W dobie cyfryzacji, zarządzanie ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT) stało się kluczowym elementem strategii operacyjnej sektora finansowego. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 DORA oraz uzupełniające rozporządzenie delegowane Komisji (UE) 2024/1774 wprowadzają regulacyjne standardy techniczne, które mają na celu zapewnienie operacyjnej odporności cyfrowej. W niniejszym artykule omówimy kluczowe zasady, najlepsze praktyki oraz wyzwania związane z zarządzaniem ryzykiem ICT w sektorze finansowym.
Kluczowe informacje warte zapamiętania – Zarządzanie ryzykiem ICT w sektorze finansowym:
- Proporcjonalność i elastyczność w zarządzaniu ryzykiem ICT: Rozporządzenie delegowane Komisji (UE) 2024/1774 podkreśla, że podmioty finansowe mogą dostosować polityki, procedury i narzędzia bezpieczeństwa ICT do swojej wielkości, struktury i złożoności, wykorzystując posiadaną dokumentację do spełnienia wymogów.
- Testowanie planów ciągłości działania: Podmioty finansowe powinny regularnie testować i aktualizować plany ciągłości działania w zakresie ICT, aby być przygotowanymi na zakłócenia i szybko przywrócić krytyczne funkcje, uwzględniając scenariusze przełączania się na nadmiarowe zdolności, kopie zapasowe i urządzenia redundantne.
- Współpraca z zewnętrznymi dostawcami usług ICT: Podmioty finansowe muszą monitorować działania zewnętrznych dostawców usług ICT, zapewniając ich zgodność z politykami bezpieczeństwa oraz stosując spójne i przejrzyste ramy zarządzania podatnościami przy użyciu wiarygodnych zasobów i zautomatyzowanych narzędzi..
Transformacja cyfrowa w branży finansowej a narastające cyberzagrożenia
Współczesny sektor finansowy charakteryzuje się dynamiczną transformacją cyfrową, obejmującą szeroki zakres usług i procesów. Rozwój bankowości elektronicznej, płatności mobilnych, a także coraz powszechniejsze wykorzystanie technologii chmurowych i Big Data przynoszą szereg korzyści, takich jak zwiększona efektywność, obniżenie kosztów i lepsza dostępność usług dla klienta. Jednakże, równolegle z postępującą digitalizacją, obserwuje się rosnące zagrożenie cyberatakami, które mogą mieć poważne konsekwencje dla stabilności i reputacji instytucji finansowych, a także dla zaufania klienta.
W ostatnich latach odnotowano znaczący wzrost liczby cyberataków wymierzonych w instytucje finansowe. Przykłady obejmują ataki typu ransomware, kradzież danych, a także zaawansowane techniki socjotechniczne mające na celu wyłudzenie poufnych informacji. Skutki takich ataków mogą być dotkliwe, obejmując m.in.:
- Utratę danych: Utrata poufnych danych klientów, informacji finansowych lub danych operacyjnych może prowadzić do poważnych strat finansowych i uszczerbku na reputacji instytucji.
- Przerwy w działaniu: Atak typu DDoS lub ransomware może sparaliżować działanie systemów informatycznych, uniemożliwiając świadczenie usług klientom i prowadząc do strat finansowych.
- Uszczerbek na reputacji: Utrata zaufania klienta w następstwie cyberataku może mieć długofalowe konsekwencje dla instytucji finansowej.
W tym kontekście bezpieczeństwo ICT staje się fundamentalnym elementem budowania zaufania i stabilności sektora finansowego. Instytucje finansowe muszą priorytetowo traktować inwestycje w bezpieczeństwo ICT, aby skutecznie chronić swoje systemy, dane i reputację przed rosnącymi cyberzagrożeniami.
Zakres rozporządzeń obejmuje szeroki wachlarz podmiotów finansowych, od dużych banków, instytucji ubezpieczeniowych i funduszy inwestycyjnych po mniejsze firmy świadczące usługi finansowe. Kluczową zasadą jest proporcjonalność, co oznacza, że wymogi w zakresie bezpieczeństwa ICT są dostosowane do wielkości, struktury, organizacji wewnętrznej, charakteru i złożoności danego podmiotu finansowego oraz do odpowiadających mu ryzyk.
Rozporządzenia dają instytucjom finansowym pewną elastyczność w sposobie spełnienia wymogów. Na przykład, instytucje mogą wykorzystać posiadaną już dokumentację, dostosowując ją do nowych wytycznych.
Podstawowe zasady – zarządzanie ryzykiem ICT
Podstawą zarządzania bezpieczeństwem ICT jest przeprowadzenie kompleksowej oceny ryzyka, obejmującej identyfikację zagrożeń i podatności w odniesieniu do krytycznych lub istotnych funkcji, zasobów ICT i zasobów informacyjnych. Należy zidentyfikować i ocenić potencjalne skutki wystąpienia tych zagrożeń, uwzględniając wpływ na ciągłość działania, poufność, integralność i dostępność danych. Na podstawie wyników oceny ryzyka należy wdrożyć adekwatne środki bezpieczeństwa, proporcjonalne do zidentyfikowanego ryzyka. Kluczowe znaczenie ma ciągłe monitorowanie i doskonalenie strategii bezpieczeństwa w odpowiedzi na nowe zagrożenia i technologie.
Polityka zarządzania ryzykiem związanym z ICT powinna obejmować następujące elementy:
- Określenie poziomu tolerancji ryzyka: Ustalenie akceptowalnego poziomu ryzyka związanego z ICT.
- Procedura i metodyka oceny ryzyka: Identyfikacja i ocena podatności i zagrożeń, które wpływają lub mogą wpływać na systemy ICT i funkcje biznesowe.
- Środki traktowania ryzyka: Określenie i wdrożenie środków mających na celu zmniejszenie ryzyka do akceptowalnego poziomu.
- Zarządzanie ryzykiem rezydualnym: Identyfikacja, akceptacja i przegląd ryzyka, które pozostaje po wdrożeniu środków zaradczych.
- Monitorowanie: Ciągłe śledzenie zmian w ryzyku związanym z ICT i krajobrazie cyberzagrożeń.
- Uwzględnienie zmian w strategii biznesowej: Zapewnienie, że strategia zarządzania ryzykiem związanym z ICT jest zgodna z ogólną strategią biznesową.
Regulacyjne Standardy Techniczne RST w DORA
Rozporządzenie delegowane Komisji (UE) 2024/1774 uzupełnia rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 DORA, które wprowadza regulacyjne standardy techniczne dotyczące zarządzania ryzykiem związanym z ICT w sektorze finansowym. Celem tych standardów jest zapewnienie operacyjnej odporności cyfrowej poprzez ustanowienie narzędzi, metod, procesów i polityk, które są proporcjonalne do wielkości, struktury i złożoności podmiotów finansowych,
Proporcjonalność i elastyczność
Podmioty finansowe różnią się pod względem wielkości i złożoności, dlatego regulacje przewidują elastyczność w sposobie spełniania wymogów dotyczących polityk, procedur i narzędzi w zakresie bezpieczeństwa ICT. Podmioty mogą korzystać z posiadanej dokumentacji, aby spełnić wymogi dokumentacyjne, co pozwala na dostosowanie się do specyficznych potrzeb i ryzyk.
Wdrożenie i utrzymanie polityk
Podmioty finansowe muszą opracować, udokumentować i wdrożyć polityki bezpieczeństwa ICT, które uwzględniają wiodące praktyki i standardy branżowe. Ważne jest, aby przypisać odpowiednie zadania i obowiązki związane z bezpieczeństwem ICT oraz określić konsekwencje nieprzestrzegania tych polityk.
Zarządzanie zasobami ICT
Polityki i procedury powinny zapewniać monitorowanie stanu zasobów ICT przez cały ich cykl życia, co obejmuje zarządzanie pojemnością i wydajnością, zarządzanie podatnościami i poprawkami oraz bezpieczeństwo danych i systemów.
Szyfrowanie i kryptografia
Mechanizmy kontroli kryptograficznej są kluczowe dla zapewnienia dostępności, autentyczności, integralności i poufności danych. Podmioty finansowe powinny stosować elastyczne podejście oparte na analizie ryzyka, aby radzić sobie z dynamicznymi zmianami zagrożeń kryptograficznych.
Szyfrowanie danych jest fundamentalnym elementem ochrony poufności i integralności informacji. Instytucje finansowe powinny szyfrować dane przechowywane, w ruchu i w użyciu, wykorzystując silne, aktualne algorytmy szyfrowania. Kluczowe znaczenie ma bezpieczne zarządzanie kluczami kryptograficznymi, obejmujące generowanie, przechowywanie, dystrybucję i odnawianie kluczy.
Bezpieczeństwo operacji ICT
Oddzielenie środowisk produkcyjnych od środowisk rozwojowych i testowych jest kluczowym środkiem bezpieczeństwa, który zapobiega niezamierzonemu i nieuprawnionemu dostępowi do danych.
Uproszczone ramy zarządzania ryzykiem związanym z ICT
Uproszczone ramy zarządzania ryzykiem związanym z ICT mają na celu zapewnienie, że mniejsze podmioty finansowe mogą skutecznie zarządzać ryzykiem związanym z ICT, jednocześnie minimalizując obciążenia administracyjne. Dzięki tym ramom, podmioty te mogą lepiej chronić swoje zasoby i zapewniać ciągłość działania w obliczu zagrożeń związanych z ICT.
Podmioty finansowe objęte uproszczonymi ramami muszą posiadać wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne zarządzanie ryzykiem związanym z ICT. Organ zarządzający tych podmiotów ponosi ogólną odpowiedzialność za zapewnienie, że ramy te wspierają realizację strategii biznesowej i uwzględniają ryzyko związane z ICT.
Kluczowe elementy uproszczonych ram:
- Określenie poziomu tolerancji ryzyka: Podmioty muszą określić poziom tolerancji ryzyka w odniesieniu do ryzyka związanego z ICT, zgodnie ze swoją skłonnością do podejmowania ryzyka.
- Identyfikacja i ocena ryzyka: Należy zidentyfikować i ocenić ryzyko związane z ICT, na które narażony jest podmiot finansowy, oraz monitorować skuteczność strategii łagodzenia ryzyka.
- Zarządzanie zasobami ICT: Podmioty muszą monitorować cykl życia zasobów ICT i zarządzać nimi, w tym określać wymogi dotyczące pojemności i efektywności systemów ICT.
- Bezpieczeństwo fizyczne i środowiskowe: Środki bezpieczeństwa fizycznego muszą chronić obiekty i zasoby ICT przed nieuprawnionym dostępem i zagrożeniami środowiskowymi.
- Kontrola dostępu: Procedury kontroli dostępu muszą zapewniać, że dostęp do zasobów ICT jest przyznawany zgodnie z zasadami wiedzy koniecznej i minimalizacji uprawnień.
Kluczowe elementy zarządzania ryzykiem ICT
Kluczowe elementy zarządzania ryzykiem ICT obejmują zarządzanie zasobami, bezpieczeństwo danych i systemów, zarządzanie incydentami. Te elementy są niezbędne do zapewnienia operacyjnej odporności cyfrowej w sektorze finansowym.
Zarządzanie zasobami ICT
Zarządzanie zasobami ICT jest niezbędne do zapewnienia, że zasoby te są efektywnie wykorzystywane i chronione. Obejmuje to monitorowanie cyklu życia zasobów, prowadzenie ewidencji, zarządzanie wsparciem zewnętrznym oraz ocenę ryzyka związanego z ICT. Dzięki temu podmioty finansowe mogą lepiej chronić swoje zasoby i zapewniać ciągłość działania w obliczu zagrożeń związanych z ICT.
Polityka zarządzania zasobami ICT
Podmioty finansowe muszą opracować, udokumentować i wdrożyć politykę zarządzania zasobami ICT. Polityka ta powinna obejmować:
- Monitorowanie cyklu życia zasobów ICT: Zasoby ICT muszą być monitorowane od momentu ich identyfikacji i klasyfikacji aż do ich wycofania z eksploatacji.
- Ewidencja zasobów ICT: Podmioty finansowe powinny prowadzić szczegółową ewidencję zasobów ICT, która zawiera unikalne identyfikatory, lokalizację, klasyfikację, dane właścicieli oraz powiązania z funkcjami biznesowymi.
- Zarządzanie wsparciem zewnętrznym: Ważne jest monitorowanie dat końcowych usług wsparcia świadczonych przez zewnętrznych dostawców, aby zapewnić ciągłość wsparcia dla kluczowych zasobów.
Procedura zarządzania zasobami ICT
Podmioty finansowe muszą również opracować procedurę zarządzania zasobami ICT, która określa kryteria oceny krytyczności zasobów informacyjnych i zasobów ICT wspierających funkcje biznesowe. Ocena ta powinna uwzględniać:
- Ryzyko związane z ICT: Analiza ryzyka związanego z funkcjami biznesowymi i ich zależnościami od zasobów ICT.
- Wpływ utraty poufności, integralności i dostępności: Ocena, jak utrata tych elementów wpłynęłaby na procesy biznesowe i działania podmiotów finansowych.
Podstawowe aspekty zarządzania zasobami ICT
- Identyfikacja i klasyfikacja: Wszystkie zasoby ICT muszą być zidentyfikowane i sklasyfikowane zgodnie z ich krytycznością i rolą w organizacji.
- Zarządzanie połączeniami sieciowymi: Dokumentacja wszystkich połączeń sieciowych i przepływów danych jest niezbędna do zapewnienia bezpieczeństwa i zgodności z politykami bezpieczeństwa.
- Zarządzanie pojemnością i wydajnością: Procedury zarządzania pojemnością i wydajnością powinny zapewniać optymalizację działania systemów ICT oraz zgodność z celami biznesowymi.
Bezpieczeństwo danych i systemów ICT
Bezpieczeństwo danych i systemów ICT jest kluczowym elementem zarządzania ryzykiem w sektorze finansowym. Obejmuje ono szereg polityk i procedur mających na celu ochronę poufności, integralności i dostępności danych. W kontekście regulacyjnym, podmioty finansowe muszą wdrożyć odpowiednie środki, aby zapewnić, że ich dane i systemy są chronione przed nieuprawnionym dostępem, modyfikacją i utratą.
Podmioty finansowe muszą opracować, udokumentować i wdrożyć politykę bezpieczeństwa danych i systemów, która obejmuje:
- Ograniczenia dostępu: Wdrożenie środków ograniczających dostęp do danych i systemów ICT, co obejmuje kontrolę dostępu fizycznego i logicznego.
- Bezpieczna konfiguracja systemów: Określenie bezpiecznego poziomu bazowego konfiguracji zasobów ICT, co minimalizuje narażenie na cyberzagrożenia.
- Zarządzanie oprogramowaniem: Instalacja wyłącznie zatwierdzonego oprogramowania na systemach ICT i urządzeniach końcowych.
- Ochrona przed złośliwym kodem: Wdrożenie środków bezpieczeństwa przeciwko złośliwym kodom, aby zapobiec ich instalacji i rozprzestrzenianiu.
- Bezpieczne przechowywanie i przesyłanie danych: Używanie zatwierdzonych nośników danych, systemów i urządzeń końcowych do przechowywania i przesyłania danych.
- Zarządzanie urządzeniami końcowymi: Wdrożenie rozwiązań umożliwiających zdalne zarządzanie urządzeniami końcowymi i zdalne wyczyszczenie danych.
- Bezpieczne usuwanie danych: Proces bezpiecznego usuwania danych, które nie są już potrzebne, oraz wycofywania z eksploatacji urządzeń do przechowywania danych.
- Telepraca i prywatne urządzenia: Środki zapewniające, że telepraca i korzystanie z prywatnych urządzeń końcowych nie wpływają negatywnie na bezpieczeństwo ICT.
Kompleksowe zabezpieczenie danych i sieci informatycznych w instytucjach finansowych
Zabezpieczenie sieci informatycznych jest kluczowe dla ochrony przed nieautoryzowanym dostępem i atakami. Należy wdrożyć segmentację i segregację sieci, aby ograniczać rozprzestrzenianie się ataków. Zapory sieciowe i systemy IDS/IPS (Intrusion Detection System/Intrusion Prevention System) stanowią pierwszą linię obrony przed atakami z zewnątrz. Bezpieczna konfiguracja urządzeń sieciowych jest kluczowa dla eliminacji znanych podatności.
Regularne skanowanie w poszukiwaniu luk w zabezpieczeniach jest niezbędne dla identyfikacji i eliminacji potencjalnych słabości. Należy wykorzystać narzędzia do automatycznego wykrywania podatności, a także terminowo wdrażać poprawki bezpieczeństwa do oprogramowania i systemów. Priorytetowo należy traktować poprawki eliminujące krytyczne podatności.
Kontrola dostępu do systemów i danych jest kluczowa dla ochrony przed nieautoryzowanym dostępem i działaniami. Należy wdrożyć zasadę wiedzy koniecznej i minimalizacji uprawnień, ograniczając dostęp do niezbędnego minimum. Silne uwierzytelnianie, np. wieloskładnikowe, jest niezbędne dla zapewnienia bezpieczeństwa dostępu do systemów. Monitorowanie i rejestrowanie aktywności użytkowników pozwala na śledzenie działań i wykrywanie anomalii.
Zarządzanie incydentami ICT
Zarządzanie incydentami ICT jest niezbędne do zapewnienia, że podmioty finansowe są przygotowane na szybkie i skuteczne reagowanie na incydenty, co minimalizuje ich wpływ na działalność organizacji.
Polityka zarządzania incydentami ICT
Podmioty finansowe muszą opracować, udokumentować i wdrożyć politykę zarządzania incydentami związanymi z ICT, która obejmuje:
- Dokumentacja procesu zarządzania incydentami: Proces zarządzania incydentami powinien być szczegółowo udokumentowany, obejmując wszystkie etapy od wykrycia do rozwiązania incydentu.
- Wykaz osób kontaktowych: Należy sporządzić wykaz odpowiednich osób kontaktowych wewnętrznych i zewnętrznych, które są zaangażowane w kwestie związane z bezpieczeństwem operacji ICT.
- Mechanizmy wspierające proces zarządzania incydentami: Wdrożenie mechanizmów technicznych, organizacyjnych i operacyjnych, które wspierają proces zarządzania incydentami, w tym mechanizmy umożliwiające szybkie wykrywanie nietypowych działań.
- Przechowywanie dowodów: Dowody dotyczące incydentów muszą być przechowywane przez odpowiedni czas, proporcjonalnie do krytyczności funkcji biznesowych i zasobów ICT, których dotyczy incydent.
- Analiza incydentów: Mechanizmy analizy znaczących lub powtarzających się incydentów, które pozwalają na identyfikację wzorców i podstawowych przyczyn incydentów.
Wykrywanie nietypowych działań
Podmioty finansowe powinny jasno określić role i obowiązki w celu skutecznego wykrywania incydentów związanych z ICT i nietypowych działań oraz reagowania na nie. Mechanizmy te powinny umożliwiać:
- Gromadzenie i analizę danych: Zbieranie, monitorowanie i analizowanie czynników wewnętrznych i zewnętrznych, w tym rejestrów i informacji z funkcji biznesowych.
- Identyfikację nietypowych działań: Wdrożenie narzędzi generujących ostrzeżenia o nietypowych działaniach, szczególnie w odniesieniu do zasobów ICT wspierających krytyczne funkcje.
- Priorytetyzację ostrzeżeń: Priorytetowe traktowanie ostrzeżeń, aby umożliwić zarządzanie incydentami w oczekiwanym czasie rozwiązania.
- Rejestrowanie i ochronę danych: Rejestrowanie wszystkich istotnych informacji dotyczących nietypowych działań oraz ochrona tych danych przed manipulacją.
Kryteria wykrywania i reagowania
Podmioty finansowe powinny uwzględniać kryteria uruchamiania procesów wykrywania incydentów związanych z ICT i reagowania na nie, takie jak:
- Przesłanki świadczące o złośliwym działaniu w systemie ICT.
- Utrata danych dotycząca dostępności, autentyczności, integralności i poufności.
- Wpływ na transakcje i operacje podmiotu finansowego.
Zarządzanie projektami i zmianą w systemach ICT
Efektywne zarządzanie projektami ICT wymaga określenia celów, planowania, oceny ryzyka oraz testowania. Polityka zarządzania projektami ICT powinna obejmować wszystkie etapy projektów, od ich rozpoczęcia do zakończenia. Zmiany w systemach ICT powinny być dokładnie planowane, testowane i wdrażane w sposób kontrolowany, aby zapewnić ich zgodność z wymogami bezpieczeństwa.
Zarządzanie projektami ICT
Zarządzanie projektami ICT w sektorze finansowym wymaga starannego planowania, oceny ryzyka i testowania, aby zapewnić, że projekty są realizowane zgodnie z wymogami bezpieczeństwa i wspierają cele biznesowe. Polityka zarządzania projektami ICT powinna być integralną częścią strategii operacyjnej odporności cyfrowej podmiotu finansowego.
Podmioty finansowe muszą opracować, dokumentować i wdrażać politykę zarządzania projektami ICT, która obejmuje:
- Cele projektu ICT: Określenie jasnych celów projektu, które są zgodne z ogólną strategią biznesową i operacyjną odpornością cyfrową podmiotu finansowego.
- Zarządzanie projektem: Wyznaczenie ról i obowiązków w ramach projektu, co zapewnia odpowiedzialność i przejrzystość w realizacji projektu.
- Planowanie i harmonogram: Opracowanie szczegółowego planu projektu, który obejmuje ramy czasowe, etapy i kamienie milowe.
- Ocena ryzyka: Przeprowadzenie oceny ryzyka związanego z projektem ICT, aby zidentyfikować potencjalne zagrożenia i opracować strategie ich łagodzenia.
- Testowanie i zatwierdzanie: Wdrożenie procedur testowania wszystkich wymogów, w tym wymogów bezpieczeństwa, oraz odpowiedni proces zatwierdzania przed wdrożeniem systemu ICT w środowisku produkcyjnym.
Polityka zarządzania projektami ICT powinna zapewniać bezpieczną realizację projektów poprzez dostarczenie niezbędnych informacji i wiedzy fachowej z obszaru działalności lub funkcji, na które dany projekt ICT ma wpływ.
Zgodnie z oceną ryzyka projektu ICT, polityka powinna przewidywać konieczność informowania organu zarządzającego o ustanowieniu i postępach w realizacji projektów ICT mających wpływ na krytyczne lub istotne funkcje podmiotu finansowego oraz o związanym z nimi ryzyku.
Zarządzanie zmianą w systemach ICT
Zarządzanie zmianą w systemach ICT jest niezbędne do zapewnienia, że wszelkie modyfikacje są przeprowadzane w sposób kontrolowany i bezpieczny. Polityka zarządzania zmianą powinna obejmować weryfikację wymogów bezpieczeństwa, niezależność funkcji, jasne określenie ról i obowiązków, dokumentację, procedury awaryjne oraz zarządzanie zmianami awaryjnymi.
W sektorze finansowym, gdzie dane i systemy są szczególnie wrażliwe, zarządzanie zmianą ma na celu minimalizowanie ryzyka związanego z wprowadzaniem nowych funkcji, aktualizacji czy poprawek, które mogą wpływać na poufność, integralność i dostępność danych.
Podmioty finansowe muszą opracować, dokumentować i wdrażać politykę zarządzania zmianą w systemach ICT, która obejmuje:
- Weryfikacja wymogów bezpieczeństwa ICT: Każda zmiana musi być weryfikowana pod kątem zgodności z wymogami bezpieczeństwa ICT, aby zapewnić, że nie wprowadza nowych podatności.
- Niezależność funkcji: Funkcje odpowiedzialne za zatwierdzanie zmian powinny być niezależne od funkcji odpowiedzialnych za żądanie i wdrażanie tych zmian, co zapobiega konfliktom interesów.
- Opis ról i obowiązków: Jasne określenie ról i obowiązków w celu zapewnienia, że zmiany są odpowiednio planowane, testowane i wdrażane w sposób kontrolowany.
- Dokumentacja i komunikacja: Szczegółowa dokumentacja każdej zmiany, w tym jej cel, zakres, ramy czasowe i oczekiwane wyniki.
- Procedury awaryjne: Identyfikacja procedur awaryjnych i związanych z nimi obowiązków, w tym procedur przerywania zmian lub przywracania stanu sprzed zmian, które nie zostały pomyślnie wdrożone.
- Zarządzanie zmianami awaryjnymi: Procedury zarządzania zmianami awaryjnymi, które zapewniają odpowiednie zabezpieczenia i kontrolę.
- Ocena wpływu zmian: Ocena potencjalnego wpływu zmiany na istniejące środki bezpieczeństwa ICT oraz określenie, czy zmiana wymaga przyjęcia dodatkowych środków bezpieczeństwa.
Po wprowadzeniu znaczących zmian w systemach ICT, podmioty finansowe powinny przeprowadzać rygorystyczne testy, symulując warunki skrajne, aby upewnić się, że zmiany nie wpłyną negatywnie na operacyjną odporność cyfrową.
Ciągłość działania i odporność operacyjna
Zapewnienie ciągłości działania w przypadku awarii lub cyberataku jest kluczowe dla stabilności instytucji finansowej. Należy opracować plany awaryjne i przywracania sprawności, które zapewnią ciągłość krytycznych lub istotnych funkcji. Regularne testowanie tych planów jest niezbędne dla weryfikacji ich skuteczności i identyfikacji potencjalnych słabości.
Podmioty finansowe powinny opracować strategie ciągłości działania, które uwzględniają potencjalne scenariusze zakłóceń. Plany ciągłości działania powinny być regularnie testowane i aktualizowane w oparciu o wyniki testów i zmieniające się zagrożenia. Testowanie planów ciągłości działania powinno obejmować scenariusze przełączania się z głównej infrastruktury ICT na nadmiarowe zdolności.
Strategie ciągłości działania w zakresie ICT
Strategie ciągłości działania w zakresie ICT są kluczowym elementem zarządzania ryzykiem w sektorze finansowym. Ich celem jest zapewnienie, że podmioty finansowe mogą utrzymać operacyjną odporność cyfrową i szybko przywrócić normalne funkcjonowanie po wystąpieniu zakłóceń.
Elementy strategii ciągłości działania
- Opis celów i zakresu: Strategie powinny jasno określać cele związane z ciągłością działania w zakresie ICT, w tym wzajemne powiązania między ICT a ogólną ciągłością działania. Powinny uwzględniać wyniki analizy wpływu na działalność (BIA).
- Zarządzanie i organizacja: Strategie muszą zawierać przepisy dotyczące zarządzania i organizacji, w tym ról, obowiązków i procedur eskalacji, aby zapewnić dostępność wystarczających zasobów.
- Dostosowanie do planów ciągłości działania: Strategie powinny być dostosowane do ogólnych planów ciągłości działania, uwzględniając potencjalne scenariusze awarii i cele związane z przywracaniem sprawności.
- Opracowywanie i testowanie planów: Strategie muszą obejmować opracowywanie, testowanie i przegląd planów reagowania i przywracania sprawności ICT.
- Przegląd i aktualizacja: Strategie powinny być regularnie przeglądane i aktualizowane w oparciu o wyniki testów, incydentów oraz zmieniające się zagrożenia i cele.
Scenariusze i testowanie
Podmioty finansowe powinny uwzględniać zestaw scenariuszy, które mogą wpływać na ich działalność, w tym:
- Cyberataki i awarie infrastruktury ICT.
- Scenariusze związane z niewypłacalnością zewnętrznych dostawców usług ICT.
- Poważne awarie zasobów ICT lub infrastruktury łączności.
Testowanie planów ciągłości działania w zakresie ICT
Sprawdzanie planów ciągłości działania w obszarze ICT jest kluczowe, aby zagwarantować, że instytucje finansowe są gotowe na różne zakłócenia i potrafią szybko przywrócić normalne działanie swoich istotnych funkcji. Regularne przeprowadzanie testów oraz dostosowywanie planów na podstawie ich wyników i zmieniających się zagrożeń jest niezbędne do utrzymania operacyjnej odporności cyfrowej.
- Analiza wpływu na działalność (BIA) i ocena ryzyka ICT: Testowanie planów powinno uwzględniać analizę wpływu na działalność oraz ocenę ryzyka związanego z ICT, aby zidentyfikować potencjalne zagrożenia i ich wpływ na krytyczne funkcje.
- Scenariusze testowe: Testy powinny być przeprowadzane na podstawie scenariuszy, które symulują potencjalne zakłócenia, w tym pesymistyczne, ale prawdopodobne scenariusze. Scenariusze te powinny obejmować zarówno wewnętrzne, jak i zewnętrzne zagrożenia.
- Testowanie usług zewnętrznych: W przypadku podmiotów finansowych innych niż mikroprzedsiębiorstwa, testowanie powinno obejmować usługi ICT świadczone przez zewnętrznych dostawców, aby upewnić się, że są one w stanie wspierać ciągłość działania.
- Przełączanie na nadmiarowe zdolności: Testy powinny obejmować scenariusze przełączania się z głównej infrastruktury ICT na nadmiarowe zdolności, kopie zapasowe i urządzenia redundantne, aby ocenić ich skuteczność.
- Weryfikacja zdolności reagowania: Testowanie powinno obejmować weryfikację zdolności personelu, systemów ICT i usług ICT do odpowiedniego reagowania na scenariusze zakłóceń.
Podmioty finansowe muszą dokumentować wyniki testowania, analizować wszelkie niedoskonałości i zgłaszać je organowi zarządzającemu. Wszelkie stwierdzone niedoskonałości powinny być eliminowane, a plany ciągłości działania aktualizowane w oparciu o wyniki testów.
Współpraca z zewnętrznymi dostawcami usług ICT
Współpraca z zewnętrznymi dostawcami usług ICT niesie ze sobą ryzyko związane z bezpieczeństwem. Należy starannie selekcjonować dostawców, weryfikując ich bezpieczeństwo i procedury. Jasne umowy SLA (Service Level Agreement) powinny określać odpowiedzialność w zakresie bezpieczeństwa ICT. Monitorowanie i audyt bezpieczeństwa dostawców jest kluczowe dla zapewnienia ciągłości bezpieczeństwa. Ważne jest, aby zewnętrzni dostawcy usług ICT byli zaangażowani w testowanie planów ciągłości działania.
Kluczowe elementy współpracy:
- Identyfikacja i ocena ryzyka: Podmioty finansowe muszą identyfikować i oceniać ryzyko związane z korzystaniem z usług zewnętrznych dostawców ICT, szczególnie w kontekście krytycznych lub istotnych funkcji.
- Zarządzanie umowami i zobowiązaniami: Umowy z zewnętrznymi dostawcami powinny jasno określać poziomy usług, wymogi bezpieczeństwa oraz odpowiedzialność za zarządzanie ryzykiem związanym z ICT.
- Monitorowanie i przegląd: Podmioty finansowe muszą regularnie monitorować i przeglądać działania zewnętrznych dostawców, aby zapewnić zgodność z ustalonymi standardami i wymogami.
- Zarządzanie zależnościami i współzależnościami: Ważne jest, aby podmioty finansowe identyfikowały i zarządzały zależnościami oraz współzależnościami z zewnętrznymi dostawcami, szczególnie w kontekście infrastruktury krytycznej.
- Zarządzanie ryzykiem związanym z dostawcami: Podmioty finansowe powinny wdrażać środki techniczne i organizacyjne, aby minimalizować ryzyko związane z infrastrukturą wykorzystywaną przez zewnętrznych dostawców.
Rozporządzenie delegowane Komisji (UE) 2024/1774 nakłada na podmioty finansowe obowiązek zapewnienia, że zewnętrzni dostawcy usług ICT przestrzegają spójnych, przejrzystych i odpowiedzialnych ram zarządzania podatnościami. Podmioty finansowe muszą również monitorować podatności w obszarze ICT przy użyciu wiarygodnych zasobów i zautomatyzowanych narzędzi.
Edukacja i szkolenia – budowanie świadomości bezpieczeństwa
Kluczowym elementem skutecznego systemu bezpieczeństwa ICT jest budowanie silnej kultury bezpieczeństwa w organizacji. Szkolenia dla pracowników z zakresu polityk bezpieczeństwa, rozpoznawania zagrożeń i bezpiecznych praktyk są niezbędne dla zwiększenia świadomości i odpowiedzialności. Programy zwiększania świadomości, obejmujące kampanie informacyjne, symulacje ataków phishingowych i inne interaktywne metody, pomagają utrwalić wiedzę i budować dobre nawyki. Specjalistyczne certyfikaty z zakresu bezpieczeństwa ICT podnoszą kompetencje i kwalifikacje pracowników odpowiedzialnych za bezpieczeństwo systemów i danych.
Współpraca jako klucz do skutecznej obrony
W dobie rosnących cyberzagrożeń współpraca jest kluczowa dla skutecznej ochrony. Wymiana informacji o zagrożeniach, atakach i dobrych praktykach między instytucjami finansowymi pozwala na szybsze reagowanie na incydenty i budowanie wspólnej odporności. Współpraca z organami regulacyjnymi jest niezbędna dla zgłaszania incydentów, konsultacji w sprawie nowych regulacji i budowania ram prawnych sprzyjających bezpieczeństwu. Partnerstwo publiczno-prywatne, obejmujące współpracę z organami ścigania i agencjami bezpieczeństwa, jest kluczowe dla zwalczania cyberprzestępczości i ścigania sprawców ataków.
Przyszłość bezpieczeństwa ICT: Wyzwania i trendy
Zarządzanie ryzykiem związanym z ICT w sektorze finansowym jest złożonym procesem, który wymaga uwzględnienia wielu aspektów, od zarządzania zasobami po ciągłość działania. Kluczowe jest, aby podmioty finansowe stosowały się do regulacyjnych standardów technicznych i najlepszych praktyk, aby zapewnić bezpieczeństwo i odporność operacyjną.
Przyszłość bezpieczeństwa ICT w sektorze finansowym będzie kształtowana przez dynamicznie rozwijające się technologie, nowe rodzaje ataków i ewoluujące regulacje. Rozwój technologii takich jak chmura obliczeniowa, sztuczna inteligencja i blockchain niesie ze sobą zarówno nowe możliwości, jak i wyzwania w zakresie bezpieczeństwa. Nowe rodzaje ataków, wykorzystujące zaawansowane techniki, wymagają ciągłego dostosowywania strategii bezpieczeństwa. Regulacje przyszłości będą musiały nadążać za dynamicznie zmieniającym się krajobrazem zagrożeń i technologii. Instytucje finansowe muszą monitorować trendy legislacyjne i przygotować się do wdrażania nowych przepisów.