Ryzyko stron trzecich - większe bezpieczeństwo czy tylko więcej biurokracji?

Ryzyko stron trzecich. Ten pozornie nieporęczny termin ze słownika UE jest ponownie bardzo aktualny. Producent oprogramowania zabezpieczającego spowodował ostatnio najbardziej znaczącą awarię IT w historii. Było to spowodowane błędem programistycznym w automatycznej aktualizacji. Przypuszczalnie wiele zespołów IT polegało na bezbłędnej aktualizacji i nie przetestowało jej samodzielnie - nie jest to dobry pomysł, ponieważ istnieje ryzyko ze strony osób trzecich.

Ustawa o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA), która wejdzie w życie w tym czasie, zobowiązuje ich między innymi do uwzględnienia ryzyka stron trzecich. Inne przepisy DORA obejmują wprowadzenie zarządzania ryzykiem IT, obowiązek raportowania oraz obowiązek przeprowadzania regularnych testów bezpieczeństwa. Ma to na celu zwiększenie cyberbezpieczeństwa w sektorze finansowym.

Ale czy nie mamy podobnych środków w NIS-2? I czy firmy nie powinny posiadać certyfikatu ISO/IEC 27001? Czy zatem DORA to tylko biurokratyczna przesada?

Pytanie jest zrozumiałe, ponieważ wszystkie trzy standardy mają na celu wzmocnienie bezpieczeństwa teleinformatycznego. Pomocne jest rozdzielenie różnych tematów.

ISO/IEC 27001, NIS-2 i DORA: podobieństwa i różnice.

Po pierwsze, ISO/IEC 27001: Uznany standard systemów zarządzania bezpieczeństwem informacji (ISMS) oferuje systematyczne podejście do zarządzania bezpieczeństwem IT. Obejmuje to zarządzanie ryzykiem, zgodność, ochronę zasobów, wydajne procesy i ciągłe doskonalenie. Norma ISO, która początkowo była dobrowolna, stała się obowiązkowa ze względu na rozwój rynku. Firmy wykorzystują certyfikację ISO/IEC 27001 jako znak zaufania i dowód swoich wysiłków w zakresie bezpieczeństwa informacji. Trudno wyobrazić sobie biznes bez niej; brak certyfikacji jest często kryterium nokautującym."W Europie", kontynuuje Säckel,"dzieje się tak również dlatego, że dyrektywa w sprawie cyberbezpieczeństwa NIS-2 (Network and Information Security Directive 2) pośrednio wymaga certyfikacji zgodnie z ISO/IEC 27001".

Wynika to z faktu, że NIS-2 definiuje firmy, które należą do infrastruktury krytycznej i dla których obowiązują wyjątkowo wysokie standardy cyberbezpieczeństwa. Firmy te muszą wdrożyć techniczne i organizacyjne środki cyberbezpieczeństwa oraz zabezpieczyć sieci i systemy zgodnie z najnowszymi standardami. Obejmuje to wprowadzenie odpowiedniego systemu zarządzania oraz, jako centralnego punktu, obowiązku raportowania. Firmy muszą powiadomić władze w swoim kraju o istotnych incydentach w krótkim czasie i są związane krótkimi terminami. W zależności od rodzaju organizacji i charakteru incydentu, wstępne powiadomienie musi zostać złożone w ciągu 24 godzin lub nawet natychmiast."Systemy zarządzania, obowiązki sprawozdawcze, najnowocześniejsze rozwiązania - wszystko to znajduje się również w DORA", komentuje Säckel.

Jednak ustawa o bezpieczeństwie UE jest dedykowana wyłącznie sektorowi finansowemu i wprowadza dodatkowe regulacje, które wykraczają poza NIS-2. U jej podstaw leży zapewnienie, że instytucje finansowe i ich dostawcy usług warstwy 1 są w stanie wytrzymać i szybko odzyskać sprawność po cyberatakach i zakłóceniach działalności. Aby to wykazać, firmy są na przykład zobowiązane do regularnego przeglądu swoich zabezpieczeń, na przykład poprzez cybernetyczne ćwiczenia kryzysowe. Ponadto DORA jest świadoma interwencji organów nadzorczych dotyczących ryzyka stron trzecich: Dostawcy usług IT działający w sektorze finansowym mogą być kontrolowani bezpośrednio przez organy nadzoru (w tym na miejscu). Jeśli wyniki są negatywne, organy nadzoru mogą zmusić firmy finansowe do zaprzestania współpracy z dostawcami usług.

Jeśli sytuacja stanie się poważna, do akcji wkroczy niemiecki Federalny Urząd ds. Technologii Bezpieczeństwa Informacji (BSI).

Ostatni punkt podkreśla szczególny charakter DORA: nie opiera się on wyłącznie na samodzielnym raportowaniu lub audytach. Mimo to, jego struktura bardziej przypomina niemiecki organ nadzoru handlowego, który może przeprowadzać inspekcje firm na miejscu. W Niemczech BaFin i Bundesbank przejmą tę rolę dla DORA. Wspomniana na początku artykułu usterka informatyczna, która miała również poważne konsekwencje w Niemczech, może być przypadkiem, który wprowadził BSI w obraz dotkniętych nią firm z sektora finansowego. Jednak według Säckela "nadal nie jest jasne, jak konkretnie wyglądałby taki audyt - władze muszą również dostosować się do DORA".

Nowa ustawa o bezpieczeństwie pokazuje, że wiele przepisów UE kieruje się wewnętrzną logiką i nie służy biurokratycznemu samozadowoleniu: im bardziej krytyczna branża, tym bardziej rygorystyczne przepisy. Jest jednak dobra wiadomość, ponieważ"firmy finansowe, które posiadają już certyfikat ISO, są w doskonałej sytuacji wyjściowej".

Posiadają one system zarządzania bezpieczeństwem informacji (ISMS) jako solidną podstawę. DORA rozszerza tę podstawę o konkretne wymagania dotyczące poprawy odporności cyfrowej.

Podobnie jak ISO/IEC 27001, DORA kładzie duży nacisk na zarządzanie zasobami IT. Wymaga szczegółowej dokumentacji i oceny wszystkich zasobów IT w celu określenia potrzeby ich ochrony. Uzupełnieniem jest kompleksowe zarządzanie ryzykiem, które identyfikuje i ocenia zagrożenia. DORA wymaga również, aby partnerzy zewnętrzni spełniali wymagania. W związku z tym firmy finansowe nie będą miały innego wyjścia, jak tylko sprawdzić swoich dostawców usług i zażądać od nich deklaracji zgodności.

Bądź lepszy, bo cyberprzestępcy nigdy nie śpią

W praktyce biznesowej DORA prowadzi do jasnych wymagań. Na przykład, firmy finansowe potrzebują środków ostrożności w zakresie tworzenia kopii zapasowych i przywracania danych. W tym celu muszą wdrożyć procesy zapewniające integralność i dostępność kopii zapasowych. Szczególnie ważne jest określenie ryzyka utraty danych, tj. potencjalnych szkód spowodowanych awarią IT i czasu potrzebnego firmie na wznowienie normalnej działalności."Te dwa wskaźniki pomagają opracować strategię odzyskiwania danych po awarii".

Jest to najważniejszy element zarządzania ciągłością działania (BCM). W firmach finansowych obejmuje on znacznie więcej niż tylko odzyskiwanie operacji IT. Dlatego ważne jest, aby wszystkie plany awaryjne w ramach BCM były praktyczne. Muszą być regularnie weryfikowane i testowane w ramach ćwiczeń awaryjnych, aby zapewnić ich działanie w sytuacji awaryjnej. Obejmuje to również test tworzenia kopii zapasowych i odzyskiwania danych po stronie IT. Oba muszą działać płynnie, a odzyskane dane i systemy muszą być funkcjonalne po utworzeniu kopii zapasowej. To również można zrobić tylko za pomocą testów praktycznych. Firmy powinny jednak"powstrzymać się od wdrażania DORA & Co. w jednym kroku. Wymogi UE wymagają ciągłego procesu doskonalenia".

Ma to sens w dynamicznym obszarze IT i czasami burzliwym rozwoju cyberbezpieczeństwa. Dlatego też cykl PDCA (Planuj-Wykonaj-Sprawdź-Działaj) jest centralnym elementem DORA. Biorąc pod uwagę dynamiczny charakter cyberprzestępczości, promuje on ciągły rozwój środków bezpieczeństwa. Zobowiązania prawne wynikające z NIS-2 i DORA zapewniają, że sektor finansowy, jako część infrastruktury krytycznej, robi wszystko, co w jego mocy, aby być szczególnie bezpiecznym.