Bank i dostawca pod lupą: nowa higiena odporności

Zpunktu widzenia instytucji finansowych zmiana podejścia do zarządzania ryzykiem nie była rewolucją: wiele kwestii, dziś regulowanych przez DORA, było przedmiotem takich dokumentów nadzorczych, jak Rekomendacja D czy tzw. komunikat chmurowy Komisji Nadzoru Finansowego z początku 2020 r. Obszarem, w którym nowe rozporządzenie przewiduje największe zmiany, jest zarządzanie bezpieczeństwem w kontekście współpracy z dostawcami usług teleinformatycznych. Ci ostatni, w przypadku zakwalifikowania do tzw. dostawców kluczowych, podlegają nadzorowi finansowemu bezpośrednio, zarządzanie ryzykiem w relacjach z pozostałymi jest obowiązkiem współpracujących z nimi banków.

„DORA nakłada obowiązki na podmioty finansowe, i to ich obowiązkiem jest takie dobranie i ułożenie relacji z dostawcami usług, aby zarządzać nimi w taki sposób, jak wskazuje rozporządzenie” – podkreślał Krzysztof Dąbrowski, dyrektor zarządzający Pionem Bezpieczeństwa w Komisji Nadzoru Finansowego. Jak poradzono sobie z tym bezprecedensowym wyzwaniem w polskich realiach? Na to pytanie udzielili odpowiedzi reprezentanci banków oraz dostawców technologii.

Łukasz Krzykwa
Director, Security Solutions Commercialization w polskim oddziale Mastercard Europe:

Dostawcy IT są częścią obszaru ryzyka cybernetycznego organizacji, z którą współpracują. Zgodnie z rozporządzeniem DORA, nowym wyzwaniem szefów bezpieczeństwa (CISO) jest proaktywne zarządzanie ryzykiem współpracy z dostawcami IT i przewidywanie zagrożeń w łańcuchu dostaw. Jednak nawet duże organizacje mają trudność w implementacji regulacji i nie prowadzą stałej weryfikacji zagrożeń, a ograniczają się np. do okresowych analiz opartych na arkuszach samooceny firm. Wiele podmiotów współpracuje z tysiącami dostawców, więc problemem jest również deficyt zasobów, aby zapewnić stałą i rozszerzoną ich weryfikację. Brak praktyki w interpretacji i stosowaniu wymagań DORA wzmacnia potrzebę współpracy całego rynku nad standardami i spójnym katalogiem punktów kontrolnych.
Tradycyjne metody zarządzania ryzykiem stron trzecich (TPRM) nie nadążają za dzisiejszym krajobrazem ryzyk – tym bardziej nie są dostosowane do zagrożeń przyszłości. TPRM powinno opierać się na rzetelnej ocenie ryzyka, dostosowaniu zabezpieczeń do wagi współpracy, a negatywny scenariusz powinien zakładać procedurę reagowania na potencjalny incydent i postępowania z dostawcą. Ważny jest również plan zapewniający ciągłość działania organizacji także po zakończeniu współpracy z zagrożonym podmiotem.

Dla usprawnienia zewnętrznych ocen ryzyka kluczowe znaczenie ma wdrożenie nowoczesnego podejścia, opartego na automatyzacji i wykorzystaniu sztucznej inteligencji. Tak właśnie działamy w Mastercard – korzystając z najnowszych technologii, wspieramy firmy w obszarze zarządzania ryzykiem stron trzecich, zgodnie z wymogami regulatorów. Pomagamy organizacjom przeprowadzać przewidziane w regulacji DORA zaawansowane testy odporności organizacji na cyberataki (TLPT) w zakresie definicji, symulacji i testowania rzeczywistych scenariuszy ataków. Akwizycja Recorded Future wzmocniła jeszcze nasze kompetencje w zakresie wywiadu zagrożeń i ...