Ризик третьої сторони - більше безпеки чи більше бюрократії?

Ризик третьої сторони. Цей, здавалося б, громіздкий термін з лексикону ЄС знову став дуже актуальним. Нещодавно виробник програмного забезпечення для забезпечення безпеки спричинив найзначніший в історії збій в роботі ІТ-системи. Причиною стала програмна помилка в автоматичному оновленні. Ймовірно, багато ІТ-команд покладалися на безпомилкове оновлення і не перевіряли його самостійно - не найкраща ідея, оскільки існує ризик для третіх сторін.

Закон про цифрову операційну стійкість (Digital Operational Resilience Act, DORA), який на той час набуде чинності, зобов'язує їх, серед іншого, враховувати ризики третіх сторін. Інші положення DORA включають запровадження управління ІТ-ризиками, зобов'язання щодо звітності та обов'язок проводити регулярні тести безпеки. Це має на меті підвищити рівень кібербезпеки у фінансовому секторі.

Але хіба ми не маємо подібних заходів в NIS-2? І хіба компанії не повинні бути сертифіковані за стандартом ISO/IEC 27001? Отже, DORA - це просто бюрократична надмірність?

Питання зрозуміле, оскільки всі три стандарти спрямовані на посилення безпеки ІКТ (ICT security - Information and Communications Technology security). Розділення різних тем є корисним.

ISO/IEC 27001, NIS-2 та DORA: подібності та відмінності.

По-перше, ISO/IEC 27001: визнаний стандарт для систем управління інформаційною безпекою (СУІБ) пропонує системний підхід до управління ІТ-безпекою. Це включає управління ризиками, відповідність вимогам, захист активів, ефективні процеси та постійне вдосконалення. Стандарт ISO, який спочатку був добровільним, став обов'язковим через розвиток ринку. Компанії використовують сертифікацію за стандартом ISO/IEC 27001 як знак довіри та доказ своїх зусиль у сфері інформаційної безпеки. Без неї важко уявити бізнес; відсутність сертифікації часто є вирішальним критерієм для відмови."У Європі, - продовжує Закель,- це також пов'язано з тим, що директива з кібербезпеки NIS-2 (Директива з мережевої та інформаційної безпеки 2) неявно вимагає сертифікації відповідно до ISO/IEC 27001".

Це пов'язано з тим, що NIS-2 визначає компанії, які належать до критичної інфраструктури і до яких застосовуються виключно високі стандарти кібербезпеки. Відповідні компанії повинні впроваджувати технічні та організаційні заходи з кібербезпеки та захищати мережі та системи відповідно до найсучасніших стандартів. Це включає в себе впровадження відповідної системи управління і, в першу чергу, зобов'язання щодо звітності. Компанії повинні повідомляти владу своєї країни про значні інциденти протягом короткого періоду часу і в стислі терміни. Залежно від типу організації та характеру інциденту, первинне повідомлення має бути зроблене протягом 24 годин або навіть негайно."Системи управління, зобов'язання щодо звітності, сучасні технології - все це також можна знайти в DORA", - коментує Закель.

Однак Акт про безпеку ЄС (EU Security Act) присвячений виключно фінансовому сектору і запроваджує додаткові правила, які виходять за рамки NIS-2. По суті, мова йде про забезпечення того, щоб фінансові установи та їхні постачальники послуг першого рівня могли протистояти кібератакам і перебоям у роботі та швидко відновлюватися після них. Щоб продемонструвати це, компанії зобов'язані, наприклад, регулярно перевіряти свою безпеку, наприклад, за допомогою навчань на випадок кіберкризи. Крім того, DORA знає про втручання наглядових органів щодо ризиків третіх сторін: Провайдери ІТ-послуг, що працюють у фінансовому секторі, можуть бути перевірені безпосередньо наглядовими органами (у тому числі на місці). Якщо результати перевірки є негативними, наглядові органи можуть змусити фінансові компанії припинити співпрацю з постачальниками послуг.

Якщо ситуація стає серйозною, на допомогу приходить Федеральне відомство з питань технологій інформаційної безпеки (BSI).

Останній пункт підкреслює особливий характер DORA: він не базується виключно на самозвітах чи аудитах. Тим не менш, за своєю структурою воно більше нагадує німецький орган торгового нагляду, який може перевіряти компанії на місці. У Німеччині цю роль для DORA візьмуть на себе BaFin і Бундесбанк. Згаданий на початку статті ІТ-збій, який також мав серйозні наслідки в Німеччині, міг би стати випадком, який привернув увагу BSI до постраждалих компаній у фінансовому секторі. Однак, за словами Закеля, "поки що незрозуміло, як такий аудит виглядатиме в конкретних термінах - владі також ще належить адаптуватися до DORA".

Новий Закон про безпеку показує, що багато нормативних актів ЄС слідують внутрішній логіці, а не слугують бюрократичному самозахопленню: чим критичніша галузь, тим суворіші правила. Але є і хороші новини, каже він, адже"фінансові компанії, які вже сертифіковані за стандартом ISO, перебувають у чудовій стартовій позиції".

Вони мають систему управління інформаційною безпекою (СУІБ) як міцну основу. DORA розширює цю основу, включаючи конкретні вимоги для підвищення цифрової стійкості.

Як і ISO/IEC 27001, DORA робить сильний акцент на управлінні ІТ-активами. Він вимагає детального документування та оцінки всіх ІТ-ресурсів, щоб визначити їхню потребу в захисті. Це доповнюється комплексним управлінням ризиками, яке виявляє та оцінює загрози. DORA також вимагає, щоб зовнішні партнери відповідали вимогам. Тому фінансові компанії не матимуть іншого вибору, окрім як перевіряти своїх постачальників послуг та вимагати від них декларацій про відповідність.

Ставайте кращими, бо кіберзлочинці ніколи не сплять

У бізнес-практиці DORA призводить до чітких вимог. Наприклад, фінансові компанії потребують запобіжних заходів для резервного копіювання та відновлення. При цьому вони повинні впровадити процеси, які забезпечують цілісність і доступність резервних копій. Особливо важливо визначити ризик втрати даних, тобто потенційну шкоду, спричинену збоєм в ІТ, і час, необхідний компанії для відновлення нормальної роботи."Ці два показники допомагають розробити стратегію аварійного відновлення".

Це найважливіший компонент управління безперервністю бізнесу (BCM - business continuity management). У фінансових компаніях він охоплює набагато більше, ніж просто відновлення ІТ-операцій. Тому важливо, щоб усі плани на випадок надзвичайних ситуацій в рамках BCM були практичними. Вони повинні регулярно переглядатися і тестуватися під час навчань на випадок надзвичайних ситуацій, щоб переконатися, що вони працюють в надзвичайних ситуаціях. Це також включає перевірку резервного копіювання та відновлення даних на стороні ІТ. Обидва процеси повинні працювати безперебійно, а відновлені дані і системи повинні функціонувати після резервного копіювання. Це також можна перевірити лише за допомогою практичних тестів. Однак компаніям слід "утриматися від одномоментного впровадження DORA & Co. Вимоги ЄС вимагають безперервного процесу вдосконалення".

Це має сенс у динамічній сфері ІТ та іноді бурхливому розвитку кібербезпеки. Тому цикл PDCA (Plan-Do-Check-Act) є центральним компонентом DORA. З огляду на динамічну природу кіберзлочинності, він сприяє постійному розвитку заходів безпеки. Юридичні зобов'язання в рамках NIS-2 та DORA гарантують, що фінансовий сектор, як частина критичної інфраструктури, робить все можливе, щоб бути особливо захищеним.