Riziko tretej strany - viac bezpečnosti alebo len viac byrokracie?

Riziko tretej strany. Tento zdanlivo ťažkopádny termín zo slovníka EÚ je opäť veľmi aktuálny. Výrobca bezpečnostného softvéru nedávno spôsobil najvýznamnejší výpadok IT v histórii. Spôsobila ho programová chyba v automatickej aktualizácii. Pravdepodobne sa mnohé IT tímy spoliehali na bezchybnú aktualizáciu a sami ju netestovali, čo nie je dobrý nápad, pretože existuje riziko tretej strany.

Zákon o digitálnej prevádzkovej odolnosti (DORA), ktorý v tom čase vstúpi do platnosti, im okrem iného ukladá povinnosť zohľadniť riziká tretích strán. Medzi ďalšie ustanovenia zákona DORA patrí zavedenie riadenia IT rizík, povinnosť podávať správy a povinnosť vykonávať pravidelné bezpečnostné testy. Cieľom je zvýšiť kybernetickú bezpečnosť vo finančnom sektore.

Ale nemáme podobné opatrenia v systéme NIS-2? A nemali by byť spoločnosti aj tak certifikované podľa normy ISO/IEC 27001? Je teda systém DORA len byrokratickou zbytočnosťou?

Táto otázka je pochopiteľná, keďže tieto tri normy sa zaväzujú posilniť bezpečnosť IKT. Oddelenie jednotlivých tém je užitočné.

ISO/IEC 27001, NIS-2 a DORA: podobnosti a rozdiely.

Po prvé, ISO/IEC 27001: Uznávaná norma pre systémy riadenia bezpečnosti informácií (ISMS) ponúka systematický prístup k riadeniu bezpečnosti IT. Zahŕňa riadenie rizík, súlad, ochranu aktív, efektívne procesy a neustále zlepšovanie. Norma ISO, ktorá bola pôvodne dobrovoľná, sa v dôsledku vývoja na trhu stala povinnou. Spoločnosti používajú certifikáciu podľa normy ISO/IEC 27001 ako znak dôvery a dôkaz svojho úsilia v oblasti informačnej bezpečnosti. Je ťažké predstaviť si podnikanie bez nej; chýbajúca certifikácia je často vyraďovacím kritériom."V Európe," pokračuje Säckel,"je to aj preto, že smernica o kybernetickej bezpečnosti NIS-2 (Network and Information Security Directive 2) nepriamo vyžaduje certifikáciu podľa normy ISO/IEC 27001."

Smernica NIS-2 totiž definuje spoločnosti, ktoré patria do kritickej infraštruktúry a pre ktoré platia mimoriadne vysoké štandardy kybernetickej bezpečnosti. Príslušné spoločnosti musia zaviesť technické a organizačné opatrenia pre kybernetickú bezpečnosť a zabezpečiť siete a systémy podľa najmodernejších noriem. To zahŕňa zavedenie zodpovedajúceho systému riadenia a ako ústredný bod povinnosť podávať správy. Spoločnosti musia v krátkom čase oznámiť orgánom vo svojej krajine závažné incidenty a sú viazané krátkymi lehotami. V závislosti od typu organizácie a povahy incidentu sa prvé oznámenie musí vykonať do 24 hodín alebo dokonca okamžite."Systémy riadenia, ohlasovacie povinnosti, stav techniky - to všetko nájdete aj v DORA," komentuje Säckel.

Bezpečnostný zákon EÚ sa však venuje výlučne finančnému sektoru a zavádza ďalšie predpisy, ktoré presahujú rámec NIS-2. Jeho podstatou je zabezpečiť, aby finančné inštitúcie a ich poskytovatelia služieb 1. stupňa dokázali odolať kybernetickým útokom a narušeniam činnosti a rýchlo sa z nich zotaviť. Na preukázanie tohto cieľa sa od spoločností napríklad vyžaduje, aby pravidelne preverovali svoju bezpečnosť, napríklad prostredníctvom cvičení na riešenie kybernetických kríz. Okrem toho si DORA uvedomuje zásahy orgánov dohľadu týkajúce sa rizík tretích strán: Poskytovatelia IT služieb pôsobiaci vo finančnom sektore môžu byť kontrolovaní priamo orgánmi dohľadu (aj na mieste). Ak sú výsledky negatívne, orgány dohľadu môžu prinútiť finančné spoločnosti, aby prestali spolupracovať s poskytovateľmi služieb.

Ak sa situácia stane vážnou, príde na rad nemecký Spolkový úrad pre informačné technológie (BSI).

Posledný bod poukazuje na osobitnú povahu systému DORA: nie je založený výlučne na samoohlasovaní alebo auditoch. Napriek tomu je štruktúrovaná skôr ako nemecký obchodný dozorný orgán, ktorý môže kontrolovať spoločnosti priamo na mieste. V Nemecku túto úlohu pre DORA prevezme BaFin a Bundesbank. Závada v IT, ktorá sa spomína na začiatku článku a ktorá mala vážne dôsledky aj v Nemecku, by mohla byť prípadom, ktorý priviedol BSI do obrazu v postihnutých spoločnostiach vo finančnom sektore. Podľa Säckela však "stále nie je jasné, ako by takýto audit konkrétne vyzeral - aj orgány sa musia ešte prispôsobiť DORA".

Nový zákon o bezpečnosti ukazuje, že mnohé nariadenia EÚ sa riadia vnútornou logikou a neslúžia byrokratickému sebazahlteniu: čím kritickejšie odvetvie, tým prísnejšie pravidlá. Podľa neho však existuje aj dobrá správa, pretože"finančné spoločnosti, ktoré už majú certifikát ISO, sú vo výbornej východiskovej pozícii".

Majú systém riadenia informačnej bezpečnosti (ISMS) ako pevný základ. DORA tento základ rozširuje o špecifické požiadavky na zlepšenie digitálnej odolnosti.

Podobne ako ISO/IEC 27001, aj DORA kladie veľký dôraz na správu IT aktív. Vyžaduje podrobnú dokumentáciu a hodnotenie všetkých zdrojov IT s cieľom určiť potrebu ich ochrany. To je doplnené komplexným riadením rizík, ktoré identifikuje a hodnotí hrozby. DORA vyžaduje, aby požiadavky spĺňali aj externí partneri. Finančným spoločnostiam preto nezostane nič iné, ako kontrolovať svojich poskytovateľov služieb a vyžadovať od nich vyhlásenia o zhode.

Zlepšite sa, pretože kyberzločinci nikdy nespia

V obchodnej praxi vedie DORA k jasným požiadavkám. Finančné spoločnosti napríklad potrebujú preventívne opatrenia na zálohovanie a obnovu. Musia pritom zaviesť procesy, ktoré zabezpečia integritu a dostupnosť záloh. Obzvlášť dôležité je určiť riziko straty údajov, t. j. potenciálne škody spôsobené zlyhaním IT a čas, ktorý spoločnosť potrebuje na obnovenie bežnej prevádzky."Tieto dva ukazovatele pomáhajú vytvoriť stratégiu obnovy po havárii."

Ide o najdôležitejšiu zložku riadenia kontinuity činností (BCM). Vo finančných spoločnostiach zahŕňa oveľa viac než len obnovu IT prevádzky. Preto je dôležité, aby všetky havarijné plány v rámci BCM boli praktické. Musia sa pravidelne prehodnocovať a testovať v rámci havarijných cvičení, aby sa zabezpečilo ich fungovanie v núdzových situáciách. To zahŕňa aj testovanie zálohovania a obnovy údajov na strane IT. Oboje musí prebiehať bez problémov a obnovené údaje a systémy musia byť po zálohovaní funkčné. Aj to sa dá dosiahnuť len praktickými skúškami. Spoločnosti by však mali"upustiť od implementácie DORA & Co. v jednom kroku. Požiadavky EÚ si vyžadujú nepretržitý proces zlepšovania".

V dynamickej oblasti IT a niekedy búrlivého vývoja v oblasti kybernetickej bezpečnosti to má zmysel. Preto je cyklus PDCA (Plan-Do-Check-Act) ústrednou zložkou systému DORA. Vzhľadom na dynamickú povahu kybernetickej kriminality podporuje neustály vývoj bezpečnostných opatrení. Právne povinnosti vyplývajúce z NIS-2 a DORA zabezpečujú, aby finančný sektor ako súčasť kritickej infraštruktúry robil všetko pre to, aby bol mimoriadne bezpečný.