Raport Specjalny | Bezpieczny Bank | Implementacja DORA wcale nie będzie prosta

Rozporządzenie to weszło w życie 16 stycznia 2023 r. Analitycy z Norton Rose Fulbrigh zwracają uwagę, że reforma regulacyjna usług finansowych po 2008 r. koncentrowała się głównie na wzmocnieniu odporności finansowej sektora i jako taka zagrożeń związanych z technologiami informacyjno-komunikacyjnymi (ICT) dotyczyła jedynie marginalnie. Podstawowym zaś zamiarem Komisji Europejskiej związanym z DORA było wyeliminowanie luk w europejskim prawodawstwie sektorowym dotyczącym usług finansowych, które do tej pory tylko częściowo zajmowały się odpornością operacyjną. Szczególne znaczenie ma tu włączenie w zakres zainteresowania europejskiego nadzoru zewnętrznych dostawców usług ICT uznanych za ważnych.

Rozporządzeniu DORA towarzyszy dyrektywa (UE) 2022/2556, która również zmienia inne wybrane akty prawne (2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, UE 2015/2366 i UE 2016/2341) oraz dotyczące europejskich usług finansowych, w tym MiFID II, w zakresie przepisów o operacyjnej odporności cyfrowej.

Ataków ci u nas dostatek

Jak podaje PwC, DORA znajdzie zastosowanie w ponad 22 tys. instytucji finansowych w całej Unii Europejskiej. Choć wymagania rozporządzenia to dla sektora finansowego i jego dostawców ICT kolejny wymóg regulacyjny, który trzeba będzie spełnić, to nie ma wątpliwości, że takie przepisy są niezbędne. Szybko bowiem rośnie liczba ­cyberataków skierowanych na europejskie usługi finansowe. Jak informuje ­Douglas Blakey, w artykule opublikowanym 29 września 2023 r. w „Retail Banker International”, usługi finansowe wyprzedzają gry jako główny cel ataków DDoS, tak przynajmniej wynika z badań przeprowadzonych przez firmę Akamai, dostawcę chmury i cyberbezpieczeństwa. Ataki na europejskie banki, które są sojusznikami Ukrainy, są motywowane finansowo i politycznie przez zwolenników wojny rosyjsko-ukraińskiej. To – zdaniem ekspertów – główna przyczyna wzrostu liczby ataków w regionie EMEA.

Usługi finansowe są trzecim najbardziej zagrożonym wektorem w regionie Europy, Bliskiego Wschodu i Afryki (EMEA). Odnotowano około miliarda ataków na aplikacje internetowe i API – to wzrost o 119% rok do roku, porównując drugie kwartały 2022 i 2023 r. Od stycznia 2022 r. do czerwca 2023 r. dokonano 1466 akcji DDoS na usługi finansowe w regionie EMEA, ataków na wszystkie branże w regionie było w tym czasie 2590.

Z wyspy na wyspę

Co istotne, zdaniem ekspertów firmy Blaze, butikowego dostawcy testów penetracyjnych, ataki na łańcuch dostaw mogą stanowić poważne zagrożenie dla banków oraz instytucji finansowych, które często mają liczne powiązania z innymi podmiotami, takimi jak firmy ubezpieczeniowe, sprzedawcy, usługodawcy czy inne banki. Wynika to choćby ze stosowanej przez cyberprzestępców metody ataku – tzw. przeskakiwania między wyspami (island hopping), czyli strategii cyberataku, w której atakujący infiltruje daną sieć, aby zaatakować inny, bardziej wartościowy cel.

Termin „skakanie po wyspach” obrazuje sposób, w jaki atakujący starają się przejść z jednego systemu (lub „wyspy”) do drugiego, aby ostatecznie osiągnąć swój cel. Atakując najpierw mniej bezpieczny system, można go bowiem wykorzystać jako platformę startową do infiltracji celu głównego. Przykłady takich akcji na łańcuch dostaw obejmują choćby kampanię cyberszpiegowską – przeprowadzoną przez hakerów sponsorowanych przez Chiny w ramach operacji Cloud Hopper oraz atak na Lattitude Financial w Australii. Zgodnie z raportem „VM’s Modern Bank Heists Report”, 60% organizacji finansowych zaobserwowało wzrost liczby ataków typu island hopping w 2022 r.