Powyższe pytanie mogą sobie w tym roku zadawać dyrektorzy działów odpowiedzialnych za bezpieczeństwo aktywów IT firmy. Czy DORA, poza ujęciem cyberzabezpieczeń w ramy nowego reżimu zgodności i jego specyficznej nomenklatury, wnosi w tym obszarze coś nowego?
Nasz poradnik przeprowadzi Cię przez nazewnictwo stosowane w rozporządzeniu DORA w zakresie cyberzaberzpieczeń, a także wyjaśni jakie środki, mechanizmy i nakłady są konsekwencją wdrożenia wymagań.
Najistotniejsze środki zarządzania ryzykiem ICT
Na poziomie samego rozporządzenia wymagania odnośnie zabezpieczeń zostały sformułowane dosyć ogólnie. Pojawiają się one przede wszystkim w art. 9, który dotyczy ochrony i zapobiegania. Ten artykuł rozporządzenia jest kluczem do wyboru odpowiednich zabezpieczeń. Obok zobowiązania podmiotów finansowych do stosowania rozwiązań zapewniających zachowanie klasycznych, czterech atrybutów bezpieczeństwa informacji (poufność, integralność, dostępność, autentyczność) w ust. 2, kolejny ustęp wymienia jeszcze takie aspekty jak ochrona przed ryzykiem związanym z niewłaściwym administrowaniem, przetwarzaniem i błędem ludzkim, przed ryzykiem wystąpienia usterek oraz bezpieczeństwo środków przekazywania danych. W ust. 4 wyróżniono natomiast najistotniejsze środki zarządzania ryzykiem ICT, które służyć mają osiąganiu odpowiedniego poziomu bezpieczeństwa. Można je ująć w cztery grupy:
- zarządzanie siecią i infrastrukturą, w tym mechanizmy izolowania zasobów;
- zarządzanie dostępem, ograniczające fizyczny lub logiczny dostęp do zasobów ICT do tego co jest wymagane do zatwierdzonych funkcji i działań
- silne mechanizmy uwierzytelniania i środki ochrony kluczy kryptograficznych
- zarządzanie zmianą, poprawkami i aktualizacjami
Izolowanie zasobów zgodnie z DORA – co to oznacza?
Każdy z powyższych obszarów powinien zostać ujęty w odpowiednich politykach i procedurach, o tym w jakich konkretnie – omawiamy w naszej instrukcji poświęconej wytycznym RTS JC 2023 83.
Należy zwrócić w tym miejscu uwagę, że DORA kładzie istotny nacisk na mechanizmy izolowania zasobów w przypadku cyberataków, które pojawiają się w kilku miejscach rozporządzenia i wydanych na jego podstawie wytycznych. Podkreślono to w odrębnym akapicie, na końcu art. 9 ust. 4. Ewidentnie jednym z priorytetów twórców DORA jest ograniczenie możliwości rozprzestrzeniania się zagrożeń pomiędzy poszczególnymi uczestnikami rynku finansowego, co ma zapewnić jego transgraniczną odporność.
Audyty, szkolenia i ewidencjonowanie zasobów
Poza art. 9 wymagania w zakresie zabezpieczeń znajdziemy również w innych fragmentach rozporządzenia, choć do poziomu uporządkowania tych zagadnień można mieć wiele zastrzeżeń. Już w art. 5 ust. 2 znajdziemy organizacyjne środki kontroli i zapobiegania, takie jak wewnętrzne i zewnętrzne audyty ICT oraz szkolenia w zakresie bezpieczeństwa ICT i operacyjnej odporności cyfrowej. Następnie istotny dla weryfikacji zabezpieczeń może być art. 6 ust. 2, w którym wskazany został zakres aktywów, jaki powinien zostać nimi objęty – zasoby informacyjne i zasoby ICT, w tym oprogramowanie i sprzęt komputerowy, serwery, a także wszystkie odpowiednie elementy fizyczne i infrastruktury, takie jak obiekty, ośrodki przetwarzania danych, wyznaczone obszary wrażliwe. Z kolei to w jaki sposób chronimy zasoby ewidencjonowane może być w wykazach omawianych przez art. 8 ust. 4. Artykuł ten nie wymienia co prawda wprost zabezpieczeń, nakazuje jedynie ewidencjonowanie konfiguracji zasobów informacyjnych i zasobów ICT oraz współzależności między nimi w rejestrze procesów. Natomiast w praktyce trudno będzie nie uwzględniać tutaj również zabezpieczeń, ponieważ wykazy te będą zawsze stanowić aktualny punkt odniesienia i wydaje się to naturalne miejsce również dla takiej ewidencji, zwłaszcza jeśli na jej podstawie będziemy przeprowadzać ocenę ryzyka.
Monitorowanie zagrożeń
Odrębną grupę zabezpieczeń związaną z monitorowaniem zagrożeń omawia art. 10. Zobowiązuje on podmioty finansowe do dysponowania mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań. Powinny one umożliwiać wielopoziomową kontrolę, obejmować progi alarmowe i kryteria uruchamiania procesów reagowania na incydenty, łącznie z automatycznym powiadamianiem odpowiednich pracowników. Mechanizmy te powinny obejmować swoim zasięgiem monitorowanie działalności użytkowników, identyfikowanie incydentów związanych z ICT, w szczególności cyberataków, a także problemów związanych z wydajnością sieci oraz potencjalnych, istotnych, pojedynczych punktów awarii.
Ciągłość działania
W kolejnych dwóch artykułach szeroko omówione zostały zabezpieczenia w zakresie ciągłości działania. W wymiarze organizacyjnym obejmują one plany ciągłości działania oraz plany reagowania i przywracania sprawności, a także plany działań informacyjnych w przypadku sytuacji kryzysowych, wymienione w art. 11. Art. 12 wymienia natomiast polityki i procedury tworzenia kopii zapasowych oraz procedury i metody przywracania danych. W wymiarze technicznym, art. 11 ust. 6 wymienia kopie zapasowe i urządzenia redundantne, a art. 12 ust. 2 i 3 systemy przywracania danych z kopii zapasowych, oddzielone fizycznie i logicznie od głównego systemu ICT.
W przypadku centralnych depozytów papierów wartościowych art. 12 ust. 5 wymaga posiadania ponadto przynajmniej jednej, w pełni wyposażonej lokalizacji zapasowej, odpowiednio odległej geograficznie. Odrębny wymiar w ramach DORA stanowią tzw. plany wyjścia z usługi, które podłączone zostały pod sekcję dotyczącą zewnętrznych dostawców usług ICT, w art. 28 ust. 8. DORA wskazuje również, że należy chronić wysoką wydajność – w art. 7 zamieszczono wymaganie stosowania odpowiednich systemów, protokołów i narzędzi w celu zapewnienia zdolności i odporności do świadczenia usług w okresach szczytowego obciążenia, w skrajnych warunkach rynkowych lub w innych niekorzystnych sytuacjach.
Doprecyzowanie zabezpieczeń w wytycznych
Zakres zabezpieczeń opisany w art. 9 de facto powtarza się, chociaż z wykorzystaniem nieco innych zwrotów, w art. 15, który wskazuje obszary podlegające dalszemu doprecyzowaniu w ramach wytycznych. Wymienione zostały w tym miejscu zapewnienie bezpieczeństwa sieci, zabezpieczenia przed włamaniami i wykorzystaniem danych niezgodnie z przeznaczeniem, zachowanie atrybutów bezpieczeństwa informacji, techniki kryptograficzne, dokładne i szybkie przesyłanie danych bez zakłóceń i opóźnień, kontrola praw zarządzania dostępem oraz monitorowanie nietypowych zachowań za pomocą odpowiednich wskaźników, m.in. wzorców wykorzystania sieci i nieznanych urządzeń. Pierwszy raz w tym miejscu wspomniana została natomiast polityka zasobów ludzkich.
Uproszczone ramy zarządzania ryzykiem
Teoretycznie zdecydowanie skromniejsze wymogi w zakresie zabezpieczeń przewidują uproszczone ramy zarządzania ryzykiem opisane w art. 16. Obejmują one środki mające na celu ochronę dostępności, autentyczności, integralności i poufności danych oraz identyfikację i wykrywanie źródeł ryzyka w sieci i systemach informatycznych, stałe monitorowanie bezpieczeństwa i funkcjonowania wszystkich systemów ICT, szybkie reagowanie na incydenty, plany ciągłości działania oraz środki reagowania i przywracania sprawności, w tym środki tworzenia kopii zapasowych i przywracania danych. Wymogi te w praktyce nie będą jednak tak odległe od standardowych ram, o czym przekonamy się jednak dopiero na poziomie wytycznych. W zrozumieniu ich może pomóc przygotowana instrukcja.
Testowanie operacyjnej odporności cyfrowej
Do tego momentu DORA raczej nie wnosi istotnych nowości, a w/w środki bezpieczeństwa prawdopodobnie i tak są stosowane w każdej, większej instytucji finansowej. Tym jednak, co może w największym stopniu zmienić dotychczasowe praktyki podmiotów obowiązanych są wymogi w zakresie testowania operacyjnej odporności cyfrowej, którym DORA poświęca osobny rozdział. Rozpoczynają się one od konieczności ustanowienia kompleksowego programu testowania operacyjnej odporności cyfrowej, w art. 24. Podmioty finansowe inne niż mikroprzedsiębiorstwa zostały w nim zobowiązane do przeprowadzenia co najmniej raz w roku odpowiednich testów wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje.
Jak wiele testów trzeba będzie wykonać?
O ile samo testowanie raz do roku wydaje się czymś naturalnym, to zakres testów wymieniony w art. 25 jest bardzo obszerny, a to może oznaczać istotne zwiększenie nakładów organizacji w tym zakresie. Zostały tutaj wymienione oceny podatności i skanowanie pod tym kątem, analizy otwartego oprogramowania, oceny bezpieczeństwa sieci, analizy braków, fizycznych kontroli bezpieczeństwa, kwestionariusze i rozwiązania w zakresie oprogramowania skanującego, przeglądy kodu źródłowego, gdy jest to wykonalne, testy scenariuszowe, testy kompatybilności, testy wydajności, testy kompleksowe i testy penetracyjne. W szczególności ten ostatni element może okazać się kosztowny – art. 26 wymaga od podmiotów finansowych przeprowadzenia nie rzadziej niż co trzy lata tzw. zaawansowanych testów za pomocą TLPT (testy penetracyjne pod kątem wyszukiwania zagrożeń), z możliwością zażądania przez organ nadzoru zwiększenia ich częstotliwości.
Kto powinien wykonywać testy?
Testy te powinny być przeprowadzone z udziałem zewnętrznych dostawców usług ICT, jeśli wspierają one wytypowane do testowania krytyczne lub istotne funkcje. W przypadku instytucji kredytowych klasyfikowanych jako istotne zgodnie z art. 6 ust. 4 rozporządzenia (UE) nr 1024/2013, wymagane jest korzystanie wyłącznie z testerów zewnętrznych, co może dodatkowo zwiększyć wydatki. Pewnym ułatwieniem może być tutaj natomiast możliwość testowania zbiorczego z udziałem kilku podmiotów finansowych, w przypadku usług świadczonych przez zewnętrznych dostawców ICT, przedstawiona w art. 26 ust. 4. Warto podkreślić, że przeprowadzenie testów podlega odrębnemu obowiązkowi sprawozdawczemu.
Podsumowanie
Przegląd zaprezentowanych w DORA wymagań w zakresie zabezpieczeń co do meritum nie zmienia przyjętego przez rynek kanonu, wymienione w nim środki będą dobrze znane odbiorcom z innych, branżowych aktów i norm. Na uwagę zasługują szczególny nacisk na izolację zasobów w przypadku cyberataków oraz rozległy system środków technicznych i organizacyjnych w zakresie ciągłości działania.
DORA narzuca natomiast wiele nowych obowiązków sprawozdawczych, które zmuszą podmioty finansowe do bardzo szczegółowego i uporządkowanego, a zarazem sprawnego ewidencjonowania zasobów, wspieranych przez nie funkcji i ich zabezpieczeń, które podlegać będą ocenie ryzyka oraz rozbudowanym audytom i testom. W przypadku dużej organizacji, w której liczba tych elementów oraz częstotliwość ich aktualizacji będą wysokie, wydaje się to praktycznie nie do zrealizowania bez wsparcia odpowiednio zaprojektowanych narzędzi, z których jednym może być system RIG DORA.
Z perspektywy kosztów, najwyższym, nowym obciążeniem dla działów Security może stać się wprowadzany przez DORA reżim zaawansowanych testów za pomocą TLPT. Dużym wyzwaniem może również okazać się również ujęcie architektury bezpieczeństwa w odpowiednio skategoryzowaną dokumentację.
