotna jest też odpowiednia architektura sieci, aplikacji i struktura zbiorów danych, które pozwolą ograniczyć ryzyko szybkiego rozpowszechnienia się zagrożenia w środowisku IT.

Warto również zadbać o aktualność wszystkich aplikacji i usług, a także skuteczność działania systemów backupu i możliwość sprawnego przywrócenia kopii zapasowych. W przypadku podmiotów, dla których krytyczna jest ciągłość działania, ważna staje się też kwestia posiadania zapasowego ośrodka danych i nadmiarowości infrastruktury IT oraz wszystko, co pozwoli maksymalnie skrócić czas usuwania skutków ewentualnego ataku.

Jak zmieniają się trendy dotyczące cyberzagrożeń?

K.O.: Tym, co zwraca dziś szczególną uwagę, jest wykorzystanie Generative AI jako narzędzia wspierającego m.in. socjotechniki mające na celu przekonanie użytkowników do działania, na którym zależy cyberprzestępcom. Już teraz GenAI znajduje coraz szersze zastosowanie w fazie rekonesansu i zbierania informacji o potencjalnych celach, a także w kontekście tworzenia treści stosowanych np. w phishingu.

Zagrożeń opartych na AI będzie przybywało. W podobnym tonie wypowiadają się uczestnicy badania PwC. Ponad 50% ankietowanych członków zarządów największych światowych firm uważa, że wykorzystanie AI może przyczynić się do powstania bardziej katastrofalnych w skutkach ataków, których stopień skuteczności będzie większy niż zagrożeń znanych dzisiaj.

Przeciwdziałanie takim atakom będzie wymagało przemyślenia i zmian niektórych procesów biznesowych czy sposobów interakcji w ramach organizacji i z klientami. To z kolei wygeneruje dodatkowe koszty ochrony. Może też spowodować pewnego rodzaju uwstecznienie cyfrowej transformacji.

W jaki sposób w taką rzeczywistość wpisują się nowe, unijne regulacje – NIS2 i DORA?

Aleksandra Bańkowska (A.B.): Istotne jest zrozumienie, co kieruje unijną legislacją i dlaczego tak wiele się zmienia w obszarze CyberSec. Kluczowe znaczenie ma tu fakt, że europejskie gospodarki stają się coraz bardziej zależne od usług cyfrowych, a to przekłada się na nowe ryzyka. Organy UE nie bez powodu zwracają coraz większą uwagę na wzajemne powiązania dostawców i ryzyko koncentracji najważniejszych funkcji biznesowych z obszaru ICT.

Całościowe zarządzanie relacjami z dostawcami technologii nabiera zatem znaczenia. Jest to dodatkowy, ale niezbędny koszt, który powinien być postrzegany w kategorii inwestycji w rozwój biznesu. Wyobraźmy sobie sytuację, w której coś niepokojącego dzieje się z dostawcą technologii wykorzystywanych do obsługi płatności w sektorze finansowym. Brak ciągłości działania w tym obszarze może mieć ogromne skutki nie tylko dla konkretnych instytucji, lecz także całych branż i gospodarek.

Odrębną sprawą stojącą za nowymi regulacjami UE jest chęć ujednolicenia rynku i wyrównania zasad gry dla wszystkich instytucji działających w danej branży, w szczególności na rynku usług finansowych.

K.O.: Systemy IT są tym elementem, który steruje dziś dostarczaniem większości usług. Zapewnienie ich ciągłości wymaga wprowadzenia określonych rozwiązań CyberSec. Regulacje, takie jak DORA czy NIS2, adresują ten problem w ramach grupy podmiotów, które świadczą usługi krytyczne dla ekonomiczno-społecznego funkcjonowania krajów.

Co różni nowe regulacje od obowiązujących dotychczas?

A.B.: Oba akty prawne są już znane. Rozporządzenie o Operacyjnej Odporności Cyfrowej, w skrócie DORA (Digital Operational Resilience Act – przyp. red.), które ma być stosowane we wszystkich krajach UE, wejdzie w życie 17 stycznia 2025 roku.

Instytucjom finansowym, FinTechom, ale też dostawcom technologii dla sektora finansowego, pozostało więc kilka miesięcy na dostosowanie się do regulacji, która mocno zmieni krajobraz prawny w tym sektorze. Zdecydowana większość instytucji finansowych podjęła już stosowne kroki m.in. w kontekście przeglądu umów z dostawcami, którzy dotąd nie podlegali tak znaczącym regulacjom.

Ze skierowaną do sektorów innych niż finansowych regulacją NIS2 (Network and Information Systems Directive 2 – przyp. red.) sytuacja jest nieco inna. Jest to bowiem dyrektywa, która nie jest bezpośrednio regulowana na poziomie całej UE. Musi dopiero zostać transponowana na lokalne akty prawne obowiązujące w poszczególnych krajach unijnych. Termin wdrożenia NIS2 do polskiego prawa mija 17 października 2024 roku.

W jaki sposób rozpocząć przygotowania do zapewnienia zgodności z NIS2, skoro nie istnieją lokalne regulacje?

A.B.: Jest wiele działań, które można zacząć z wyprzedzeniem. Każda organizacja działająca w jednym z 18 sektorów objętych NIS2 powinna np. zweryfikować, czy będzie podlegać nowym przepisom.

Z analiz PwC wynika, że w Polsce dyrektywą NIS2 objęte zostanie co najmniej 6 tys. podmiotów, a polski projekt ustawy implementującej NIS2, który rozszerza ich katalog, wspomina w ocenie skutków regulacji o ponad 30 tys. podmiotów. Wiele z nich to organizacje, które nie podlegały pod wcześniejsze przepisy. Takie przedsiębiorstwa mają przed sobą znaczącą zmianę. Na początek powinny rozpocząć prace przygotowawcze na tym poziomie, który da się wywnioskować bezpośrednio z przepisów unijnych.

K.O.: O ile obowiązujące instytucje finansowe DORA wprost wskazuje pewne działania, które należy podjąć, o tyle NIS2 wskazuje raczej obszary wymagające zaopiekowania. Jednocześnie, regulacje te bazują na ocenie ryzyka, a więc konieczności zbadania zagrożeń, oceny wrażliwości posiadanych zasobów i ewentualnych konsekwencji naruszeń. Następnie zaś wymaga to dostosowania środków tak, aby te ryzyka zminimalizować. Taką ocenę można rozpocząć niezależnie od postępów we wdrażaniu tych przepisów do polskiego systemu prawnego.

Czy na tym tle można powiedzieć, że procesy mające na celu dostosowanie do rozporządzenia DORA, np. w instytucjach finansowych, są na ukończeniu?

A.B.: Paradoksalnie, chociaż w przypadku rozporządzenia DORA wszystkie obowiązki są znane, to wiele organizacji przedkłada bieżące tematy biznesowe nad obowiązki prawne. Tymczasem analiza poszczególnych dostawców, ich ocena w kontekście DORA, a następnie weryfikacja zgodności z wymaganiami DORA mogą okazać się czasochłonne.

Co ważne, na tle wielu krajów, w Polsce jesteśmy naprawdę do przodu z tematyką zarządzania incydentami z obszaru cyberbezpieczeństwa i porządkowania relacji z dostawcami. Jest to m.in. efekt rekomendacji D i tzw. komunikatu chmurowego KNF. Nasze lokalne praktyki często nie pokrywają się z wymaganiami DORA. Diabeł tkwi w szczegółach.

Gdzie zatem szukać rozbieżności?

A.B.: Wynikające z rozporządzenia DORA obowiązki można podzielić na 5 filarów. Są to, kolejno: zarządzanie ryzykiem ICT, zarządzanie incydentami, testowanie systemów, zarządzanie ryzykiem ze strony dostawców usług, a także wymiana informacji o incydentach z innymi instytucjami, w tym zgłaszanie poważnych incydentów do odpowiednich organów.

Wszystkie te obszary są spójne i wymagają ustanowienia kompleksowych, dobrze udokumentowanych ram zarządzania ryzykiem związanym z wykorzystaniem technologii teleinformatycznych. Każdy z tych obszarów przekłada się też na konkretne wymagania względem instytucji finansowych. Niektóre z nich, jak obowiązek testowania odporności kluczowych systemów co najmniej raz w roku, wydają się sporym obciążeniem dla takich organizacji. Są jednak obligatoryjne. Dużo zależy od właściwego wytypowania systemów o znaczeniu kluczowym i sprecyzowania odpowiedzialności za prowadzenie testów.

Dla wielu firm dużą zmianą może okazać się konieczność precyzyjnej oceny każdego z dostawców istotnych rozwiązań, w tym opracowanie i wdrożenie strategii przejścia na inne rozwiązania w razie potrzeby. W tym obszarze istotne są również wymagania dotyczące wprowadzenia stosownych zmian umownych, ale także prowadzenie rejestru takich umów i głównych dostawców. Pracy w tym obszarze jest sporo.

Klienci, których wspieramy na etapie analizy luki wdrożenia DORA, zwracają uwagę, że tak szerokiej analizy dostawców, jak ta, wymagana nowym rozporządzeniem, nie musieli przeprowadzić pod kątem jakichkolwiek wcześniejszych regulacji. Na pewno mamy więc do czynienia z rozszerzeniem zakresu niezbędnych działań.

Widzę tu pewne analogie względem tzw. przepisów AML. Wraz z ich wprowadzeniem cała branża włożyła mnóstwo pracy w to, aby zapewnić odporność sektora finansowego przed praniem brudnych pieniędzy. Dziś mówimy o budowaniu podobnej odporności w kontekście cyberbezpieczeństwa.

Pomówmy zatem o procesowych i technologicznych zmianach związanych z dostosowaniem do nowych regulacji. Od czego zacząć?

K.O.: Pierwszym obszarem, który zwykle wymaga usprawnienia, jest usystematyzowanie procesu zarządzania ryzykiem ICT, czyli analizy stanu zabezpieczeń organizacji w kontekście zmian zagrożeń i otoczenia. Potrzebne jest też wkomponowanie tego procesu w specyfikę firmy. Efektem ma być pokazanie procesu myślowego, który stał za podjętymi decyzjami.

Kolejnym obszarem jest zarządzanie incydentami. Jest to ważne, ponieważ obie regulacje – DORA i NIS2 – mają na celu zwiększenie wiedzy o zagrożeniach na poziomie instytucji krajowych. Chodzi o to, aby mogły one zareagować, poinformować inne podmioty, a także przeprowadzić działania wyprzedzające względem cyberataków. Stąd też wynikają konkretne obowiązki i terminy informowania o incydentach, wnioskach i podjętych działaniach.

A.B.: Na nowe wymagania warto spojrzeć w szerszym kontekście. Celem dyrektywy NIS2 jest zapewnienie, że podmioty działające w sektorach o kluczowym znaczeniu dla gospodarek krajów dysponowały przemyślanymi procesami i narzędziami reagowania na ewentualne incydenty z obszaru cyberbezpieczeństwa. NIS2 zapewnia także ramy prawne do tego, aby osoby zarządzające obszarem CyberSec na poziomie kraju miały wiedzę o bieżącej sytuacji.

K.O.: Ważne jest też odpowiednie zarządzanie szeroko rozumianą ciągłością działania, w tym zabezpieczeniami, planami reagowania, czy organizacją testów bezpieczeństwa. Warto pamiętać, że nowe przepisy wymagają prowadzenia cyklicznych audytów bezpieczeństwa, potencjalnie uwzględniających zaangażowanie dostawców. Chodzi o to, aby ocenić, jak zachowa się organizacja w obliczu ataku z perspektywy technicznej i procesowej. To nic innego jak działania, które mają przeciwdziałać zagrożeniom i umożliwiać zachowanie oczekiwanego przez konsumentów poziomu usług nawet w obliczu ataku.

A.B.: W kontekście NIS2 warto również zbudować proces związany z zarządzaniem incydentami w kontekście ciągłości działania konkretnych organizacji. Dyrektywa NIS2, podobnie jak DORA, tworzy ramy działania w przypadku cyberataku. DORA jest w tym kontekście specyficzną regulacją dla sektora finansowego, NIS2 dotyka innych, specyficznych branż, np. sektora spożywczego, którego znaczenie dla gospodarki trudno przecenić.

W jaki sposób regulacje, takie jak NIS2 czy DORA, zmienią zasady współpracy klientów z dostawcami usług, rozwiązań lub technologii ICT?

A.B.: Nowe regulacje nakładają pewne obligatoryjne, a więc powszechnie obowiązujące i nieznoszące sprzeciwu wymagania na dostawców rozwiązań i usług ICT. Przykładowo, DORA nakłada na dostawców obowiązek zapewnienia nieograniczonego prawa dostępu do informacji, a także kontroli i audytu przez podmiot finansowy lub właściwy organ. Wybrani dostawcy, czyli podmioty uznane za kluczowe z perspektywy funkcjonowania gospodarki, zostaną objęci nadzorem regulatora również na podstawie rozporządzenia DORA.

Istotne są tu też procesy zmiany dostawcy przez klientów. Wypracowana przez nich strategia wyjścia z danego rozwiązania może oznaczać migrację na technologię innego dostawcy albo wykorzystanie własnych rozwiązań. Jest to o tyle istotne, że w okresie takiej migracji dotychczasowy dostawca ma zapewnić funkcjonowanie swoich rozwiązań, tak aby zagwarantować ciągłość działania biznesu klienta. Kolejną kwestią jest obowiązek udziału dostawców w testach penetracyjnych infrastruktury informatycznej klientów.

K.O.: Na to nakłada się też konieczność analizy procesów, w których uczestniczą zewnętrzni dostawcy, oraz śledzenia całego łańcucha dostaw w obszarze ICT. Wszystko to wymaga wprowadzenia procesów i narzędzi, które pozwolą nam efektywnie poruszać się po tym dość złożonym świecie.

Czy dostosowanie do nowych regulacji oznacza rewolucję w podejściu do CyberSec?

K.O.: W przypadku podmiotów z branż, które podlegały pod zapisy NIS – o ile te podmioty sumiennie podchodziły do swoich obowiązków – nie mówimy o rewolucji, ale o ewolucji. Z drugiej strony, zapewnienie zgodności z DORA lub NIS2 w organizacjach, które takimi wymaganiami zostaną objęte po raz pierwszy lub nie przykładały wystarczającej wagi do zapewnienia zgodności, może okazać się sporym wyzwaniem. Wprowadzenie wspomnianego procesu zarządzania ryzykiem w kontekście wytwarzania i eksploatacji systemów wymaga co najmniej przejrzenia wszystkich umów z dostawcami. Może wówczas okazać się, że potrzebne będą zmiany zapisów umownych lub nawet dostawców. To z kolei oznacza dodatkową pracę.

A.B.: Rozporządzenie DORA wprowadza szczegółowe wytyczne w zakresie zapisów umownych, pewne standardowe klauzule dla usług krytycznych, które powinny znaleźć się w każdej umowie z dostawcami rozwiązań i usług ICT dla sektora finansowego. To z kolei oznacza, że instytucje finansowe powinny na bieżąco monitorować, które funkcje ICT mają krytyczne znaczenie dla ich działalności, także w trakcie trwania poszczególnych umów.

K.O.: W dużych organizacjach same zmiany umów i dostawców mogą potrwać nawet  kilka miesięcy i wymagać przeprowadzenia całych programów transformacyjnych. Dla większości organizacji nie powinno być to jednak zaskoczeniem, choć istnieją firmy, dla których nowe wymagania mogą okazać się pewną niespodzianką. Mam tu na myśli np. instytucje, które osiągnęły pewien próg działalności i znalazły się w obszarze obowiązywania NIS2.

Warto też pamiętać, że nawet tak prozaiczne kwestie jak zaplanowanie dodatkowych środków na rozwiązania CyberSec stają się czasami skomplikowanymi przedsięwzięciami. Wszystko to oznacza, że to już naprawdę ostatni dzwonek na rozpoczęcie dostosowania do nowych regulacji. Sugerujemy, aby takie inicjatywy potraktować jako szansę na wyeliminowanie zaszłości. Może okazać się, że dzięki zmianom wymaganym przez nowe regulacje organizacja zyska nowe możliwości działania lub przyspieszy niektóre procesy.

A.B.: W praktyce, konieczne może okazać się wielokrotne dostosowywanie umów z dostawcami nawet w trakcie ich obowiązywania. Biorąc pod uwagę potencjalną złożoność takich procesów, warto zawczasu wyposażyć się w rozwiązanie klasy Contract Lifecycle Management, które – wspierając zarządzanie cyklem życia umów – upraszcza takie przeglądy czy zmiany zapisów umownych. Co innego, jeśli proces obsługi umów nie jest zdigitalizowany, wówczas nowe obowiązki spowodują mnóstwo problemów – od odszukania właściwych dokumentów, przez ich przegląd i weryfikację, po wprowadzenie niezbędnych zmian.

Z perspektywy zarządzania relacjami z dostawcami, kluczowe jest zaś monitorowanie realizacji umów i wskazanych tam parametrów SLA. W ocenie rzetelności dostawców pomocne będzie z pewnością zagwarantowane na poziomie regulacji prawo do audytów. Organizacja powinna jednak mieć kompetencje i zasoby do tego, aby takie audyty faktycznie prowadzić.

Oczywiście jako PwC wspieramy klientów w tego typu działaniach, pomagamy w wyborze i implementacji właściwych rozwiązań z pogranicza prawa i nowych technologii. Zapewniamy także m.in. wsparcie transformacji funkcji prawnych lub ich outsourcing na dużą skalę w modelu usług zarządzalnych.