W dzisiejszych czasach każda firma potrzebuje sprawnych systemów ICT do działania. Z drugiej strony wszelkie awarie czy ataki w tej przestrzeni mogą zagrażać pracy organizacji i w rezultacie jej przychodom. Podobnie jest w przypadku podmiotów finansowych. Z tego powodu duże znaczenie ma dział Cyber Security
Istotna rola działu Cyber Security
W DORA w motywie 3 zauważono, że w wyniku wysokiego poziomu zależności między systemami ICT, cyberzagrożenia, choć początkowo lokalne, mogą się rozprzestrzenić na cały europejski sektor finansowy, obejmujący ponad 22 tysiące podmiotów. Takie zagrożenie może naruszyć stabilność unijnego systemu finansowego, a skutki tego zdarzenia mogą być ogromne. Z tego powodu DORA przywiązuje dużą wagę do kompetencji reprezentowanych przez zespoły ds. bezpieczeństwa cyfrowego, w tym testy penetracyjne i wykrywanie incydentów.
Za co odpowiada dział Cyber Security?
Zespół Cyber Security nie jest odpowiedzialny za budowę środowiska ICT w przedsiębiorstwie, a odpowiada za ochronę systemów, sieci i danych przed cyber zagrożeniami. Ochrona, wykrywanie, procesy zarządzania incydentami są codziennością CIO. Bez tych tego obszaru środowisko IT nie mogłoby funkcjonować poprawnie. W poniższych punktach zostały omówione kompetencje w zakresie bezpieczeństwa cybernetycznego wynikające z DORA.
Strategia bezpieczeństwa ICT
Osoby odpowiedzialne za cyberbezpieczeństwo w organizacji są świadome obecnych na rynku zagrożeń. Ich praca obejmuje analizę komunikatów dotyczących różnych incydentów i ataków jak programy malware czy metody phishing. Posiadając wiedzę o zagrożeniach, ich rolą jest określenie strategii bezpieczeństwa ICT.
Ochrona przed incydentami
Zadaniem zespołu Cyber Security jest ciągłe monitorowanie i kontrolowanie bezpieczeństwa oraz funkcjonowania systemów i narzędzi ICT. W tym celu analizuje i minimalizuje wpływ ryzyka związanego z ICT na systemy przy wykorzystaniu odpowiedniego zestawu narzędzi, polityk i procedur bezpieczeństwa ICT.
Dodatkowo, zespół ten wspiera przedsiębiorstwo w opracowywaniu, pozyskiwaniu i wdrażaniu odpowiednich dokumentów i narzędzi z zakresu bezpieczeństwa ICT. Dzięki temu możliwy do osiągnięcia jest cel zapewnienia odporności, ciągłości działania i dostępności systemów ICT, zwłaszcza tych, które wspierają krytyczne lub istotne funkcje. W ten sposób zespół Cyber Security przyczynia się do zapewnienia operacyjnej odporności cyfrowej w podmiocie finansowym.
Wykrywanie incydentów
Kolejnym obszarem kompetencji jest wykrywanie incydentów. Każdy podmiot finansowy musi posiadać mechanizmy pozwalające na wykrywanie nietypowych działań, problemów związanych z wydajnością, incydentów oraz umożliwiające rozpoznanie punktowych awarii. Wdrożenie tych narzędzi musi pozwolić na szeroką kontrolę, musi mieć określone progi alarmowe oraz kryteria uruchamiania alarmu. Organizacja powinna posiadać automatyczne narzędzia ostrzegawcze, które powiadomią odpowiednich pracowników o incydentach ICT. Monitorowana powinna być również działalność użytkowników w systemach, a nieprawidłowości i incydenty powinny być wychwytywane. Wszystkie wspomniane mechanizmy powinny być regularnie testowane.
Proces zarządzania incydentami związanymi z ICT
Po zidentyfikowaniu incydentu, następnym krokiem jest szybka reakcja i zapobieganie kolejnym stratom. Z tego powodu każdy podmiot finansowy musi określić i wdrożyć proces zarządzania incydentami. Proces musi zawierać w sobie opis metod wykrywania incydentów oraz zarządzania nimi i zgłaszania właściwym organom. W dokumencie zawarte muszą być również informacje dotyczące metody rejestrowania incydentów ICT i cyberzagrożeń. Dzięki temu możliwe będzie zapobieganie stratom w przyszłości.
Przeglądy incydentów
Warto uczyć się na swoich błędach. Z tego powodu DORA nakłada obowiązek przeprowadzania przeglądów incydentów ICT w organizacji, zwłaszcza jeżeli taki incydent spowoduje zakłócenia w działalności firmy. Przegląd musi zawierać w sobie analizę przyczyny zakłócenia oraz identyfikację wymaganych do wdrożenia ulepszeń w zakresie ICT. Bazując na wnioskach z przeglądu, dany proces powinien być udoskonalony i odnotowany w rejestrze procesów. Poprawiona powinna również zostać strategia na rzecz ciągłości działania w zakresie ICT.
W ramach przeglądu należy zbadać, czy przestrzegano ustalonych procedur i czy działania cechowały się:
- szybkością reagowania i określenia skutków;
- jakością i szybkością w przeprowadzeniu analizy śledczej;
- skutecznością w ograniczeniu skutków;
- skutecznością w komunikacji wewnętrznej i zewnętrznej.
Klasyfikacja incydentów związanych z ICT i cyber zagrożeń
Kolejnym krokiem jest klasyfikacja incydentów. Podmiot finansowy kategoryzuje i określa wpływ na podstawie szeregu kryteriów:
- określenie zakresu wpływu na grupę klientów i partnerów oraz identyfikacja zakresu transakcji, na które miał wpływ incydent ICT. Dodatkowo, należy wziąć pod uwagę konsekwencje reputacyjne zdarzenia;
- czas trwania incydentu ICT w tym okres przerwy w świadczeniu usług;
- zakres geograficzny incydentu, zwłaszcza jeżeli objął więcej niż dwa państwa członkowskie;
- bezpowrotna utrata danych rozumiana jako brak dostępności, autentyczności, integralności lub poufności informacji;
- istotność usług dotkniętych incydentem ICT, w tym transakcji i operacji podmiotu finansowego;
- konsekwencje finansowe incydentu ICT.
Sprawdź w jakiej kolejności mogą być zrealizowane wymienione odpowiedzialności działu Cyber Security. Dowiedz się, na jakich etapach wdrożenie wymagań rozporządzenia DORA będzie wymagało ustaleń z innymi działami organizacji: Compliance i IT oraz z zarządem.
Testowanie środowiska ICT
Jednym z kluczowych zadań działu Cyber Security jest testowanie środowiska ICT. Bez tego procesu nie jest możliwe skuteczne przygotowanie się na potencjalne cyberzagrożenia. Proces określa słabości, niedoskonałości i luki w zakresie operacyjnej odporności cyfrowej. Dodatkowo wskazuje w jakich obszarach powinny zostać wdrożone środki zaradcze. Program testów powinien zawierać w sobie konkretny opis ocen, testów, metodyk praktyk i wykorzystywanych narzędzi. Testy mogą być przeprowadzane w formie:
- oceny podatności i skanów pod tym kątem;
- analizy otwartego oprogramowania;
- oceny bezpieczeństwa sieci;
- analizy braków;
- fizycznych kontroli bezpieczeństwa;
- kwestionariuszy i rozwiązań w zakresie oprogramowania skanującego;
- przeglądów kodu źródłowego, gdy jest to wykonalne;
- testów scenariuszowych;
- testów kompatybilności;
- testów wydajności;
- testów kompleksowych;
- testów penetracyjnych.
Zaawansowane testy z wykorzystaniem TLPT
Część podmiotów finansowych musi minimum raz na trzy lata przeprowadzać zaawansowane testowanie za pomocą TLPT (Threat-Led Penetration Testing). Każdy z testów penetracyjnych przeprowadza się w celu wyszukania zagrożeń w środowisku ICT i obejmuje co najmniej kilka krytycznych lub istotnych funkcji. Taki test może również obejmować wszystkie funkcje przedsiębiorstwa, ale zakres testów jest zatwierdzany przez właściwe organy.
Podmiot finansowy przed przeprowadzeniem testów musi określić zakres systemów, procesów i innych zasobów, które wspierają krytyczne lub istotne funkcje, w tym też zasoby dostarczane przez dostawców zewnętrznych. Organizacja musi w komunikacji z dostawcą przygotować środowisko do testów w zakresie zadań realizowanych na zasadach outsourcingu.
Za co odpowiadają poszczególne zespoły?
Jeżeli chciałbyś zaplanować działania przygotowawcze do wdrożenia DORA w synergii z innymi działami to zespoły takie jak Dział IT, czy Compliance, a także odpowiedzialności zarządu, opisaliśmy w artykułach a:
Pamiętaj, że jest to propozycja podziału zadań pomiędzy zespołami zważywszy na ich kompetencje, a wdrożenie DORA w Twojej firmie musi odpowiadać strukturze Twojej organizacji.
Odporność cyfrowa centralny obszar projektu wdrożenia DORA
Cyber security jest jednym z kluczowych obszarów kompetencyjnych umożliwiających zapewnienie odpowiedniego poziomu operacyjnej odporności cyfrowej w podmiocie finansowym. Od jego pracy zależy możliwość i jakość reakcji na incydenty oraz stopień ograniczenia strat w organizacji i poza nią. Dzięki temu zespołowi przetestowane środowisko jest bardziej odporne, a możliwe słabości zawczasu są wychwytywane.
Koordynacja zadań związanych z cyberbezpieczeństwem wynikających z DORA może być powierzona CISO (Chief Information Security Officer). Osoba ta jest odpowiedzialna w organizacji za aktywne kierowanie wszystkimi aspektami bezpieczeństwa informacji, obejmujących ochronę danych, identyfikację zagrożeń oraz reagowanie na incydenty. To dzięki m.in niemu, możliwe jest zachowanie poufności, integralności i dostępności danych w podmiocie finansowym.