Środowisko ICT w podmiotach finansowych przypomina stale oblegany zamek. Dzięki możliwościom Internetu przestępcy z całego świata testują różnorodne cyberzagrożenia w sektorze finansowym i szukają słabości, które mogą wykorzystać na swoją korzyść. Z tego powodu ważne jest posiadanie odpowiedniej jakości zabezpieczeń, które mogą odeprzeć nadchodzące ataki.
Na podstawie artykułu będzie Ci łatwiej wdrożyć ciągłe monitorowanie poziomu cyberodporności organizacji w celu szybkiego reagowania na potencjalne ryzyka.
Wymienione środki bezpieczeństwa pomogą organizacjom spełnić wymagania rozporządzenia DORA i zwiększyć odporność operacyjną na zagrożenia cybernetyczne w sektorze finansowym.
Wymagania DORA a kontekst cyberzagrożeń
Zarządzający podmiotami finansowymi w sposób nowoczesny zdają sobie sprawę z różnorodnych potrzeb w zakresie usług ICT. W celu dostarczania innowacyjnych usług finansowych trzeba spełniać rygorystyczne wymagania regulacyjne. W kontekście dynamicznego środowiska cyfrowego pojawiają się kluczowe obszary, którymi muszą się zająć, aby utrzymać operacyjną odporność cyfrową i zminimalizować zagrożenia wynikające ze współpracy z dostawcami usług ICT.
W obliczu wzrastającej liczby cyberataków, DORA pełni rolę przewodnika, dostarczając podmiotom finansowym frameworku, który umożliwia zapewnienie cyberbezpieczeństwa. Dzięki rozporządzeniu dzieje się to nie tylko poprzez implementację zaawansowanych rozwiązań w dziedzinie cyberbezpieczeństwa, ale także poprzez działania organizacyjne i prawne, które razem zapewniają operacyjną odporność cyfrową.
W celu ułatwienia Ci poruszania się po rozporządzeniu DORA w kwestii wyboru odpowiednich rodzajów cyberzabepieczeń, opracowaliśmy poradnik. Przeczytaj – Jakie rodzaje cyberzabezpieczeń wdrożyć zgodnie z DORA?
Dostawcy i kontrakty w świetle regulacji
W ramach Digital Operational Resilience Act umowy między instytucjami finansowymi a dostawcami usług ICT są poddane ścisłym wymogom. Są to między innymi elementy obejmujące precyzyjne zapisy dotyczące poziomów świadczonych usług, opisy funkcji i usług ICT, monitorowanie i powiadomienia, rozwiązanie umowy w przypadku naruszeń, podwykonawstwo, audyt, dostęp i informacje, lokalizacja, dane i bezpieczeństwo, ciągłość biznesowa oraz odpowiedzialność za przestrzeganie zobowiązań.
DORA wprowadza obligatoryjne postanowienia, zwłaszcza dla funkcji krytycznych, obejmujące umowy wewnętrzne w grupie. Wymaga także harmonizacji kluczowych postanowień umownych, co może znacząco wpłynąć działanie dostawców ICT. Podmioty finansowe muszą skoncentrować się na zarządzaniu ryzykiem związanym z usługami ICT świadczonymi przez strony trzecie, dostosować umowy do wymagań DORA oraz prowadzić strategiczną analizę przed umowną. Wprowadzenie standardowych klauzul umownych i proaktywne podejście do zgodności mogą ułatwić współpracę podmiotów finansowych i dostawców usług ICT.
Analiza ryzyka jako podstawowy instrument planowania
Nie jest możliwe wskazanie jednej, uniwersalnej listy zabezpieczeń dla każdej organizacji, które sprawią, że środowisko ICT będzie bezpieczne, a ich zastosowanie będzie ekonomicznie uzasadnione. Każdy system jest inny i każda organizacja jest inna. Z tego powodu wybór zabezpieczeń powinien być indywidualnie dobrany w każdym przypadku. Pierwszym krokiem do zabezpieczenia środowiska ICT jest zrozumienie ryzyka. Konieczne jest dokładne dostosowanie wyboru środków bezpieczeństwa do indywidualnych potrzeb. Decyzję tę kształtuje ocena dwóch kluczowych czynników.
Przypisanie danym wartości nominalnej
Pierwszym z nich jest wartość danych i środowiska fizycznego oraz ICT firmy podlegających ochronie, a także potencjalne straty związane z ich utratą. Drugim czynnikiem są koszty związane z implementacją środków bezpieczeństwa. Istnieje możliwość, że w małej organizacji dysponującej niewielką ilością krytycznych danych (wyłączając oczywiście instytucje finansowe) nie będzie uzasadnione inwestowanie w najbardziej kosztowne i skuteczne metody ochrony. Z drugiej strony, duża firma posiadająca wrażliwe dane (szczególnie w przypadku instytucji finansowych) może zdecydować się na zastosowanie skutecznych, choć kosztownych, środków ochrony zasobów.
Identyfikacja zasobów jako krok w zrozumieniu ryzyka
Dlatego też ważną rolę w procesie podejmowania decyzji o zabezpieczeniach odgrywa identyfikacja zasobów. Niemożliwe jest reagowanie na ryzyko, którego przyczyna nie została wcześniej zidentyfikowana. W przypadku instytucji finansowych istotne jest posiadanie pełnego zrozumienia środowiska ICT, obejmującego funkcje biznesowe, zadania, zasoby informacyjne, a także zasoby ICT wspierające te funkcje. Zdobycie wiedzy o środowisku ICT stanowi fundament dla kolejnego etapu, czyli identyfikacji i oceny ryzyka. Instytucja finansowa musi ocenić prawdopodobieństwo wystąpienia różnych rodzajów zagrożeń, nawet tych mało prawdopodobnych, w kontekście poszczególnych składników środowiska ICT. Ocenie podlegają potencjalne incydenty, cyberzagrożenia, błędy ludzkie, złe intencje, zagrożenia ze strony innych podmiotów finansowych, wpływ dostawców zewnętrznych ICT, czynniki natury i inne możliwe ryzyka.
Przykłady cyberzagrożeń sektorowych
Sektor finansowy będąc nieustannym polem bitwy między środowiskami ICT podmiotów finansowych a cyberprzestępcami, narażony jest na wiele zagrożeń. Analiza tych zagrożeń jest pracą tysięcy wysoko wykwalifikowanych specjalistów na całym świecie. Identyfikują oni wiele sposobów ataków, które są najczęściej problemem dla organizacji. Jednymi z nich są malware i ransomware. W tej części artykułu przedstawiamy wybrane przykłady słabych punktów w organizacji, które stanowią łatwy dostęp dla hackerów
Brak procedur dotyczących e-maili
Procedura działania polega na zainfekowaniu komputerów poprzez fałszywe e-maile, często wykorzystujące phishing, a następnie ograniczeniu dostępu do danych poprzez ich zaszyfrowanie. Cyberprzestępcy domagają się okupu, który instytucje bankowe muszą uiścić, aby odzyskać dostęp do tych danych. Skutki tego typu ataków obejmują zakłócenia w działalności, straty finansowe oraz szkody reputacyjne.
Brak szyfrowania danych
Ważnym zagrożeniem są niezaszyfrowane dane przechowywane w urządzeniach podmiotu finansowego. Brak szyfrowania ułatwia dostęp hakerom do wrażliwych informacji. Umożliwia wykorzystanie ich przeciwko bankowi i klientom. Częstym kierunkiem ataku na podmioty finansowe są środowiska ich dostawców ICT. Polega to na rozpowszechnianiu złośliwego oprogramowania poprzez kod zawarty w aktualizacjach systemów zewnętrznych. Podgrupą ataków w tym przykładzie jest kompromitacja zewnętrznego środowiska chmurowego. Ataki z wykorzystaniem chmury obliczeniowej stają się popularne, ponieważ wiele podmiotów finansowych przechowuje poufne informacje w chmurze.
Brak procedur dotyczących prywatnych urządzeń
Z drugiej strony, zawsze najsłabszym ogniwem każdego systemu jest człowiek. Popularność pracy zdalnej w ostatnich latach zwiększyło znaczenie tego zagrożenia. Gdy pracownik pracujący zdalnie ma dostęp do istotnych lub poufnych informacji, konieczne jest właściwe podejście do cyberbezpieczeństwa. Pracownicy zdalni często korzystają z prywatnych urządzeń w niekontrolowanych przez podmiot finansowy przestrzeniach, co niesie dodatkowe ryzyko naruszenia poufności danych poprzez np. podsłuchanie rozmowy telefonicznej, czy podejrzenie informacji na ekranie komputera pracownika. Niezależnie od miejsca pracy personel podmiotu finansowego narażony jest na ataki inżynierii społecznej. Jest to forma zagrożenia, która wykorzystuje taktykę behawioralną, aby zmusić ludzi do ujawniania poufnych informacji lub realizacji innych działań, jak zlecenie przelewu.
Tempo reakcji na nowe technologie
Dużym obszarem zagrożeń jest również rozwój nowych technologii. Przykładem tego jest rozwój sieci 5G. Jest to relatywnie nowa technologia, w której przestępcy mogą poszukiwać różnych luk bezpieczeństwa. Innym przykładem jest sztuczna inteligencja, która może m.in pomagać w kradzieżach tożsamości poprzez deepfake.
Jak rozporządzenie DORA wspiera zabezpieczenie środowiska ICT?
Podmioty finansowe w celu wzmocnienia bezpieczeństwa w swoim środowisku ICT mogą wdrożyć szereg środków zaradczych i prewencyjnych. Ta konkretna grupa powinna wynikać z analizy ryzyka i być związana z ramami zarządzania ryzykiem oraz całościowym wdrożeniem rozporządzenia DORA. Poniżej zostały opisane przykłady, które jako takie nie są skończoną grupą zabezpieczeń.
DORA stawia wymóg odpowiedniego udokumentowania cyber zabezpieczeń. Pobierz przygotowaną przez nas instrukcję i dowiedz się jak udokumentować cyber zabezpieczenia.
Projektowanie środowiska ICT
Po pierwsze, aplikacje stosowane w podmiotach finansowych powinny być projektowane nie tylko z myślą o ich funkcjonalnościach, ale również z myślą o ich bezpieczeństwie. Szyfrowanie stanowi podstawę nowoczesnego bezpieczeństwa oprogramowania. Istotne jest szyfrowanie TLS dla zabezpieczenia komunikacji między aplikacjami a serwerami. Stosowanie sieci VPN umożliwia tworzenie bezpiecznych tuneli umożliwiające łączenie się z siecią ICT podmiotu finansowego.
Testy bezpieczeństwa
Oprócz tego, zgodnie z DORA, podmioty finansowe są zobowiązane do ustanowienia kompleksowego programu testowania operacyjnej odporności cyfrowej. Program ten stanowi integralną część ogólnego zarządzania ryzykiem związanym z ICT. Testy powinny być przeprowadzane najmniej raz w roku i powinny odnosić się do wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje, aby monitorować i poprawiać ich operacyjną odporność cyfrową. Podmioty finansowe muszą również raz na trzy lata przeprowadzać zaawansowane testy z wykorzystaniem TLPT. Testy penetracyjne obejmują krytyczne lub istotne funkcje podmiotu finansowego, przeprowadzane na działających systemach produkcyjnych.
Prewencyjna analiza danych
Dodatkowo, działania prewencyjne mogą obejmować analizę Big Data ze względu na ilość danych gromadzonych przez banki. Różnego rodzaju narzędzia umożliwiają wykrywanie incydentów, generowanie alertów w czasie rzeczywistym oraz analizę danych historycznych. Coraz częściej instytucje finansowe sięgają po jednostki bezpieczeństwa operacyjnego (SOC), które obsługują incydenty zgodnie z zdefiniowanymi procedurami oraz przepływem informacji wewnątrz organizacji. SOC mogą również komunikować się z zewnętrznymi organizacjami, takimi jak policja, prokuratura, czy NASK/CERT.
Ponadto, istotnym środkiem zabezpieczającym są tzw. Audit Trials, czyli śledzenie historii transakcji bankowych. Systemy bankowe utrzymują ślad audytowy dla każdego zdarzenia podczas interakcji klienta z systemami. Jest to ważne dla szybkiego reagowania na incydenty, takie jak naruszenie bezpieczeństwa, czy ataki ransomware.
Ochrona substancji fizycznej
Nie można też zapomnieć o elemencie fizycznym. Budynki, w których podmioty finansowe działają, powinny być odpowiednio jakościowo zabezpieczone, a ich pracownicy kontrolowani na wejściu. Dodatkowo, sprzęt IT wykorzystywany do przetwarzania danych organizacji powinien być kontrolowany i właściwie serwisowany. Wartą przypomnienia sytuacją i dobrą przestrogą jest awaria serwerów Politechniki Wrocławskiej podczas ćwiczeń przeciwpożarowych w 2023 roku.
Bezpieczeństwo ICT jako proces ciągły
Niezależnie od tego, jak jakościowe zabezpieczenia zostaną wdrożone w podmiocie finansowym, nie jest to koniec prac. Walkę pomiędzy cyberprzestępcami a specjalistami ds. cyberbezpieczeństwa można porównać do wyścigu zbrojeń. Jeżeli organizacja zaprzestanie stałych prac nad rozwojem swoich możliwości w zakresie bezpieczeństwa własnego środowiska ICT, wystawia się na zagrożenie ze strony nowych rodzajów cyberataków.
