Raport Specjalny | IT@BANK 2022 – Dell Technologies | Realne wsparcie klientów w wyzwaniach związanych z zagrożeniem cybernetycznym
Jarosław Grochowski
Business Development Manager – Dell Technologies
Pierwsza europejska regulacja dotycząca cyberbezpieczeństwa została przyjęta przez Komisję Europejską w lipcu 2016 r. i była to dyrektywa NIS (ang. Network and Information Systems Directive). Dawała ona państwom członkowskim stosunkowo dużą swobodę w organizacji cyberbezpieczeństwa na własnym podwórku – w Polsce zaimplementowano zapisy tej dyrektywy w ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC). W czasach tak szybkiego rozwoju technologicznego i przemysłowego sześć lat to bardzo dużo. Nic więc dziwnego, że od ponad dwóch lat Komisja Europejska pracuje nad rewizją i dostosowaniem NIS do obecnych i przyszłych wyzwań.
Bezdyskusyjnie priorytet pracom w tym obszarze nadała pandemia COVID-19, która znacznie przyspieszyła cyfryzację, w tym popularyzację i rozwój usług chmurowych, zwiększyła znaczenie dostawców usług cyfrowych na rynku oraz uwypukliła konieczność uwzględnienia bezpieczeństwa łańcuchów dostaw. Na rewizję wpłynęło także niedoszacowanie liczby krytycznych pod względem cyberbezpieczeństwa sektorów gospodarki. Wprowadzenie nowej klasyfikacji i dodanie do listy wielu nowych podmiotów ma wpłynąć na poprawę bezpieczeństwa w UE i wiedzy CSIRT (ang. Computer Security Incident Response Team) na temat ogólnego poziomu cyberbezpieczeństwa. Dyrektywa NIS2 ma też skłonić instytucje państw członkowskich do bardziej skrupulatnego nakładania kar na przedsiębiorstwa, które nie wywiązują się z nałożonych obowiązków przez dyrektywę NIS (w Polsce poprzez ustawę o KSC).
Sektor finansowy wymaga szybkiego reagowania – wdrożeń kryzysowych i usprawnień – aby móc odeprzeć ataki hybrydowe, ransomware, czy zapewnić ciągłość działania w obliczu ograniczeń energetycznych – co gwarantuje zaufany i wszechstronny partner technologiczny.
Duże zmiany w europejskim prawie o cyberbezpieczeństwie
Choć sektor finansowy podlegał przepisom europejskiego prawa o cyberbezpieczeństwie od samego początku, to teraz również musi przygotować się na duże zmiany. NIS2 wprowadza zasadę size-cap, która sprowadza się do tego, że w zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem dyrektywy. Oznacza to, że organy właściwe ds. bezpieczeństwa nie będą wyznaczały podmiotów, które podlegają pod dyrektywę, a co za tym idzie – ustawę o KSC. Zniknie procedura związana z decyzją administracyjną i wszystkie podmioty, które są dużymi i średnimi przedsiębiorstwami, z automatu znajdą się w jej w zakresie prawnym. Co więcej, nie będzie odpowiednika usług kluczowych, a podmioty niezbędne będą miały obowiązek zapewnienia bezpieczeństwa teleinformatycznego dla wszystkich świadczonych przez siebie usług, a nie tak jak dotąd – tych wskazanych przez organy właściwe ds. cyberbezpieczeństwa, jako kluczowe.
Dedykowanym dla sektora finansowego rozporządzeniem regulującym zakres bezpieczeństwa operacyjnego i finansowego jest DORA (ang. Digital Operation Resilience Act). Rozporządzenie obejmuje działalność kluczowych podmiotów finansowych, takich jak banki, instytucje płatnicze i kredytowe oraz firmy ubezpieczeniowe i inwestycyjne, ale również tych mniej znaczących, przykładowo są to dostawcy usług w branży kryptowalut czy finansowania społecznościowego. Najbardziej restrykcyjne i wymagające wytyczne dotyczą jednak przede wszystkim tych pierwszych. Nie chodzi już tylko o zapewnienie wysokiej ochrony cybernetycznej, ale o zwiększenie odporności na wszelkie zakłócenia, zagrożenia powiązane z atakami terrorystycznymi czy hybrydowymi, a także wzmocnienie strategii przeciwdziałania niechcianym incydentom. Taki kształt przepisów wskazuje, że z perspektywy unijnej kluczowe jest zagwarantowanie ciągłości i jakości usług świadczonych przez instytucje finansowe oraz zwiększenie ich kompetencji związanych z zarządzaniem ryzykiem ICT.
W DORA można wyróżnić pięć filarów, na których opiera się to rozporządzenie:
- Zarządzanie ryzykiem ICT;
- Zgłaszanie incydentów teleinformatycznych;
- Obowiązkowe i regularne cyfrowe testy odporności operacyjnej, przeprowadzane przez niezależne podmioty;
- Udostępnianie przez podmioty finansowe oraz strony trzecie (TPP) informacji i danych wywiadowczych na temat: alertów bezpieczeństwa, zagrożeń i metod ich wykrywania, taktyk i procedur;
- Zarządzanie ryzykiem stron trzecich (TPP) w zakresie ICT.
DORA na nowo definiuje rolę zewnętrznych dostawców usług ICT i ściśle reguluje zasady współpracy z vendorami. Rozporządzenie podkreśla znaczenie ustaleń na wszystkich etapach zawierania umów, w tym kompleksowe i szczegółowe opisy świadczonych usług oraz ich funkcji, czy spełnienie przez dostawców wymagań określonych w DORA.
Zasady odpowiedzialności kierownictwa i kary finansowe
Nadrzędną, wprowadzaną w ramach DORA zasadą jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie, wdrożenie i nadzorowanie ram zarządzania ryzykiem związanym z ICT. Przejawia się to w szczególności w obowiązku opracowania i zatwierdzenia odpowiednich polityk, ustalenia ról i obowiązków związanych z ICT, określenia poziomu tolerancji ryzyka związanego z ICT, zatwierdzenia planów audytu oraz kontrolowania ustaleń dotyczących zewnętrznych dostawców usług ICT.
Zmianą, która budzi najwięcej emocji, jest wprowadzenie w ramach dyrektywy NIS2 odpowiedzialności finansowej zarządów firm niewywiązujących się z nałożonych przez dyrektywę obowiązków, która może wynosić nawet 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.
Renomowany usługodawca ICT to TAKŻE gwarant bezpieczeństwa
Nowe regulacje wprowadzane przez organy europejskie oznaczają, że już na etapie wyboru dostawcy usług ICT i podpisywania umów podmioty sektora finansowego będą musiały ocenić ryzyko związane z cyberbezpieczeństwem, a później na bieżąco monitorować zgodność zachowania szeregu wymagań w nich określonych. Kluczowy więc wydaje się wybór dostawcy o szerokich, a równocześnie specjalistycznych kompetencjach, z dobrze zabezpieczonym własnym łańcuchem dostaw, najlepiej na poziomie globalnym. Samo rozumienie przez vendora nowych wyzwań, przed którymi stają klienci, to za mało. W obliczu rozszerzenia i uszczegółowienia regulacji wyjątkowo cenna będzie baza wiedzy i wysoki poziom doświadczenia, które cechują usługodawców ICT od lat obsługujących rynki finansowe.
Dell Technologies jako jeden z największych dostawców innowacyjnych rozwiązań ICT na bieżąco śledzi zmiany legislacyjne, które wpływają na biznes. Już dzisiaj jesteśmy gotowi, aby wesprzeć instytucje finansowe w procesach, które mają na celu osiągnięcie oczekiwanego przez nie poziomu cyberbezpieczeństwa, co jest tożsame ze spełnieniem wymogów regulacyjnych. Przygotowaliśmy katalog produktów i usług gotowych do wdrożenia niezależnie od tego, kiedy dokładnie zaczną obowiązywać nowe przepisy. Na szczególne wyróżnienie zasługuje tzw. Cyfrowy Bunkier, czyli Dell PowerProtect Cyber Recovery. Jest to jedyne w swoim rodzaju, kompleksowe rozwiązanie, które umożliwia wykrycie przypadku skutecznego ataku hakerskiego typu ransomware. A jeśli taki incydent wystąpi, jest w stanie zapewnić ciągłość działania i bezpieczeństwo informacji.
O unikatowości Dell PowerProtect Cyber Recovery przesądza sztuczna inteligencja, która w procesie analizy danych proaktywnie wykrywa potencjalne zagrożenia czy nieprawidłowości. W ramach Cyfrowego Bunkra zapewniamy także tak zwaną trzecią kopię np. zlokalizowaną w kolejnym Data Center lub u któregoś z dostawców usług chmurowych. W tym rozwiązaniu gwarantujemy w pełni galwaniczną izolację od sieci produkcyjnej, a dane w nim przechowywane są objęte polityką niezmienności.
Drugim, wydaje się, że nadal trochę niedocenianym w polskich instytucjach finansowych rozwiązaniem, jest Varonis. Jest to narzędzie do egzekwowania polityki bezpieczeństwa, które pozwala również klasyfikować dane pod kątem RODO, PCI DSS oraz chronić dane i zarządzać dostępem. Dzięki bieżącemu prowadzeniu analizy danych, aktywności użytkowników oraz ich zachowań, system Varonis w sposób zautomatyzowany wykrywa, klasyfikuje oraz blokuje dostęp do danych, co do których istnieje podejrzenie ataku cyfrowego. Zarówno zewnętrznego, jak i – co bardzo ważne – wewnętrznego. Ponadto system pozwala na bieżąco audytować uprawnienia użytkowników, raportować statystyki oraz trendy i wykonywać symulacje zmiany dostępów w środowisku. Varonis chroni instytucje wykorzystujące rozwiązania własne i chmurowe, np.: Microsoft 365, Salesforce, Jira, Zoom, systemy plikowe itd.
Cyfrowy Bunkier i Varonis to tylko dwa z wielu dostępnych rozwiązań, które odpowiadają na aktualne potrzeby instytucji finansowych, spełniając także wymogi nadchodzących zmian regulacyjnych. Mimo że unijne rozporządzenia wejdą w życie najwcześniej w 2023 r., jako lider branżowy staramy się być na bieżąco i realnie wspierać naszych klientów w wyzwaniach związanych z zagrożeniem cybernetycznym, które jest niezaprzeczalnie największe w historii. Nie obce są nam również wyzwania związane z optymalizacją zużycia energii środowisk ICT. Tutaj możemy pochwalić się wynikami sięgającymi w określonych warunkach i obszarach powyżej 50% oszczędności.