Operacyjna odporność cyfrowa jest ostatnio szeroko omawianym zagadnieniem. Działania Unii Europejskiej doprowadziły do powstania Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) przyjętego w grudniu 2022 roku. Dokument znacznie wpływa na stopień gotowości na cyberzagrożenia przez sektor finansowy w Europejskim Obszarze Gospodarczym. W artykule przedstawiliśmy ramowy zbiór dokumentów, które powinieneś przygotować w celu zapewnienia zgodności z regulacjami.
Czym jest operacyjna odporność cyfrowa?
DORA w artykule 3 operacyjną odporność cyfrową definiuje jako “zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej operacyjnej integralności i niezawodności przez zapewnianie, bezpośrednio albo pośrednio – korzystając z usług zewnętrznych dostawców usług ICT – pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość, w tym w trakcie zakłóceń”.
Rozporządzenie określiło jednolite wymogi dla podmiotów finansowych, w celu zapewnienia bezpieczeństwa sieci i systemów informatycznych, które wspierają procesy biznesowe organizacji. Wymagania podzielono na cztery obszary:
- mające zastosowanie do podmiotów finansowych, w tym w zakresie: zarządzania ryzykiem wykorzystywanych technologii informacyjno-komunikacyjnych (ICT), zgłaszania poważnych incydentów właściwym organom w związku z ICT, testowania operacyjnej odporności cyfrowej oraz wymiany informacji w temacie cyberzagrożeń i luk bezpieczeństwa;
- związane z ustaleniami umownymi zawartymi między podmiotami finansowymi, a zewnętrznymi dostawcami usług;
- zdefiniowane ramy nadzoru nad kluczowymi dostawcami ICT, którzy wśród swoich klientów mają podmioty finansowe; oraz
- ramy współpracy pomiędzy właściwymi organami, zasady nadzoru i egzekwowania przepisów wśród podmiotów finansowych.
Czym są ramy zarządzania ryzykiem?
Jest to zbiór strategii, polityk, procedur, protokołów i narzędzi ICT krytycznych dla właściwej obrony zasobów informacyjnych i zasobów ICT w organizacji. Tymi zasobami są systemy, hardware, serwery czy elementy fizyczne jak serwerownie i inne pomieszczenia o ograniczonym dostępie. Instytucje finansowe są zobowiązane do stałego procesu identyfikacji swoich ryzyk związanych z ICT, ustalania środków ochrony i zapobiegania. Ich zadaniem jest również wykrywanie incydentów i innych problemów wpływających na własne środowisko ICT.
Ramy zarządzania ryzykiem a DORA
Każdy podmiot finansowy, którego dotyczy DORA, jest zobowiązany do identyfikacji, klasyfikacji i odpowiedniej dokumentacji wszystkich wspieranych przez ICT funkcji biznesowych, zadań i obowiązków, zasobów informacyjnych i zasobów ICT wspierających te funkcje. Musi również rozumieć zależności w odniesieniu do ryzyka związanego z ICT.
Zobowiązania powinny być realizowane poprzez posiadanie solidnych, kompleksowych i dobrze udokumentowanych ram zarządzania ryzykiem. Muszą być one solidne, ponieważ mają być narzędziem organizacyjnym, które pozwoli firmie, w której pracujesz zmierzyć się z przekrojem ryzyk związanych z ICT. Muszą być również kompleksowe, zważywszy na szeroki zakres ryzyk, z którymi mierzycie się każdego dnia. Na koniec, muszą być dobrze udokumentowane, dzięki czemu nie będzie problemu z ich wykorzystaniem. Skutecznie wdrożone ramy zarządzania ryzykiem związanym z ICT pozwalają na zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej odpowiadającego potrzebom biznesowym oraz wielkości i złożoności organizacji.
Ramy zarządzania ryzykiem, jak już zostało wspomniane, powinny być dobrze udokumentowane, ale również, powinny być poddane przeglądowi co najmniej raz w roku oraz zawsze po wystąpieniu poważnego incydentu związanego z ICT. Pamietaj, że zawsze po przeprowadzonych testach środowiska ICT, incydentach czy po prostu w trakcie normalnej pracy systemów, musisz aktualizować dokumentację[1] o powstające w tym czasie wnioski i nowe informacje.
W proponowanym materiale do pobrania wymieniliśmy wszystkie dokumenty składające się na ramy zarządzania ryzykiem.
Strategia odporności cyfrowej
Strategia odporności cyfrowej jest elementem ram zarządzania ryzykiem związanym z ICT, która określa w jaki sposób Twoja organizacja ma wdrożyć te ramy. Zawiera metody zapobiegania urzeczywistnieniu ryzyk związanych z ICT i wyjaśnia w jaki sposób ramy zarządzania ryzykiem wspierają strategię biznesową. W ramach strategii określony powinien zostać limit tolerancji ryzyka oraz analiza wpływu zakłóceń w funkcjonowaniu ICT.
Kolejnym zadaniem strategii jest wyznaczenie jasnych celów w zakresie bezpieczeństwa informacji, w tym wskaźników efektywności i kluczowych wskaźników ryzyka. Dokument powinien również objaśnić referencyjną architekturę ICT oraz opisać wszystkie zmiany niezbędne do osiągnięcia celów firmy. Powinien też przedstawiać mechanizmy wprowadzone w organizacji na rzecz wykrywania incydentów związanych z ICT, zapobiegania im i ochrony przed nimi. Na koniec, dokument musi także przedstawiać plan testowania operacyjnej odporności cyfrowej oraz politykę komunikacji w wypadku wystąpienia incydentów.
Dokument powinien opisywać aktualny stan operacyjnej odporności cyfrowej bazując na liczbie zgłoszonych incydentów i skuteczności obrony środowiska ICT. DORA pozwala na stworzenie jednej, łączonej strategii odporności cyfrowej dla wielu dostawców ICT, ale wymaga przedstawienia w niej zależności od poszczególnych partnerów.
Każdy podmiot finansowy powinien stworzyć zestaw dokumentów, związanych ze strategią odporności cyfrowej, zależny to od jego indywidualnej sytuacji. Jak sama DORA wspomina mogą to być “strategie, polityki, procedury, protokoły i narzędzia ICT”. W artykule chcielibyśmy zaproponować te, które w naszej opinii należy przygotować wraz ze strategią odporności cyfrowej.
Polityka zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT
Komplementarną i podstawową częścią DORA jest rozdział V „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT”, w ramach którego określone zostały zasady minimalizujące ryzyko we współpracy z zewnętrznymi dostawcami ICT. Wynika to z faktu wielu przypadków ataków na infrastrukturę krytyczną poprzez środowisko dostawców. Podmiot finansowy powinien określić, czy współpraca dotyczy funkcji kluczowej lub ważnej, czy nie występują konflikty interesów oraz, czy spełniono określone w artykule 28 warunki. Dostawca powinien spełniać odpowiednie standardy w zakresie bezpieczeństwa informacji, a w przypadku funkcji kluczowych lub ważnych, powinien stosować najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji.
Rozporządzenie nakłada zadanie stworzenia i aktualizowania na poziomie całej organizacji rejestru informacji w odniesieniu do wszystkich umów z dostawcami ICT, dotyczącymi świadczonych przez nich usług. Uwzględnić trzeba, które z punktów umowy dotyczą kluczowych, ważnych lub nieważnych funkcji. Pamiętaj, że Wasza firma będzie musiała co najmniej raz w roku przekazywać właściwym organom (oraz na każdy ich wniosek) informacje dotyczące kategorii dostawców i nowych ustaleń z nimi. A to niebagatelne zadanie, ponieważ dostawcy ICT to wykorzystywane narzędzia IT (SaaS itp.), ale też usługi czy doradcy IT. KNF w swoich materiałach wskazuje – jeżeli zastanawiasz się “czy to jest dostawca ICT” – to możesz być pewien, że nim jest.
Polityka ciągłości działania oraz plan przywrócenia gotowości do pracy
Istnieje szereg zdarzeń i incydentów, którym żaden, nawet najlepszy plan nie zapobiegnie. Z tego powodu, mocny akcent w DORA został położony na zagadnienie ciągłości działania. Polityka ciągłości działania usług ICT może być częścią ogólnej strategii na rzecz operacyjnej ciągłości działania organizacji. Jej celem jest zapewnienie operacyjności krytycznych lub istotnych funkcji podmiotu finansowego. Możliwe jest to dzięki szybkiemu, właściwemu i skutecznemu reagowaniu na incydenty oraz rozwiązanie ich w sposób, który ogranicza szkody.
Z tego powodu, w polityce ciągłości działania ważne jest uwzględnienie:
- planów, które poprzez różne środki ograniczają skutki incydentów związanych z ICT;
- procedur, które w odpowiedzi na zagrożenia pozwalają przywrócić sprawność systemów.
Dodatkowo w dokumencie należy zawrzeć:
- proces szacowania skutków zdarzenia;
- proces komunikacji kryzysowej do pracowników oraz podmiotów zewnętrznych;
- plan okresowych audytów.
Plan testów operacyjnej odporności cyfrowej
Twoja organizacja nie może w pełni zrozumieć swojego poziomu cyfrowej odporności operacyjnej bez przeprowadzania okresowych testów środowiska ICT. Z tego powodu DORA poświęca cały rozdział IV temu zagadnieniu. Plan testów powinien zawierać konkretne opisy testów, metodyk oraz narzędzi, które zostaną wykorzystane do ich przeprowadzenia. Powinien zostać również wskazany podmiot, który będzie je przeprowadzał. Może to być zarówno zewnętrzna firma o odpowiednich kwalifikacjach, jak i pracownicy podmiotu finansowego, jeżeli posiadają wystarczające zasoby oraz nie zachodzi konflikt interesów.
Określona powinna zostać częstotliwość przeprowadzania testów, dla krytycznych i ważnych funkcji minimum raz w roku. Podmioty, które nie są mikroprzedsiębiorstwami oraz innymi, które mogą stosować uproszczone ramy zarządzania ryzykiem związanym z ICT, przeprowadzają testy penetracyjne minimum raz na trzy lata.
Zarządzanie ryzykiem – klucz do cyfrowej odporności
Zapewnienie cyfrowej odporności operacyjnej jest kluczowym zadaniem wynikającym z rozporządzenia. Realizowane jest to m.in poprzez stworzenie ram zarządzania ryzykiem i strategii odporności cyfrowej. W naszym artykule opisaliśmy dokumenty, które wynikają z DORA w związku z tym celem.
Zgodnie z ust.10 artykułu 6, podmiot finansowy, w którym pracujesz, może zlecić sprawdzenie zgodności z wymogami dotyczącymi zarządzania ryzykiem ICT podmiotom zewnętrznym. Niezależnie od tego, na końcu odpowiedzialność za to zadanie pozostaje w firmie, w której pracujesz. Dlatego ważne jest, żebyś był świadomy zadań wynikających z rozporządzenia.
