Atacurile cibernetice reprezintă o ameninţare pentru fiecare dintre noi, iar evenimentele din ultima perioadă ne-au demonstrat că perturbările produse pot fi considerabile.
Riscurile provocate de aceste perturbări trebuie luate în considerare şi de către bănci şi alţi actori ai domeniului financiar, deoarece pot avea un impact nu numai asupra fiecărei organizaţii în parte, ci şi asupra stabilităţii întregului ecosistem financiar. Riscul atacurilor cibernetice este accentuat şi de folosirea tehnologiilor digitale de către sistemul financiar şi de provocările generate de viteza cu care evoluează ameninţările cibernetice.
Banca Naţională a României (BNR) a considerat, aşadar, că este esenţial ca băncile, alte instituţii financiare sau infrastructurile pieţei financiare aflate sub supravegherea sa să îşi asigure un nivel adecvat de rezistenţă cibernetică pentru a se proteja atât pe ele însele, cât şi întregul ecosistem. În luna mai 2022, BNR a transpus la nivel local cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming), un standard de desfăşurare a testelor pentru determinarea gradului de rezilienţă cibernetică elaborat de Banca Centrală Europeană şi celelalte bănci centrale din Uniunea Europeană.
Cadrul TIBER-RO, publicat în Monitorul Oficial nr. 432/03.05.2022, se aplică instituţiilor financiare aflate sub supravegherea Băncii Naţionale a României, care vor fi nevoite să-şi testeze rezistenţa cibernetică la fiecare trei ani, spre deosebire de alţi actori ai ecosistemului financiar, care nu vor avea obligativitatea aplicării acestui cadru.
Înainte de introducerea cadrului TIBER-RO, testarea rezistenţei cibernetice se realiza fragmentat, prin verificări izolate sau separate asupra aplicaţiilor folosite în cadrul organizaţiilor, în medii controlate, demers care nu oferea o imagine de ansamblu a riscurilor la care băncile erau supuse din acest punct de vedere.
Derularea unui test care să evidenţieze capacitatea de ansamblu a unei organizaţii de a se apăra de atacurile cibernetice este un exerciţiu complex, care necesită coordonarea mai multor echipe, nu doar a celor dedicate securităţii cibernetice, ci şi a celor de IT şi management. În contextul implementării TIBER-RO, membrii consiliilor de administraţie, directorii şi responsabilii în domeniul cibernetic sau IT vor fi nevoiţi să planifice din timp acest tip de exerciţii, dar şi să implementeze metode de management al riscului cibernetic, în vederea atingerii unui punct maxim de eficienţă.
În primul rând, organizaţiile trebuie să conştientizeze faptul că o testare conformă cu cadrul TIBER-RO va evidenţia atât plusurile, cât şi minusurile practicilor de securitate cibernetică pe care le au implementate. De această dată, companiile vor fi nevoite să facă faţă unui atac care are loc în condiţii identice cu cele ale unui incident real, neanunţat, în mediul de producţie, în timp real, la finalul căruia vor putea aplica măsurile necesare pentru a-şi îmbunătăţi nivelul de securitate cibernetică.
Din punctul de vedere al infrastructurii, aplicarea unui test TIBER-RO poate avea un impact semnificativ asupra unei organizaţii, de la transformări asupra culturii organizaţionale, până la procesele companiei sau chiar capitalul uman. În funcţie de rezultatul testului, companiile vor lua în considerare o serie de măsuri care presupun investiţii pentru actualizarea sistemelor informatice, instruirea specialiştilor în securitate cibernetică sau chiar pregătirea unor campanii de conştientizare în rândul angajaţilor privind ameninţările din spaţiul virtual.
O altă provocare privind implementarea cadrului TIBER-RO o reprezintă şi componenţa echipelor interne de specialişti în securitate cibernetică. Securitatea cibernetică este un domeniu care se confruntă cu un deficit de experţi. Deşi numărul lor a crescut în ultima perioadă, avansul înregistrat nu este suficient pentru a răspunde nevoilor din piaţă. Pentru derularea unui exerciţiu care stabileşte nivelul de rezistenţă cibernetică a unei organizaţii, aceasta trebuie să ia în considerarea formarea sau consolidarea echipelor interne de securitate cibernetică.
Procesul de testare în urma căruia este stabilit nivelul de eficienţă a practicilor de management al riscului cibernetic din cadrul unei organizaţii trebuie să fie unul continuu, iar, pentru îmbunătăţirea sa, companiile trebuie să ia în considerare o serie de acţiuni care ar putea avea un impact direct semnificativ asupra întregii organizaţii. Activităţile efectuate în cadrul unui exerciţiu bazat pe TIBER-RO trebuie executate de către echipe ai căror membri au atât certificările necesare, cât şi experienţă în domeniul securităţii cibernetice conform cerinţelor din regulamentul BNR. În plus, exerciţiile se desfăşoară pe parcursul mai multor luni, aspect care necesită o planificare detaliată şi o supraveghere constantă a fiecărei etape.
Andrei Ionescu, Partener coordonator, Consultanţă şi Managementul Riscului, şi Adrian Ifrim, Senior Manager, Managementul Riscului, Deloitte România
