Incydenty i cyberzagrożenia – jak sobie z nimi radzić na gruncie DORA?
2024-07-02
Do dnia 17 stycznia 2025 roku podmioty finansowe, w tym banki, domy maklerskie, towarzystwa funduszy inwestycyjnych, dostawcy usług finansowania społecznościowego czy tzw. zewnętrzni dostawcy usług ICT, zobowiązane są do dostosowania swojej działalności do wymogów wynikających z Rozporządzenia DORA. Podmioty finansowe obecnie analizują luki w swoim dotychczasowym środowisku teleinformatycznym, grupują i klasyfikują swoje zasoby informacyjno – komunikacyjne (ICT), audytują swoich zewnętrznych dostawców usług ICT, weryfikują dotychczasowe funkcje biznesowe i ich powiązanie z ICT czy rozpoznają swoje krytyczne i istotne funkcje – po to aby zapewnić operacyjną odporność cyfrową w organizacji na jak najwyższym poziomie.
Kluczowym obowiązkiem podmiotów jest dostosowanie dotychczasowych ram zarządzania ryzykiem w obszarze bezpieczeństwa teleinformatycznego do wymogów ram zarządzania ryzykiem ICT wynikających z DORA. Jednym z elementów tych ram jest skuteczne zarządzanie incydentami w obszarze ICT, a jeszcze wcześniej zagwarantowanie skutecznego rozpoznawania cyberzagrożeń i podatności podmiotu. Jak podmioty finansowe powinny podejść do kwestii zarządzania incydentami? Wszak odpowiednie zabezpieczenie przed wystąpieniem incydentów, a w razie ich wystąpienia, odpowiednie nimi zarządzenie i jak najszybsze przywrócenie sprawności, powinny być miarą zapewnienia bezpieczeństwa w obszarze ICT.
Zarządzanie incydentami ICT jest procesem składającym się z wielu etapów. Pierwszy z nich to zapobieganie – odpowiednie wykrywanie podatności i cyberzagrożeń, w celu niedopuszczenia do wystąpienia incydentu. W przypadku wykrycia danej podatności/ cyberzagrożenia – podmiot powinien na poziomie procedur wewnętrznych uregulować zasady postępowania z tą wiedzą, w tym wskazać jakie działania zapobiegawcze należy podjąć, jakie podmioty są odpowiedzialne, do kogo wewnątrz organizacji raportować wykrycie podatności/ cyberzagrożenia. Samo ich wykrycie nie kończy się na odnotowaniu/ zarejestrowaniu. Należy podjąć działania zapobiegawcze, działania, które zmitygują bądź nawet wyeliminują daną podatność, co z kolei może łączyć się z poniesieniem określonych kosztów (np. przestarzały sprzęt, wadliwości w jego działaniu – skutkujące koniecznością wymiany sprzętu, zapewnienia dodatkowego oprogramowania itd.). Podmioty powinny zdawać sobie sprawę, że niewyeliminowane cyberzagrożenie może skutkować powstaniem w przyszłości incydentu. Kluczowe jest zatem przyjęcie planu postępowania z danym cyberzagrożeniem i odpowiednie udokumentowanie realnie podjętych działań w celu jego wyeliminowania.
W kontekście skutecznego zarządzania incydentami istotne jest zatem przyjęcie mitygantów ryzyka powstania incydentów (odpowiednich środków i zabezpieczeń przed wystąpieniem incydentów), które powinny zostać uwzględnione w ocenie ryzyka danej instytucji w obszarze ICT. Podmiot finansowy powinien zidentyfikować ryzyka ICT, a bez wiedzy o cyberzagrożeniach i podatnościach, jak również bez skutecznych mechanizmów ich wykrywania nie będzie możliwe odpowiednie szacowanie ryzyka ICT. Zgodnie z normą ISO PN-ISO/EIC 27005 celem identyfikacji ryzyka powinno być rozpoznanie źródeł ryzyka, zdarzeń, ich przyczyn i potencjalnych następstw. Elementami identyfikacji ryzyka powinny być zatem: identyfikacja aktywów (na gruncie DORA zasobów), identyfikacja zagrożeń, identyfikacja istniejących zabezpieczeń, identyfikacja podatności oraz identyfikacja następstw. Po identyfikacji ryzyka podmiot powinien dokonać analizy ryzyka, która polega na przypisaniu wartości następstwom incydentu i prawdopodobieństwu wystąpienia incydentu. W kontekście ryzyka ICT, wskazać należy, że jednym z podstawowych mitygantów ryzyka w zakresie powstania incydentu ICT jest właśnie monitorowanie i zarządzanie podatnościami, cyberzagrożeniami i nietypowymi działaniami (anomaliami).
Kolejnym etapem skutecznego zarządzania incydentami jest wykrywanie i rejestracja zdarzeń, które mogą zostać zakwalifikowane jako incydenty. Nie każde zdarzenie, potencjalne rozpoznane jako incydent, będzie takim incydentem. Może bowiem okazać się, że głębsza analiza spowoduje „zamknięcie danego zgłoszenia” jako konsekwencja braku zakwalifikowania jako incydent. W przypadku uznania, że dane zdarzenie stanowi w istocie incydent – kolejny etap łączyć należy z odpowiednim skategoryzowaniem incydentu, poszukiwaniem powiązań między incydentami, priorytetyzacją oraz wprowadzeniem planów naprawczych. Po wykryciu i sklasyfikowaniu incydentu, podmiot powinien przedsięwziąć działania mające na celu jego wyeliminowanie (przywrócenie sprawności). Jeśli dany incydent został sklasyfikowany jako incydent poważny – na podmiocie spoczywają również obowiązki notyfikowania takiego incydentu do nadzoru.
Podmioty finansowe są zobowiązane również do dokonywania przeglądów poważnych incydentów związanych z ICT, obejmujących analizę przyczyn zakłócenia, identyfikację wymaganych ulepszeń operacji ICT lub strategii na rzecz ciągłości działania w zakresie ICT oraz ustalenie czy przy wystąpieniu incydentu związanego z ICT przestrzegano procedur wewnętrznych i czy podjęte działania były skuteczne.
Zarządzanie incydentami ICT jest procesem kluczowym dla zapewnienia operacyjnej odporności cyfrowej podmiotów finansowych. Skoro celem DORA jest zapewnienie bezpieczeństwa w tym obszarze, a jednym z mechanizmów jest zapobieganie wystąpienia incydentów, przy wdrażaniu wymogów DORA podmioty powinny pamiętać, że wszystkie działania wdrożeniowe jakie podejmują mają uchronić je przed potencjalnymi stratami, jakie przynieść może materializacja ryzyk ICT. Świadomość celów, jakie przyświecały ustawodawcy unijnemu przy wprowadzaniu przepisów DORA, skutkować powinno zmianą perspektywy przy wdrażaniu wymogów. Nie będzie to już kosztowny obowiązek, ale konieczna powinność podmiotów finansowych dla zabezpieczenia swoich funkcji biznesowych, ciągłości działania, bezpieczeństwa klientów, ale również w skali marko – zabezpieczenia systemu finansowego.
Nikola Jadwiszczak – Niedbałka, Radca prawny w Krzysztof Rożko i Wspólnicy Kancelaria Prawna
Nikola Jadwiszczak – Niedbałka w Rankingu The Legal 500 EMEA 2024 jest rekomendowana w kategorii Capital Markets oraz Investment Funds.
Rekomendacje Kancelarii KRWLEGAL w rankingach: IFLR1000 w kategoriach Capital Markets: Equity oraz M&A, The Legal 500 EMEA 2024 w kategoriach: Capital Markets i Investment Funds oraz jako lider „Rzeczpospolita 2024” w kategorii private equity i rekomendowana w kategorii rynki kapitałowe i doradztwo regulacyjne.