Współczesny krajobraz cyberbezpieczeństwa corocznie opisywany przez firmę Verizon w raporcie „Data Breach Investigation Report” pokazuje wzrost zagrożeń przy jednoczesnej profesjonalizacji cyberprzestępczości. Nie dziwią więc próby zwiększenia odporności na cyberzagrożenia podejmowane przez firmy i inne instytucje. Jedną z nich jest Rozporządzenie Parlamentu Europejskiego i Rady w sprawie odporności cyfrowej sektora finansowego (Digital Operational Resilience Act – DORA). Czym jest ten dokument i jakie wskazówki ma dla firm z tego sektora?
Rozporządzenie DORA wprowadza jednolite wymagania w zakresie bezpieczeństwa sieci i systemów wspierających procesy biznesowe instytucji finansowych, niezbędne do osiągnięcia wysokiego poziomu operacyjnej odporności cyfrowej w obszarach:
- zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnej (ICT),
- zgłaszania incydentów,
- testowania operacyjnej odporności cyfrowej,
- udostępniania informacji dotyczących cyberzagrożeń,
- zarządzania ryzykiem związanym z wykorzystaniem dostawców usług ICT.
Głównym założeniem DORA jest zgodnie z art. 4 ust. 2, pełna odpowiedzialność zarządu za określenie, zatwierdzenie i nadzór nad wdrożeniem ram zarządzania ryzykiem związanym z ICT.
– Instytucje finansowe powinny na bieżąco dbać o wykorzystywane systemy ICT, aby zapewnić ich niezawodność i wystarczającą zdolność do zagwarantowania przetwarzania danych niezbędnych do świadczenia oferowanych przez nie usług zarówno w stanie normalnym, jak i podczas występowania zakłóceń (np. trudnych warunków rynkowych). Rozporządzenie nie wprowadza obowiązku wprowadzenia określonych zmian w systemach. Opiera się na uznanych standardach w zakresie bezpieczeństwa informacji, jak normy z rodziny ISO – komentuje Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA.
Obowiązki instytucji finansowych w tym zakresie określa ISO/IEC 27001. Warto skorzystać z podręcznika ułatwiającego wdrożenie Systemu Bezpieczeństwa Informacji zgodnego z wymaganiami ISO/IEC 27001: ISO/IEC 27002:2022-02 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – zabezpieczenia bezpieczeństwa informacji. Wykorzystanie tego standardu umożliwia nie tylko wdrożenie wymogów DORA, ale również ich monitorowanie zarówno we własnej organizacji, jak i u dostawców usług ICT. W szczególności poprzez utrzymanie weryfikowanego przez niezależną jednostkę certyfikacyjną systemu zarządzania bezpieczeństwem informacji.
Zarządzanie ryzykiem związanym z ICT
Podmioty finansowe zobowiązane są do zachowania pełnej kontroli nad wszelkimi wydarzeniami mogącymi mieć negatywny wpływ na ich bezpieczeństwo. W ISO/IEC 27002 w punkcie 5.7 Analiza zagrożeń organizacja powinna gromadzić i analizować informacje dotyczące zagrożeń. Celem tych działań jest budowa świadomości zagrożeń występujących w środowisku działania organizacji, celem podjęcia działań łagodzących. Wymaganie, to może być realizowana poprzez wymianę informacji dotyczących krajobrazu zagrożeń z innymi organizacjami, a w szczególności w ramach łańcucha dostawców (typów lub rodzajów ataków), zbieranie informacji na temat metodologii, narzędzi i technologii stosowanych przez atakujących. Istotnym elementem tych działań jest wykorzystanie zebranych informacji do zapobiegania, wykrywania lub reagowania na zagrożenia.
Reagowanie i przywracanie gotowości do pracy
Podmioty finansowe zobowiązane są wprowadzić kompleksową politykę ciągłości działania w zakresie ICT. Polityka ma realizować między innymi cele:
- szybkiego, właściwego i skutecznego reagowania na incydenty związane z ICT,
- bezzwłocznego uruchamiania planów umożliwiających zastosowanie środków, procesów i technologii ograniczających rozprzestrzenianie się, dostosowanych do każdego rodzaju incydentu związanego z ICT i zapobiegających dalszym szkodom, jak również umożliwiających reagowanie i przywracanie gotowości do pracy.
Plany te powinny być okresowo testowane, w szczególności ważne funkcje zlecane zewnętrznym dostawcom usług ICT.
– Technologia informacyjna i komunikacyjna powinna być odporna na potencjalne zakłócenia, tak aby niezbędne informacje i zasoby były dostępne w razie potrzeby. Gotowość Technologii Informacyjnych i Komunikacyjnych powinna być planowana, wdrażana, utrzymywana i testowana w oparciu o cele ciągłości działania i wymagań dotyczących ciągłości działania ICT wynikające z BIA (z ang. Business Impact Analysis). Oprócz procesu planowania, który musi uwzględniać ryzyko i potrzeby biznesowe związane z odzyskiwaniem danych, należy również ustalić proces utrzymania technologii oraz proces testowania planów odzyskiwania danych po awarii i/lub ciągłości działania. Należy uświadomić pracownikom potencjalne zakłócenia, które mogą wystąpić, i przeszkolić ich w zakresie utrzymania technologii informatycznych i komunikacyjnych, aby były gotowe na wypadek zakłóceń – mówi Tomasz Szczygieł.
Zasady tworzenia kopii zapasowych
Podmioty finansowe, by sprawnie przywracać systemy ICT, powinny opracować zasady tworzenia kopii zapasowych i metody odzyskiwania danych. Przyjęta strategia tworzenia kopii zapasowych musi wynikać z ram zarządzania ryzykiem, a tym samym minimalizować czas przestoju.
– ISO/IEC 27002 w punkcie 8.13 Kopie zapasowe wskazuje, w jaki sposób organizacja powinna zaprojektować plan tworzenia kopii zapasowych. Podczas tworzenia planu należy wziąć pod uwagę zakres danych, jakie organizacja musi objąć systemem kopii zapasowych celem zminimalizowania czasu przywracania systemów oraz częstotliwości jej wykonywania, a także bezpieczne przechowywanie tej kopii zapasowej w lokalizacji zapewniającej odzyskanie danych w przypadku katastrofy lokalizacji, z której dane pochodzą – dodaje ekspert DEKRA.
Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
Instytucja finansowa zobowiązana jest w zakresie zarządzania dostawcami określić zasady raportowania w sytuacji wystąpienia zdarzeń mogących mieć wpływ na między innymi bezpieczeństwo realizowanych przez tego dostawcę zadań. Ponadto instytucja finansowa zobowiązana jest do zapewnienia prawa do audytu przez nią samą lub wyznaczoną osobę trzecią.
– Odpowiedź dotyczącą realizacji tych obowiązków znajdziemy w punkcie 5.19 ISO/IEC 27002, który proponuje rozwiązanie składające się z polityki dotyczącej zarządzania relacjami z dostawcami. Celem wdrożenia tych polityk jest wyeliminowanie ryzyk związanych z korzystaniem z produktów i usług dostarczanych przez dostawców. W tym aspekcie należy zwrócić również uwagę na zabezpieczenie 5.23 Bezpieczeństwo informacji przy korzystaniu z usług w chmurze, które opisuje sposób nabywania, korzystania, zarządzania i wychodzenia z usług w chmurze – komentuje Tomasz Szczygieł.
Podmioty finansowe, poprzez realizację obowiązków wynikających z rozporządzenia DORA, mają wzmocnić odporność użytkowanych systemów ICT, a tym samym doprowadzić do zwiększenia odporności unijnego systemu finansowego. Rozporządzenie stawia wymogi związane z zarządzaniem ryzykiem dla bezpieczeństwa informacji. Ponadto ustala ramy związane z zarządzaniem relacjami z dostawcami usług ICT, a także zasady współpracy pomiędzy organami nadzoru i egzekwowania obowiązków z niego wynikających.
Narzędziem ułatwiającym podmiotom finansowym realizację zadań wynikających z tego rozporządzenia, w szczególności w stosunku do podmiotów świadczących usługi ICT, jest system zarządzania bezpieczeństwem informacji zbudowany według kryteriów ISO/IEC 27001. System wdrożony i doskonalony w ramach podmiotu finansowego, jak i certyfikowany system bezpieczeństwa informacji utrzymywany w całym łańcuchu dostaw usług ICT.
