Numărându-se printre ţintele preferate ale hackerilor, băncile, societăţile de asigurări şi firmele de investiţii trebuie să-şi întărească mai mult securitatea cibernetică până la finalul anului 2024, pentru a se conforma cerinţelor Actului legislativ privind rezilienţa operaţională digitală (DORA), adoptat de Consiliul European la finele lunii noiembrie. DORA este cea mai importantă iniţiativă de reglementare a UE privind rezilienţa operaţională şi securitatea cibernetică în sectorul serviciilor financiare, pentru a se asigura că sectorul financiar european este capabil să reziste în cazul unor perturbări operaţionale grave.
Publicată pentru prima dată în septembrie 2020, ca parte a Pachetului privind finanţele digitale (DFP) al Uniunii, perioada de punere în aplicare a DORA va dura 24 de luni, ceea ce înseamnă că firmele trebuie să se conformeze cerinţelor până la sfârşitul anului 2024.
Care sunt cerinţele DORA?
Aproape fiecare tip de instituţie financiară din UE va trebui să se asigure că furnizorii săi şi controalele de securitate ale acestora respectă standardele de rezilienţă, iar eforturile solicitate entităţilor financiare vor fi proporţionale cu riscurile potenţiale. Totodată, DORA stabileşte cerinţe uniforme pentru securitatea reţelelor şi a sistemelor informatice ale companiilor din sectorul financiar, precum şi ale părţilor terţe critice care le furnizează servicii legate de TIC (tehnologii ale informaţiei şi comunicaţiilor), cum ar fi platformele cloud sau serviciile de analiză a datelor. Mai mult, furnizorii de servicii TIC din ţări terţe vor trebui să-şi înfiinţeze filiale pe teritoriul UE, astfel încât supravegherea să poată fi pusă în aplicare în mod corespunzător.
În ceea ce priveşte Directiva NIS, aceasta continuă să se aplice, DORA abordând posibilele suprapuneri prin derogări.
Aspectele care necesită transpunere la nivel naţional vor fi adoptateîn legislaţia fiecărui stat membru al UE. În acelaşi timp, autorităţile europene de supraveghere relevante din domeniul bancar, al valorilor mobiliare şi al asigurărilor vor elabora standarde tehnice care vor trebui respectate de toate instituţiile din domeniul serviciilor financiare.
Contextul cibernetic. La ce trebuie să fie atente companiile?
Breşele de securitate a datelor reprezintă o ameninţare omniprezentă în lumea digitală, chiar dacă au fost făcute progrese în ultimii ani, iar anul 2023 se profilează ca un nou test de rezilienţă pentru companii şi cu presiuni tot mai mari pentru a asigura securitatea şi confidenţialitatea datelor, potrivit studiului Digital Trust Insights Survey 2023 realizat de PwC. În acest context, este nevoie de un nivel mai ridicat de colaborare între sectorul public şi cel privat pentru o raportare mai clară a incidentelor, gestionarea riscurilor şi planificarea continuităţii afacerii şi a recuperării în caz de dezastru.
Impactul atacurilor cibernetice merge mult mai departe de costul financiar direct, prejudiciile menţionate de organizaţiile afectate de un astfel de incident în ultimii trei ani fiind pierderea clienţilor, pierderea datelor clienţilor şi daune aduse reputaţiei sau mărcii. În pofida faptului că atacurile cibernetice continuă să coste companiile milioane de dolari, mai puţin de 40% dintre directorii chestionaţi în cadrul Digital Trust Insights afirmă că au atenuat complet expunerea la riscurile de securitate cibernetică într-o serie de domenii critice, precum munca la distanţă şi hibridă (38% spun că riscul cibernetic este pe deplin atenuat), adoptarea accelerată a cloud-ului (35%), utilizarea IOT (34%), digitalizarea lanţului de aprovizionare (32%) şi a operaţiunilor de back-office (31%).
În acelaşi timp, două treimi dintre directori consideră că infracţiunile cibernetice reprezintă cea mai importantă ameninţare pentru anul viitor. Infractorii cibernetici, care folosesc din ce în ce mai mult resurse disponibile comercial, pot comite şi orchestra o varietate de atacuri.
Companiile trebuie să monitorizeze permanent expunerea la riscurile cibernetice, să-şi consolideze capacităţile de detecţie şi răspuns la ameninţări, să utilizeze o politică de parole puternice, să se asigure că patch-urile de securitate pot fi aplicate la timp şi corespunzător şi să securizeze backup-ul datelor.
De asemenea, definirea unor planuri adecvate de continuitate a afacerii şi recuperare în caz de atac este primordială în gestionarea acestora. La fel de importante sunt şi instruirea angajaţilor cu privire la rolul lor în prevenirea atacurilor cibernetice şi raportarea oricărei activităţi cibernetice anormale sau rău intenţionate către instituţiile locale de reglementare.
Având experienţa ultimilor doi de pandemie în care atacurile cibernetice s-au intensificat şi au devenit din ce în ce mai sofisticate, companiile sunt mai conştiente de riscuri, multe dintre ele şi-au elaborat strategii şi alocă bugete mai mari de investiţii. Întrebarea este însă dacă aceste investiţii sunt eficiente şi pot răspunde atacurilor viitoare.
Deşi investiţiile în securitatea cibernetică au crescut foarte mult, cel mai adesea ele au fost defensive şi reactive la multitudinea de ameninţări din mediul digital, iar randamentele nu au fost cele scontate. Strategia de apărare cibernetică este definită, printre altele, pe baza analizei mai multor scenarii ce încearcă să prevadă manifestarea ameninţărilor. Iar capacitatea de analiză rămâne în continuare limitată, din cauza unor factori precum complexitatea internă a organizaţiilor(procese nefuncţionale sau ineficiente, mediul tehnologic eterogen şi, de multe ori, lipsa unei comunicari interne adecvate), ecosistemul de afaceri (numărul mare de parteneri de afaceri, direcţi sau indirecţi) şi viteza cu care evoluează complexitatea ameninţărilor cibernetice şi resursele disponibile atacatorilor.
De aceea, companiile din domeniul serviciilor financiare, dar nu numai, trebuie să îşi asigure rezilienţa operaţională prin adoptarea unor strategii de securitate cibernetică holistice, care să răspundă şi provocărilor de mâine, nu doar celor de azi. Aceste strategii sunt operaţionalizate odată cu dezvoltarea unor programe de securitate adecvate, care dispun de resursele necesare implementării tehnologiilor relevante şi a proceselor eficiente de identificare şi răspuns la ameninţări, precum şi dezvoltării capabilităţilor la nivelul resurselor umane specializate.
Nu în ultimul rând, riscurile cibernetice sistemice trebuie monitorizate la nivel de societate, iar adresarea acestora poate fi făcută prin crearea unor mecanisme de partajare securizată a indicatorilor tehnici sau tehnologici cu privire la incidentele de securitate, mecanisme construite pe relaţii de încredere, la nivelul comunităţilor profesionale ale specialiştilor în securitate sau în cadrul cooperărilor dintre companii şi autorităţile specializate.
