DORA: bez permanentnej edukacji cyfrowej pracowników i klientów trudno zapewnić bezpieczeństwo danych sektora finansowego

DORA: bez permanentnej edukacji cyfrowej pracowników i klientów trudno zapewnić bezpieczeństwo danych sektora finansowego
Michał Nowakowski. Źródło: MN
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Niedawno popełniłem artykuł dotyczący słabego punktu w kontekście cyberbezpieczeństwa. Stwierdziłem w nim, że to człowiek jest najbardziej wrażliwym elementem całego ekosystemu bezpieczeństwa ICT, a nie infrastruktura czy oprogramowanie. Wśród komentarzy znalazły się m.in. takie, które wskazywały na dość ogólny charakter moich przemyśleń i jedynie "zaczepienie" o kwestie prawno-regulacyjne dotyczące odporności cyfrowej (operacyjnej). Wracam więc z nieco bardziej merytorycznymi argumentami i pomysłami, bazującymi w dużej mierze na projektowanym rozporządzeniu w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) - zachęcam też do lektury dotychczasowych analiz projektu ‒ pisze Michał Nowakowski, Finregtech.Pl.

Zacznijmy od tego, że DORA wyznacza nam nowy kierunek w zakresie kluczowości obszarów zarządzania instytucją – tutaj akurat finansową. Wiele z postanowień tego aktu nie jest zupełnym novum.

Zapewnienie szeroko rozumianego bezpieczeństwa danych (…) staje się absolutnym priorytetem nie tylko sektora finansowego

Spójrzmy chociażby na wytyczne Europejskiego Urzędu Nadzoru Bankowego w sprawie ryzyk ICT czy Rekomendację D Komisji Nadzoru Finansowego, dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (nieco outdated), a także w jakimś stopniu Rekomendację Z.

Kluczowa jest tutaj nie tyle zawartość projektu, ale fakt, że mówimy już nie o rekomendacjach czy wytycznych, ale rozporządzeniu, które obowiązuje „wszystkich i wszędzie”. Jeżeli dołożymy do tego nadal trwającą dyskusję nad ostatecznym kształtem NIS2 i liczne komunikaty regulatorów nt. znaczenia odporności cyfrowej, to wszystko staje się jasne – zapewnienie szeroko rozumianego bezpieczeństwa danych (co zresztą jest też wymogiem Rozporządzenia 2016/679) staje się absolutnym priorytetem nie tylko sektora finansowego.

Instytucje finansowe też odpowiadają za edukację cyfrową

Nie ma złudzeń co do tego, że jest to wynikiem postępującej cyfryzacji, a może nie tyle cyfryzacji, co przenoszeniem coraz większej części naszego życia z „reala” do „virtuala”. Coraz większa część społeczeństwa ma dostęp do cyfrowych kanałów, np. płatności, inwestowania czy podpisywania umów lub załatwiania spraw urzędowych.

Instytucje, w tym finansowe, muszą brać na siebie edukację obywateli oraz wzmacniać własne ramy kontroli i zarządzania ryzykami ICT

I to jest niewątpliwy plus wspomnianej digitalizacji, ale jest to także zarazem ogromne zagrożenie po stronie zarówno nas samych, jak i podmiotów, które „posiadają” nasze dane czy środki finansowe. Rośnie więc liczba fraudów (i prób) czy ataków na same instytucje.

W konsekwencji instytucje, w tym finansowe, muszą brać na siebie edukację obywateli (spójrzmy na ostatni komunikat KNF w sprawie cyberbezpieczeństwa) oraz wzmacniać własne ramy kontroli i zarządzania ryzykami ICT.

Na te potrzeby ma w jakimś stopniu odpowiadać DORA, która wskazuje, aby instytucje dysponowały:

„solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, które umożliwiają im szybkie, skuteczne i kompleksowe reagowanie na ryzyko związane z ICT oraz zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej odpowiadającego ich potrzebom biznesowym oraz wielkości i złożoności tych podmiotów”.

Czytaj także: Europejski Inspektor Ochrony Danych o granicach prywatności konsumentów i obywateli UE

Zarządy z aktualną wiedzą nt. ICT

Na te ramy składają się różne wymagania. Mamy bardzo silne podkreślenie roli organów zarządzających, które ponoszą ostateczną odpowiedzialność za ewentualne trudności, a także – czego trochę brakowało w przytaczanych przeze mnie wytycznych – zapewnienie, aby członkowie organów zarządzających posiadali aktualną i adekwatną wiedzę w zakresie ryzyk ICT. Już nie tylko CTO czy CRO „ma znać się na zagrożeniach związanych z ICT”, ale – przynajmniej w jakiejś części – i pozostali członkowie organów.

Mamy obowiązek wprowadzania i stosowania strategii, procedur, polityk (np. bezpieczeństwa), protokołów i narzędzi zapewniających prawidłowe zarządzanie ryzykami ICT, a także ich nieustanne udoskonalanie (a więc i monitorowanie skuteczności) czy stosowanie odpowiednich ram zarządzania incydentami (a więc i współpracy z organami odpowiedzialnymi za szeroko rozumiane cyberbezpieczeństwo).

Już nie tylko CTO czy CRO „ma znać się na zagrożeniach związanych z ICT”, ale – przynajmniej w jakiejś części – i pozostali członkowie organów

Jest konieczność stosowania zabezpieczeń cyfrowych i fizycznych, identyfikowanie nowych zagrożeń i wdrażanie nowych rozwiązań. Jest mapowanie linii biznesowych czy produktowych (to ważne zadanie na najbliższe miesiące) i podpięcie ich pod stosowne procesy podlegające właściwym standardom bezpieczeństwa.

Szczególne znaczenie ma też obszar testowania i działań przedprodukcyjnych, co pokrywa się też z często przywoływaną przeze mnie zasadą „ethics, privacy and data protection by default and design”. No i nie można zapominać o zapewnieniu ciągłości działania (BCP), która zasługuje jednak na odrębny felieton.

Czytaj także: Czy o ochronie danych wiemy już wszystko? Forum Bezpieczeństwa Banków 2021

Szkolenia ICT dla wszystkich pracowników

Ważne jest przy tym jednak to, co zostało wskazane w art. 12 projektowanego rozporządzenia, czyli „uczenie się i rozwój”. Zgodnie z przepisem, podmioty finansowe mają dysponować zdolnościami i personelem (z poszanowanie zasady proporcjonalności), które mają zapewnić odpowiedni poziom bezpieczeństwa – to akurat jasne. Jednocześnie jednak jest też wyraźne podkreślenie, że:

„Podmioty finansowe w ramach swoich programów szkoleniowych dla personelu przygotowują obowiązkowe moduły obejmujące programy zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkolenia w zakresie operacyjnej odporności cyfrowej. Skierowane są one do wszystkich pracowników oraz do kadry kierowniczej wyższego szczebla”.

Widać wyraźnie, że to człowiek nadal jest najważniejszym elementem – nie ze względu na jego zdolność do tworzenia zabezpieczeń, ale jego podatność na fraudy. Nie oznacza to oczywiście, że pozostałe (stanowiące znaczną większość przepisów) obszary są mniej istotne. To one stanowią przecież – najczęściej – pierwszą linię obrony przed atakami.

Z drugiej strony nawet najsilniejsze zabezpieczenia i wiedza na temat najnowszych zagrożeń nie zabezpieczy nas przed wyciekiem (intencjonalnym czy nie) danych od pracownika odpowiedzialnego za dany obszar. A takiego pracownika przecież stosunkowo łatwo podejść.

Ludzka naiwność, brak świadomości różnych technik manipulacji czy po prostu nieuwaga, mogą doprowadzić do upadku najlepszych systemów zarządzania ICT

Zmierzam tutaj do tego, że nawet najbardziej restrykcyjne przepisy, wymogi, normy ISO czy infrastruktura przewyższająca epokę nie sprawdzi się, jeżeli nie będziemy edukować. Zarówno na wczesnych etapach rozwoju człowieka, jak i w kontekście samej pracy.

Ludzka naiwność, brak świadomości różnych technik manipulacji czy po prostu nieuwaga, mogą doprowadzić do upadku najlepszych systemów zarządzania ICT. Ważne wtedy jest oczywiście wyciągnięcie właściwych wniosków i podejmowanie dalszych działań zwiększających świadomość.

Tylko wtedy możemy czuć się nieco bardziej bezpieczni. Ale bez złudzeń – człowiek to tylko człowiek i błędy będą się zdarzały. Oby były najmniej dotkliwe.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: aleBank.pl