Wprowadzenie silnego, wieloskładnikowego (MFA) powinno stanowić pierwszy krok w spełnianiu wymagań przepisów DORA (Digital Operational Resilience Act), które weszły w życie na początku tego roku. Ważne jednak, żeby wdrożenia MFA oparte były na najskuteczniejszych metodach i obejmowały wszystkie aplikacje w organizacji. Tylko kompleksowa implementacja MFA jest w stanie zapewnić bezpieczeństwo i skuteczną ochronę użytkownika w sieci, którą na co dzień do pracy wykorzystują instytucje finansowe i firmy należące do tego sektora gospodarki.
Rozporządzenie DORA, znane również jako rozporządzenie (UE) 2022/2554, zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej 27 grudnia 2022 r. i oficjalnie w życie weszło 16 stycznia 2023 r. Firmy i organizacje zobowiązane do przestrzegania przepisów DORA mają dwa lata na przygotowanie się do nowych wymagań, czyli do 17 stycznia 2025 r.
Szwajcarska firma Cyber Risk, specjalizująca się w szkoleniach związanych z wprowadzaniem przepisów DORA w organizacjach, podkreśla, że regulacje te dotyczą krytycznych dostawców usług związanych z technologiami informacyjno-komunikacyjnymi (ICT) dla instytucji finansowych. Tworzą one ramy regulacyjne dotyczące odporności operacyjnej w środowisku cyfrowym, w których wszystkie firmy muszą upewnić się, że są w stanie przetrwać różne rodzaje zakłóceń i zagrożeń związanych z ICT, reagować na nie i odpowiednio je usuwać.
Na skróty:
Czy przepisy DORA są ryzykiem czy też szansą dla banków?
To pytanie pojawia się często. Jednak zapewnienie odporności operacyjnej w środowisku cyfrowym nie jest dla nikogo przecież nowym wyzwaniem. Prawdą jednak jest, że teraz, gdy regulacje dotyczące tego obszaru są wprowadzane przez organy nadzoru, podejmowane działania zwiększają świadomość istniejących zagrożeń.
W sektorze bankowym istnieje wiele pozytywnych opinii na temat określania konkretnych terminów w przepisach, które wymagają podjęcia odpowiednich działań. Dzięki temu zasoby są skierowane na zmiany w procedurach i w ogólnym bezpieczeństwie. Na przykład, w bankach spółdzielczych oznacza to większe zaangażowanie zrzeszeń, a w przypadku banków komercyjnych – wzmożoną współpracę w zakresie wymiany informacji w sektorze.
– DORA stanowi część strategii cyberbezpieczeństwa Unii Europejskiej, która została stworzona w celu ułatwienia współpracy na poziomie europejskim – mówi Tomasz Kowalski, CEO w Secfense. – Firmy i organizacje dostały dużo czasu na przygotowanie się do tych przepisów. Mam nadzieję, że wykorzystają go na przemyślane ruchy, a nie zostawią działań w tym kierunku na sam koniec.
Najpierw MFA
Od czego zacząć przygotowania do wprowadzenia wymogów DORA?
Pierwszym krokiem powinno być wprowadzenie silnego, wieloskładnikowego uwierzytelniania (MFA). Ważne jednak, żeby wdrożenie MFA oparte było na najskuteczniejszych metodach i obejmowało wszystkie aplikacje w organizacji. Tylko kompleksowa implementacja MFA jest w stanie zapewnić bezpieczeństwo i skuteczną ochronę użytkownika w sieci.
Łatwo powiedzieć, gorzej wykonać. Technologię, która ma szansę rozwiązać problem trudnej adopcji MFA wprowadziła firma Secfense, która opracowała technologię User Access Security Broker. Broker bezpieczeństwa Secfense umożliwia wdrożenie MFA na dowolnej aplikacji w 5 minut oraz wprowadzenie MFA w całej organizacji w 7 dni.
– Na rynku nie brakuje rozwiązań MFA, ale do tej pory nikt nie zaproponował sposobu pozwalającego na zaaplikowanie ich do wielu aplikacji i systemów łatwo, szybko i w dużej skali – dodaje Tomasz Kowalski. – Nam się to udało. Broker Secfense odpowiada na wiele bolączek dużych firm w zakresie bezpieczeństwa. Łączy ze sobą wiele rozsypanych do tej pory puzzli w postaci różnych systemów i porządkuje je, tworząc wirtualną warstwę ochronną.
Rozwiązanie Secfense nie wymaga skomplikowanych, czasochłonnych wdrożeń i gigantycznych budżetów. Jej unikalnym know-how jest umiejętność mądrego łączenia i systematyzowania tego, co firmy już u siebie mają, tak żeby MFA pokryło całą organizację, a nie tylko jej kawałek. Technologia Secfense umożliwia łatwe wdrożenie dowolnego MFA (w tym także najskuteczniejszego dziś FIDO2) na każdej aplikacji bez ingerencji w jej kod.
7-14 dni
Krzysztof Góźdź, odpowiedzialny za sprzedaż i współpracę z partnerami w Secfense, podkreśla:
– Z brokerem Secfense zabezpieczenie dowolnej aplikacji trwa 5 minut, a cała firma może być zabezpieczona w przeciągu średnio 7-14 dni. To radykalna zmiana w porównaniu z tradycyjnym podejściem do adopcji mechanizmów uwierzytelniania, które zwykle ciągnęło się miesiącami.
Ważną zaletą User Access Security Broker jest to, że można dostosować go do specyficznych potrzeb każdej firmy, która chce chronić skutecznie swoje aplikacje. Jego wyróżnikiem jest też możliwość pracy wewnątrz serwerowni zabezpieczanej organizacji. Dzięki temu nie musi ona przekazywać swoich wrażliwych danych o pracownikach, partnerach czy klientach do żadnego operatora chmurowego.
Podstawowym celem DORA jest zapewnienie, że instytucje finansowe będą miały skuteczne procedury i mechanizmy zarządzania ryzykiem cybernetycznym, a także gotowość do reagowania na incydenty cybernetyczne. Polskie banki i instytucje finansowe są ważnym podmiotem w budowaniu odporności cyfrowego unijnego systemu finansowego. Dlatego tak istotne jest, żeby dobrze przygotowały się do wymaganych zmian w przepisach.