Cyberbezpieczeństwo i cyberodporność mają znaczenie dla każdej instytucji, niezależnie od branży. W przypadku usług finansowych i ich zewnętrznych dostawców, unijne Rozporządzenie o cyfrowej odporności operacyjnej (Digital Operational Resilience Act – DORA) jest jedną z nowych regulacji. Każda z nich ma na celu standaryzację podejścia do cyberbezpieczeństwa, cyberodporności i obowiązków w zakresie ładu korporacyjnego.
Oczekuje się, że rozporządzenie DORA podniesie poziom bezpieczeństwa systemowego i odporności w sektorze usług finansowych – zwłaszcza, że obejmie ono podmioty i firmy w ich łańcuchach dostaw, które nie były wcześniej objęte przepisami dotyczącymi cyberbezpieczeństwa. Zewnętrzni dostawcy dla wielu instytucji finansowych objętych regulacjami, tacy jak Kyndryl, również ich oczekują i intensywnie przygotowują się z klientami. Ponadto, chociaż DORA koncentruje się na odporności, w rozporządzeniu zawarto także ważne aspekty związane z cyberbezpieczeństwem, co wzmocni standardy zarządzania ryzykiem i testów odporności operacyjnej wśród podmiotów finansowych.
Statystyki pokazują, że sektor finansowy jest atrakcyjnym celem cyberataków. W 2022 r. na całym świecie doszło do 477 wycieków danych[1] i 1829 incydentów, które stworzyły ryzyko takiego wycieku. Choć może się wydawać, że to niewiele, średni koszt wycieku w tym sektorze wynosi 6 milionów dolarów[2]. A mówimy tylko o wykrytych i zgłoszonych incydentach. Rzeczywista liczba jest prawdopodobnie znacznie wyższa.
– Rozporządzenie DORA nie powinno być traktowane jako przymus, ale jako szansa. Branża finansowa musi nadążać za zmieniającym się krajobrazem technologicznym i cyfrowym. Warto zauważyć, że organizacje trzeciego sektora, które są szczególnie narażone na cyberataki, już zmierzają w tym kierunku. Często nie mają one strategii bezpieczeństwa ani doświadczonego personelu do budowania cyberodporności. Staramy się wspierać działania wzmacniające te zdolności. Dlatego Fundacja Kyndryl przyznała niedawno jednej z organizacji pozarządowych, AVSI Polska, grant, który pomoże rozwiązać ten problem. Fundusze zostaną wykorzystane do wykształcenia puli ekspertów poprzez zapewnienie programów stażowych w celu szkolenia specjalistów ds. cyberbezpieczeństwa. Potrzeba odpowiedniego przygotowania w tym obszarze jest wszechobecna i nie zależy wyłącznie od regulacji prawnych. – tłumaczy Paweł Raczyński, dyrektor zarządzający w Kyndryl Poland.
Dostawcy usług finansowych muszą już teraz rozpocząć modernizację swoich protokołów cyberbezpieczeństwa i cyberodporności. Dogłębne zrozumienie biznesowych i technicznych aspektów branży usług finansowych będzie kluczem do skutecznego planowania zmian, więc organizacje będą potrzebować partnerów posiadających specjalistyczną wiedzę, która pomoże im poruszać się w nowym środowisku regulacyjnym.
Podczas gdy europejskie organy regulacyjne nadal udoskonalają standardy techniczne DORA, duże firmy świadczące usługi finansowe już rozpoczęły aktualizację i testowanie swoich zasobów ICT pod kątem zgodności z przepisami.
Ostatnie badanie IDC Ransomware Study wykazało[3], że ponad połowa ankietowanych przedsiębiorstw nadal musi podjąć działania w celu zapewnienia zgodności z DORA i NIS2 (Network and Information Security Directive). Wynika to z potrzeby zwiększenia bezpieczeństwa sieci i systemów informatycznych w UE. Od operatorów infrastruktury krytycznej i podstawowych usług wymagane będzie wdrożenie odpowiednich środków bezpieczeństwa oraz zgłaszanie wszelkich incydentów odpowiednim organom. Raport stwierdza również, że mniej niż jedna trzecia zaatakowanych organizacji może samodzielnie odzyskać swoje dane, a większość z nich ucieka się do płacenia okupu. Ponadto ponad 90% ataków kończy się wyciekiem danych firmowych.
Ale raport pokazuje też drugą stronę medalu. Okazuje się, że szkodliwe wyniki działania oprogramowania ransomware nie wynikają z braków w technologii czy niestosowania dobrych praktyk, ale z potrzeby uzupełnienia wiedzy i standaryzacji w zakresie cyber-recovery. Firmy powinny szukać sprawdzonych i doświadczonych partnerów, którzy wesprą je w tym procesie.
– Współpracując z wieloma organizacjami, aby pomóc im zidentyfikować luki w cyberbezpieczeństwie i przygotować się do wdrożenia przepisów DORA, przyjmujemy kompleksowe podejście. Równie dużo uwagi należy poświęcić identyfikacji ewentualnych luk w architekturze infrastruktury IT, co tych w politykach bezpieczeństwa podmiotów świadczących usługi finansowe. – podkreśla Paweł Raczyński.
Zasady zebrane w DORA wejdą w życie 17 stycznia 2025 r. i obejmą ponad 22 000 podmiotów w całej Unii Europejskiej. Organizacje finansowe i ich dostawcy usług muszą być na to gotowi. Przeanalizowanie, zaprojektowanie i wdrożenie odpowiednich narzędzi są często wyzwaniem dla banków działających w Polsce, które i tak szukają kompromisów w alokowaniu swoich pracowników do innych zadań związanych z wymogami regulacyjnymi.
– Nawet te banki, które już zaczęły zmagać się z przeglądem swojej gotowości do spełnienia wymogów DORA, często w rozmowach z nami potwierdzają, że nie rozważyły jeszcze wszystkich aspektów tego zagadnienia. A przecież nowe regulacje to tylko jedna ze składowych najbliższej przyszłości. Jeśli spojrzymy na aktualne badania, wyraźnie widać postępujący trend w kierunku korzystania z usług dostawców chmury oraz integracji środków cyberbezpieczeństwa wśród największych firm. – zauważa Paweł Raczyński.
Raport „IDC FutureScape: Worldwide Cloud 2024 Predictions” wspomina[4] o tym trendzie. Wynika z niego, że aż 85% firm z grupy G2000 będzie polegać na dostawcach usług w chmurze i łączności w zakresie wdrażania zabezpieczeń zero-trust do 2027 r., zmniejszając tym samym o połowę obciążenie personelu IT. Jak prognozuje ten raport, 75% dyrektorów IT zintegruje środki bezpieczeństwa cybernetycznego bezpośrednio z systemami i procesami, aby aktywnie wykrywać i neutralizować słabe punkty, wzmacniając ochronę przed zagrożeniami i naruszeniami cybernetycznymi.
Nowe regulacje pomogą sektorowi usług finansowych przygotować się na bezpieczniejszą „cyfrową przyszłość” poprzez standaryzację wymogów i wezwanie do zwiększenia świadomości w zakresie cyberbezpieczeństwa i zdolności w zakresie odporności.
[1] https://www.statista.com/statistics/1310985/number-of-cyber-incidents-in-financial-industry-worldwide/
[2] https://www.statista.com/topics/9918/cyber-crime-and-the-financial-industry-in-the-united-states/#topicOverview
[3] https://www.kyndryl.com/content/dam/kyndrylprogram/cs_ar_as/ransomeware-study.pdf
[4] https://www.idc.com/getdoc.jsp?containerId=US51294723