W dobie cyfrowej transformacji pytanie nie brzmi już - czy nasza organizacja stanie się celem cyberataku, lecz kiedy to się stanie. Czy jesteśmy gotowi, aby skutecznie odeprzeć cyberatak? Czy posiadamy procedury, które pozwolą zareagować i zminimalizować ewentualne szkody? Czy zadbaliśmy o zespół, który ma potrzebną wiedzę i umiejętności?

W sektorze finansowym, gdzie bezpieczeństwo powinno być priorytetem, gotowość na takie zdarzenia stała się niezbędna. Digital Operational Resilience Act (DORA) to odpowiedź Unii Europejskiej na rosnące ryzyko cyberzagrożeń. Regulacja ta nakłada na podmioty finansowe obowiązek nie tylko zarządzania incydentami, ale również ich zgłaszania. Ważne, by nie traktować tego jako kolejnego, zbędnego punktu na liście obowiązków compliance, lecz realnej szansy na podniesienie poziomu bezpieczeństwa całego sektora.

Zachęcamy do przeczytania artykułu „Definicje i przegląd obowiązków w obszarze zarządzania incydentami związanymi z ICT”. 

Dlaczego zgłaszanie incydentów jest tak ważne?

Dla wielu organizacji przyznanie się, że doszło do incydentu traktowane jest jak prezentowanie swoich słabości i porażki. Tymczasem zgłoszenie incydentu wcale o tym nie świadczy, a wręcz przeciwnie - potwierdza profesjonalizm i odpowiedzialność organizacji za sytuację, w której się znalazła.

Dlaczego to ważne? Ponieważ pozwala nie tylko na szybką reakcję w ramach własnej organizacji, ale również ostrzeżenie innych podmiotów w sektorze (i nie tylko). To też powód, dla którego Rozporządzenie DORA kładzie nacisk na współpracę, co sprzyja rozbudowie systemu wzajemnego informowania się o zagrożeniach.

Zakres podmiotowy stosowania Rozporządzenia DORA

W Rozporządzeniu DORA wymieniono 21 kategorii podmiotów, do których przepisy tego rozporządzenia mają zastosowanie:

• instytucje kredytowe,
• instytucje płatnicze,
• dostawcy świadczący usługę dostępu do informacji o rachunku,
• instytucje pieniądza elektronicznego,
• firmy inwestycyjne,
• dostawcy usług w zakresie kryptoaktywów,
• centralne depozyty papierów wartościowych,
• kontrahenci centralni,
• systemy obrotu,
• repozytoria transakcji,
• zarządzający alternatywnymi funduszami inwestycyjnymi, 
• spółki zarządzające,
• dostawcy usług w zakresie udostępniania informacji,
• zakłady ubezpieczeń i zakłady reasekuracji,
• pośrednicy ubezpieczeniowi, reasekuracyjni i oferujący ubezpieczenia uzupełniające,
• instytucje pracowniczych programów emerytalnych,
• agencje ratingowe,
• administratorzy kluczowych wskaźników referencyjnych,
• dostawcy usług finansowania społecznościowego,
• repozytoria sekurytyzacji,
• zewnętrzni dostawcy usług ICT.

Uproszczone ramy zarządzania ryzykiem związanym z ICT – zakres podmiotowy

Prawodawca unijny wprowadził wymagania obejmujące pełne i uproszczone ramy zarządzania ryzykiem związanym z ICT. Zgodnie z art. 16 ust. 1 Rozporządzenia DORA podkategorie podmiotów finansowych, do których będą miały zastosowanie uproszczone ramy zarządzania ryzykiem związanym z ICT, obejmują:

• małe i niepowiązane wzajemnie firmy inwestycyjne,
• instytucje płatnicze zwolnione zgodnie z dyrektywą (UE) 2015/2366,
• instytucje zwolnione zgodnie z dyrektywą 2013/36/UE, w odniesieniu do których państwa członkowskie podjęły decyzję o niewykorzystywaniu możliwości, o której mowa w art. 2 ust. 4 Rozporządzenia DORA,
• instytucje pieniądza elektronicznego zwolnione zgodnie z dyrektywą 2009/110/WE,
• małe instytucje pracowniczych programów emerytalnych.

Więcej na ten temat można przeczytać w artykule "Wymagania Rozporządzenia DORA dla podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT".

Co zyskujemy raportując? 

Zgłaszając incydenty organizacja ma możliwość czerpania z wiedzy i doświadczenia innych, a to przekłada się na skuteczność obsługi zdarzenia. Niemalże skutkiem ubocznym, ale nie mniej ważnym, jest budowanie wizerunku organizacji, która nie unika trudnych tematów, lecz działa odpowiedzialnie i transparentnie, co z kolei wzmacnia zaufanie klientów i partnerów biznesowych.

Co zyskują inni? Informacje o metodzie i specyfice ataku, a to daje możliwość szybszej identyfikacji nowych zagrożeń i metod ataków, wzmacnia poczucie zbiorowej odpowiedzialności, a także pociąga za sobą budowę wspólnego systemu zapobiegania, co pomaga minimalizować ryzyko dla całej branży.

Co oznacza "skuteczna reakcja"?

Zgodnie z DORA, skuteczna reakcja to nie tylko podjęcie działań naprawczych, ale także dokumentacja incydentu i jego zgłoszenie odpowiednim organom nadzoru. W praktyce oznacza to:

• jasno zdefiniowane procesy reagowania na incydenty,
• systemy monitorujące, które szybko wykryją potencjalne zagrożenie,
• stworzenie zespołu, który wie, jak działać w sytuacji kryzysowej.

Kluczowe obowiązki, które Rozporządzenie DORA nakłada na podmioty finansowe, w obszarze incydentów związanych z ICT, opisane zostały w artykule „Klasyfikacja i zgłaszanie poważnych incydentów związanych z ICT”.

Czym jest proces reagowania na incydenty?

To zestaw jasno określonych działań, które organizacja podejmuje w przypadku wykrycia zagrożenia lub naruszenia bezpieczeństwa. Działanie zgodnie z procesem ma na celu minimalizowanie szkód, zapobieganie eskalacji oraz przywrócenie funkcjonowania organizacji sprzed zdarzenia w jak najkrótszym czasie, zachowując optymalizacje podejmowanych kroków. Dobrze opracowany proces jest fundamentem skutecznego zarządzania incydentami. Warto jednak mieć na uwadze, że musi on być dostosowany do specyfiki organizacji. To nie może być dokument, który schowamy do sejfu i wyciągniemy następnym razem na czas kontroli, audytu. To materiał, który powinien być modyfikowany i na bieżąco dostosowywany do panujących warunków. 

Podejście do procesu reagowania na incydent może być podzielone na 7 etapów:

• przygotowanie,
• identyfikacja,
• ograniczanie,
• komunikacja zewnętrzna i raportowanie,
• eliminacja i analiza zdarzenia,
• odzyskiwanie,
• wnioski i doskonalenie procesu („lessons learned”).

Poniżej opisano szczegóły dotyczące każdego z etapów. 

Przygotowanie – obejmuje stworzenie polityk bezpieczeństwa, opracowanie procedur reagowania oraz zapewnienie, że zespoły są odpowiednio przeszkolone i wyposażone w narzędzia do monitorowania oraz analizy zagrożeń, a także upewnienia się, że osoby realizujące przygotowany materiał rozumieją go i wiedzą co robić. Nawet najlepiej przygotowany proces reagowania na incydenty nic nie da, jeżeli pracownicy realizujący go, nie zrozumieją jego zapisów. 

Identyfikacja – to etap wykrywania zagrożenia, identyfikacji problemu i klasyfikacji (lub zaprzeczenia) zdarzenia jako incydentu. To tutaj analizujemy zgłoszenie, alerty, logi i inne dane analityczne. Jeżeli stwierdzono incydent, to też czas na nadanie priorytetu zdarzenia i uruchomienie ścieżki eskalacyjnej. Zwarty i gotowy do działania zespół reagowania na incydenty wkracza do akcji.

Ograniczanie – w zależności od tego z jakim incydentem mamy do czynienia i jaki został nadany mu priorytet podejmowane są działania mające na celu zminimalizowanie skutków incydentu oraz ewentualnie zapobieganie dalszej eskalacji. Do takich działań należą m.in.: izolacja zainfekowanych systemów, blokowanie złośliwego ruchu sieciowego, czy wyłączenie zagrożonych usług. Ważne, aby zabezpieczyć materiał analityczny i dowodowy. Po pierwsze – dla możliwości przeprowadzenia dogłębnej analizy, by móc uniknąć ataku w przyszłości, po drugie - (jeżeli będzie taka potrzeba) jako materiał dowodowy dla organów ściągania. 

Komunikacja zewnętrzna i raportowanie – na tym etapie konieczna jest współpraca osób zaangażowanych w obsługę incydentu z osobami odpowiedzialnymi w organizacji za komunikację wewnętrzną i zewnętrzną. Ważne, aby formułowany przekaz był wyważony i nie budził niepotrzebnego chaosu i poczucia niepokoju. Przekazywane informacje powinny być rzetelne i zostać zweryfikowane przed ich publikacją. Na tym etapie działań organizacji potrzebne jest również zaangażowanie osób odpowiedzialnych za raportowanie, w celu wypełnienia obowiązków formalnych oraz operacyjnych. Warto rozważyć również powołanie sztabu kryzysowego (chyba, że wynika on z wewnętrznych procedur reagowania na incydenty bezpieczeństwa), w skład którego wchodzić powinny osoby odpowiedzialne za koordynowanie incydentu, przedstawiciele działu komunikacji oraz działu prawnego, osoby odpowiedzialne za raportowanie oraz członkowie kierownictwa organizacji.

Eliminacja i analiza zdarzenia – czas na zidentyfikowanie źródła incydentu, aby zapobiec jego powtórzeniu. W zależności od zdarzenia, to tutaj będzie czas np. na rozpoczęcie procesu Threat Hunting. Ważne, aby postarać się zidentyfikować wektor inicjalnego ataku, sprawdzić czy na etapie identyfikacji i ograniczenia nie pominięto jakiegoś zagrożenia, dokładnie przeanalizować skutki zdarzenia i zastanowić się, jakie dodatkowe działania powinny zostać podjęte. 

Odzyskiwanie – na tym etapie organizacja prowadzi działania w celu przywrócenia standardowego funkcjonowania. Odbudowa systemów (jeżeli incydent dotknął więcej niż jednego) powinna odbywać się zgodnie z priorytetyzacją usług krytycznych. Mogą to być takie działania, jak odtworzenie danych z kopii zapasowych, aktualizacja systemów czy przeprowadzenie dodatkowych testów weryfikacyjnych. Pamiętajmy, że to też czas na ewentualną naprawę tego co było przyczyną incydentu.

Wnioski i doskonalenie procesu – po zakończeniu procesu obsługi incydentu i przywróceniu organizacji do pełnego funkcjonowania procesów biznesowych i operacyjnych warto przeprowadzić dodatkową analizę, w ramach której oceniony zostanie również proces reagowania na incydenty. Na tym etapie dokumentujemy szczegóły incydentu oraz wyciągamy wnioski, a także (jeżeli nie zostało to zrobione wcześniej) uzupełniamy „Formularz sprawozdania końcowego” zgodnie z raportowaniem DORA. To również czas  na przeprowadzenie procesu „Lessons learned” z obsługi incydentu i powiązanych zdarzeń. To etap, który przede wszystkim powinien pozwolić zidentyfikować obszary do poprawy i wdrożyć ulepszenia, aby zwiększyć skuteczność działań w przyszłości.

Nie zapominajmy, że konkretne działania przypisane do poszczególnych etapów wymienionych wcześniej mogą się przenikać, dlatego ważnym jest również, aby mieć w organizacji wyznaczoną osobę, która będzie koordynować zespołem reagowania na incydenty oraz podejmowanymi działaniami. Natomiast rozpisany proces niewątpliwie pomoże zadbać o ludzi i organizację w czasie wystąpienia incydentu.

Podsumowanie – reagowanie to podstawa

Rozporządzenie DORA skupia się na incydentach. Implementacja jego wymogów może wydawać się skomplikowana, ale jednocześnie przyniesie za sobą wiele korzyści. Dzięki temu, że organizacje będą standaryzować swoje procesy, będą w stanie jeszcze lepiej chronić interes swoich klientów. Jak? Szybka reakcja minimalizuje ryzyko naruszenia danych. Dodatkowo zapobiegamy eskalacji problemów – efektywne zgłoszenie i reakcja pozwala ograniczyć szkody. 

Rozporządzenie DORA to nie tylko obowiązek, ale również okazja, aby podnieść poziom bezpieczeństwa organizacji. Zgłaszanie incydentów i skuteczne reagowanie to klucz do zbudowania odporności operacyjnej. Czy Twoja organizacja jest gotowa na nową rzeczywistość? A może czas przyjrzeć się procesom i upewnić się, że nie tylko spełniamy wymogi, ale rzeczywiście chronimy to, co najcenniejsze – zaufanie klientów.

Obowiązki sprawozdawcze w zakresie zgłaszania poważnych incydentów związanych z ICT oraz znaczących cyberzagrożeń powinny być realizowane przez podmioty finansowe za pośrednictwem Systemu do Obsługi Incydentów DORA (SOID), który udostępniony jest na stronie CSIRT KNF. 

Więcej informacji o Systemie do Obsługi Incydentów DORA można znaleźć w zakładce "Systemy DORA".