Podmioty z branży finansowej, a więc zajmujące się bankowością i ubezpieczeniami, są objęte wieloma regulacjami prawnymi dotyczącymi cyberbezpieczeństwa. Dlaczego konieczne jest wprowadzenie kolejnego aktu?

To unijne rozporządzenie przede wszystkim systematyzuje podejście do cyberbezpieczeństwa w branży finansowej. Banki są faktycznie w dużej mierze gotowe na jego wprowadzenie, gdyż już wcześniej musiały spełnić wiele wymogów regulacyjnych. Reszta rynku finansowego nie jest jednak tak dobrze przygotowana. A DORA obejmuje 24 kategorie podmiotów – zarówno tradycyjne instytucje finansowe, jak i fintechy, emitentów kryptowalut, czy dostawców usług pieniądza elektronicznego. Co ważne, obejmuje również zewnętrznych dostawców usług ICT dla branży finansowej.

Co nowego wnosi DORA?

DORA opiera zapewnienie cyfrowej odporności na szacowaniu ryzyka i na zasadzie „sprawdzam”. Już nie wystarczy, że dostawca ICT uzupełni ankietę zgodności na zielono, teraz w umowie muszą być wskazane zasady audytowania dostawców ICT. Dotychczas analiza ryzyka była oparta na modelu zero-jedynkowym – jeśli wdrożysz takie lub inne rozwiązania, to będziesz bezpieczny. Takie podejście wynikało między innymi z wymogów komunikatu chmurowego, wydanego w 2020 r. przez Komisję Nadzoru Finansowego. Miały one wówczas zapewnić jednolity poziom bezpieczeństwa całej branży finansowej w naszym kraju. I to się sprawdziło. Teraz DORA wymusza, aby środki bezpieczeństwa były dostosowane do zidentyfikowanych poziomów ryzyka. Ponadto instytucje finansowe muszą prowadzić rejestr informacji o umowach z dostawcami ICT. To skomplikowany dokument, który będą musiały przesłać do KNF w styczniu 2025.

Z jakimi wyzwaniami wiąże się zapewnienie zgodności z tym rozporządzeniem?

DORA wymaga wprowadzenia twardych, technicznych narzędzi cyfrowej ochrony, ale też rozwiązań miękkich. Wiąże się to z koniecznością mapowania procesów, produktów i usług, określania ich krytyczności, inwentaryzacji aktywów mających wpływ na realizację tych usług, ich zabezpieczeń, a także określania podatności i tworzenia planów zarządzania ryzykiem. Do szacowania ryzyka w zakresie cyberbezpieczeństwa można wykorzystać istniejące od lat normy ISO dotyczące ochrony informacji i ciągłości działania. Efektem tych analiz jest świadomość, w którym miejscu przyłożyć śrubokręt i dokręcić śrubki.

Jak to przeprowadzić?

Po analizie własnej firmy trzeba określić poziom krytyczności każdego dostawcy i sprawdzić jaki wpływ ma on na działalność instytucji. Każdy podmiot finansowy powinien przeprowadzić taką systemową analizę – na jej podstawie może oszacować swoje czynniki ryzyka. DORA wskazuje, że szacując ryzyko należy się skupić na aktywach wspierających, wykorzystywanych do realizacji procesów. I to słuszne podejście. My ciągle powtarzamy, że „procesu” nie można zhakować, można natomiast to zrobić z rozwiązaniami technicznymi, które służą do realizacji danego procesu.

DORA wpisuje się w szerszy trend europejskich regulacji bazujących na analizie ryzyka. Dlaczego jest to obecnie takie ważne?

Świat technik cyfrowych, a wraz z nim krajobraz cyberzagrożeń, zmienia się dzisiaj tak szybko, że nikt nie jest w stanie napisać regulacji, które wskazywałyby konkretne, obowiązkowe działania czy rozwiązania. To, co było rekomendowane kiedyś, np. częsta zmiana haseł, dzisiaj już nie jest zalecane. Dlatego trzeba cały czas dostosowywać środki ochronne do aktualnych wyzwań i warunków. A podejście oparte na ryzyku zmusza do obserwacji zagrożeń, ich analizy i przeciwdziałania potencjalnym skutkom.

Dlatego rozporządzenie mówi o zachowaniu cyfrowej odporności?

DORA wymaga od podmiotów finansowych, żeby stale i faktycznie testowały swoją odporność. Instytucje i ich dostawcy ICT muszą się skutecznie zabezpieczać, aby móc zachować ciągłość działania. Powinni wdrażać najnowsze rozwiązania techniczne pozwalające utrzymać tę odporność, ale też cały czas weryfikować swoje zdolności do utrzymania odpowiedniego poziomu bezpieczeństwa. Może się to odbywać na przykład poprzez skanowanie podatności lub pentesty. Konieczne jest podejście systemowe do zarządzania ryzykiem – od identyfikowania zagrożeń dla poszczególnych procesów po plany zarządzania incydentami, zaś informacje o incydentach należy uwzględniać w ponownym szacowaniu prawdopodobieństwa. W pierwszej kolejności trzeba działać tam, gdzie szacunki wskazują na najwyższe ryzyko dla funkcjonowania przedsiębiorstwa i jego interesariuszy.