W erze cyfrowej transformacji sektora finansowego zapewnienie cyberbezpieczeństwa jest kluczowym wyzwaniem dla instytucji działających w tej branży. Unia Europejska, dążąc do wzmocnienia odporności operacyjnej w cyfrowym wymiarze, wprowadziła regulacje, które mają na celu zwiększenie bezpieczeństwa cyfrowego w finansach.
DORA (Digital Operational Resilience Act), nowe rozporządzenie unijne, zobowiązuje firmy do dokładnej oceny ryzyka cyfrowego, zgłaszania występujących problemów oraz współpracy z dostawcami usług ICT w celu zapewnienia cyberbezpieczeństwa. Dotychczasowe zapisy prawne miały charakter ogólny i pozostawiały szerokie pole do interpretacji. Ujednolicenie zasad postępowania wprowadzone przez DORA obejmuje zarządzanie ryzykiem cyfrowym, raportowanie incydentów, testowanie odporności operacyjnej, zarządzanie ryzykiem związanym z dostawcami zewnętrznymi oraz wymianę informacji, aby lepiej przeciwdziałać zagrożeniom. Dla instytucji finansowych i dostawców usług ICT w praktyce oznacza to wdrożenie zaawansowanych systemów zarządzania ryzykiem i ciągłą aktualizację polityk bezpieczeństwa.
Wprowadzenie DORA jest krokiem w kierunku ujednolicenia podejścia do cyberbezpieczeństwa na poziomie UE, co ma kluczowe znaczenie dla zapewnienia bezpieczeństwa w sektorze finansowym. Ewolucja standardów cyberbezpieczeństwa będzie kontynuowana, z większym naciskiem na automatyzację, inteligentne technologie i współpracę międzynarodową. – mówi Kamila Bury, General Counsel, Ethics and Compliance Officer, Capgemini Polska.
AI w świecie regulowanym przez DORA
W związku z powyższym, sektor finansowy stoi przed dużymi wyzwaniami, jednak podjęcie ich znacząco poprawi bezpieczeństwo zarówno firm jak i ich klientów. DORA wymaga od instytucji finansowych kompleksowego podejścia do cyberbezpieczeństwa, które obejmuje regularne testowanie systemów, raportowanie incydentów oraz współpracę międzysektorową.
Technologie, takie jak sztuczna inteligencja (AI) i uczenie maszynowe (ML), mogą odgrywać kluczową rolę w zapewnieniu zgodności z DORA, ułatwiając zarządzanie ryzykiem cyfrowym, automatyzację raportowania incydentów oraz efektywniejsze wykrywanie i reagowanie na zagrożenia cybernetyczne. AI i ML umożliwiają analizę dużych zbiorów danych w celu identyfikacji anomalii i potencjalnych zagrożeń, co jest kluczowe dla efektywnego zarządzania ryzykiem cyfrowym. – zauważa Piotr Siuda, Head of Financial Services w Capgemini Polska.
Jak przygotować się do rzeczywistości DORA?
Wdrażanie zaawansowanych systemów bezpieczeństwa, regularne szkolenia z zakresu cyberbezpieczeństwa, ciągłe monitorowanie i analiza ryzyk oraz budowanie kultury bezpieczeństwa w firmie to kluczowe elementy. Instytucje, które aktywnie współpracują z dostawcami usług ICT oraz innymi podmiotami w ekosystemie finansowym, zyskują lepszą pozycję w zapobieganiu incydentom i zarządzaniu kryzysowym.
Zgłaszanie incydentów bezpieczeństwa to proces, w którym monitoruje się, rejestruje, kategoryzuje, nadaje priorytety, komunikuje i rozwiązuje potencjalnie niebezpieczne sytuacje. Aby robić to skutecznie należy przygotować m.in. plany komunikacji wewnętrznej, strategię tworzenia kopii zapasowych firmy i odpowiednie sposoby reagowania.
Testy cyfrowej odporności operacyjnej powinny być regularne i przeprowadzane przez bezstronne osoby z zewnątrz firmy. W ten sposób łatwiej uniknąć stronniczości i zapewnić kompletne informacje na temat słabych punktów.
Właściwe zarządzanie ryzykiem obejmuje m.in. dokumentację sposobu, w jaki firma prowadzi operacje o krytycznym znaczeniu dla biznesu oraz infrastrukturę cyfrową, która je wspiera. W zakres tego obszaru wchodzi również ustanowienie ram i procesów identyfikacji, klasyfikacji i ograniczania ryzyka teleinformatycznego oraz tworzenie planów działania i strategii odzyskiwania danych w celu przeciwdziałania tym zagrożeniom.
Wdrażając nowe procedury bezpieczeństwa, należy zastanowić się, które osoby powinny być zaangażowane w każdy z etapów procesu, jak kontrolujemy dostęp dla tych osób i z jakich technologii chcemy korzystać. Mogą to być m.in. uwierzytelnianie wieloskładnikowe (MFA), wirtualne sieci prywatne (VPN), protokoły pulpitu zdalnego (RDP) oraz wykrywanie problemów i reagowanie na punktach końcowych (EDR). Szczegółowe mapowanie operacji ma kluczowe znaczenie dla uzyskania wglądu w luki w zabezpieczeniach i ich potencjalne znaczenie w przypadku cyberataku.
Jednym z najtrudniejszych zadań jest ocena zewnętrznych dostawców technologii informacyjno-komunikacyjnych, z którymi współpracuje firma. Umowy z partnerami muszą być regularnie weryfikowane, aby upewnić się, że są zgodne z DORA. Tu również potrzebna jest ocena i strategia ryzyka, aby złagodzić potencjalne skutki naruszeń doświadczanych przez podwykonawców.
Wreszcie, firmy muszą ustanowić procesy wyciągania wniosków zarówno z wewnętrznych, jak i zewnętrznych incydentów bezpieczeństwa. DORA promuje uczestnictwo w dobrowolnych porozumieniach dotyczących wymiany informacji o zagrożeniach.
Dostosowanie firmy do regulacji DORA może wydawać się zwodniczo proste, biorąc pod uwagę, że istnieje tylko pięć podstawowych obszarów, na których należy się skupić – ale jak zawsze diabeł tkwi w szczegółach. Odnalezienie luk w obecnie działających systemach bezpieczeństwa będzie wymagało wiedzy specjalistycznej zarówno w zakresie przepisów, jak i technologii cyberbezpieczeństwa. Każda firma ma swój unikalny system, który prawdopodobnie spełnia już część wymagań. Trudno, więc wyobrazić sobie rozwiązania uniwersalne. Capgemini oferuje swoim klientom wsparcie w rewolucji, którą przynosi DORA w sposób indywidualnie dostosowany do każdej firmy, łącząc ze sobą ekspertyzę prawną i technologiczną. – dodaje Piotr Siuda.
DORA, ustanawiając swoje wymagania i standardy, wpływa na globalne trendy w cyberbezpieczeństwie. Nowe przepisy wprowadzają wyzwania dla sektora finansowego, ale też oferują szansę na zwiększenie odporności cyfrowej i bezpieczeństwa. Przez wdrażanie nowych technologii, współpracę i dobre praktyki, instytucje finansowe mogą nie tylko sprostać wymaganiom DORA, ale również zbudować silniejsze, bardziej odporne środowisko operacyjne.