Jeśli zasada, którą się kierowałeś, sprowadziła cię tutaj, to co za pożytek był z tej zasady?
Anton Chigurh, El Paso, Teksas 1980 r.
Korowód anglojęzycznych rzeczowników, które ostatnio przygniatają mnie swą obecnością i ilością w przestrzeni informacyjnej (phishing, vishing, smishig, APP (ang. Autorise Push Payment), PSD3, AI ACT, ATO, BEC, DORA), obrazując metaforycznie, przypomina mi drzwi obrotowe w banku czy w Pythonowskim Ministerstwie Dziwnych Kroków i wysypujących się ludzi ze środka budynku.
Ilość regulacji, fraudów, dyrektyw (w kolejnych odsłonach) narasta niemalże geometrycznie i, co gorsza, w zasadzie żadnej nie można pominąć i z każdą, prędzej czy później, w mniejszym lub większym stopniu, będzie trzeba się oswoić.
Nie zamierzam dzisiaj „pływać rozpaczliwcem” po całym tym bezkresnym oceanie enigmatycznych wyrazów oraz określeń. Skupię się na regulacji, z którą również ja, jako dostawca ICT, musiałem się w pełni zaznajomić.
Third party risk management
Od dłuższego czasu instytucje finansowe koncentrują się na zbudowaniu poprawnej współpracy ze swoimi dostawcami, która często ma bardzo złożony charakter. Złożoność polega na różnorodności kategorii samej współpracy, ale również skala dostawców wpływa na wielopłaszczyznowość tegoż wyzwania.
Third party risk management, bo o nim mowa, to zarządzanie łańcuchem zewnętrznych dostaw oraz usług oraz ryzykiem z nim związanym. Dzisiaj jest to jeden z kluczowych i nośnych tematów uwypuklonych w sektorze bankowym, a w szczególności w:
- firmach ubezpieczeniowych,
- instytucjach kredytowych,
- firmach inwestycyjnych,
- firmach pożyczkowych.
Zarządzanie ryzykiem związanym ze stronami trzecimi jest oparte o nowe rozporządzenie DORA (ang. Digital Operational Resilience Act), które wprowadza zmiany we wspomnianym sektorze finansowym w obszarze cyberbezpieczeństwa usług. Pamiętajmy, że ten medal jest obustronny i DORA dotyka również wspomnianych dostawców ICT, którzy także będą podlegać jej wymogom.
Pomimo różnych „oporów materii” czy skostniałych struktur niektórych organizacji, rośnie świadomość i dojrzałość firm (bez względu na sektor), aby wszystkie sfery danej instytucji, nie tylko te, które są literalnie z obszaru security, były bezpieczne.
Podstawą osiągnięcia sukcesu jest minimalizacja ryzyka, tak więc zarządzanie bezpieczeństwem powinno zacząć się już na etapie szukania wykonawcy, a skończyć na drobiazgowym zarządzaniu informacją z każdego obszaru dla każdej jednostki. Podstawą jest (i tutaj moje osobiste spostrzeżenie), aby wszyscy mogli przekazywać swoje rekomendacje dotyczące nowej, potencjalnie świadczonej usługi.
Na dwóch biegunach
Słyszę dość często (chociaż security to nie moja domena), że przeważnie to pracowników obszaru security interesuje bezpieczeństwo, a pozostałe działy chcą załatwić przede wszystkim swoje sprawy, chcą rozwiązać swój problem i w żadnym stopniu nie obchodzi ich bezpieczeństwo. Można by rzec – dwa przeciwstawne, odpychające się bieguny.
Ayn Rand, twórczyni filozofii obiektywizmu, w jednym ze swoich manifestów napisała, „że nie ma kompromisu między chlebem a trucizną”, a to co powyżej wygląda tak, jakby były to dwie tożsamości, które używają i uznają jedyną słuszność swojej racji. W takim przypadku spór powinien skończyć się właśnie jakimś kompromisem, a nie tkwić w pryncypialnym sprzeciwie.
Nieznośnej lekkości bytu nie da się pogodzić z bezpieczeństwem informacji. A skoro nie da się, to również może nie należy próbować, tylko umożliwić odpowiednim osobom, by zapewniły gwarancję bezpieczeństwa procesom biznesowym. Ponadto, może warto zmienić narrację i nie mówić, ile firma straci, tylko, że konkretna osoba, np. Ty możesz coś stracić. Warto więc może zmienić swoje zasady, jak sugeruje Anton Chigurh?
Kogo dotknie DORA?
Wróćmy jednak do meritum mojego rozważania na temat regulacji DORA: jakie będą wymagania dla podmiotów, których dotyczyć będzie DORA? Chociaż ja zadałbym pytanie à rebours: które instytucje najbardziej dotknie nowe rozporządzenie?
Odpowiedź jest prosta – będą to głównie instytucje finansowe, które wcześniej nie były mocno uregulowane w zakresie security. Mowa tutaj o mniejszych pozabankowych podmiotach finansowych.
A co do samych wymagań w nawiązaniu do różnych obszarów możemy je zamknąć w kilku kluczowych punktach:
- Konieczne jest utworzenie procedury zarządzania ryzykiem, na którą składają się dwa fundamentalne założenia.
- Ryzyka, które występują lub mogą występować należy opisać i zidentyfikować ich rodzaje.
- Należy wykonać ocenę ryzyka, czyli klasyczną klasyfikację zagrożenia, na którą składa się szczegółowy opis, na ile dane zagrożenie jest ważne, a na ile niebezpieczne.
- Organizacja musi posiadać wewnętrzny zespół bezpieczeństwa do zarządzania incydentami lub współpracować z firmą, która dostarcza taką usługę serwisową i udostępnia ją w postaci SoC.
- Firma powinna mieć podpisaną umowę z podmiotami trzecimi, aby mogli wykonywać regularnie testy penetracyjne systemów.
- Należy wdrożyć procesy do zarządzania ryzykiem stron trzecich, czyli third part risk assesment, aby móc kontrolować i sprawdzać systemy swoich podwykonawców.
- Zespoły obsługujące SoC powinny kontaktować się z instytucjami takimi jak CERT, aby móc informować i dystrybuować informacje o rozpoznanym nowym zagrożeniu.
Na zakończenie
Reasumując powyższy wywód, tytułowa DORA to regulacja, a nie zmora, której zadaniem jest zapewnienie odpowiedniego zabezpieczenia. Ryzyka i niebezpieczeństwa rożnej maści, czy to fraudy, czy z obszaru samego security, powstają z wyjątkowo dużą dynamiką i stają się ogromnym zagrożeniem szczególnie w instytucjach finansowych. A dlaczego akurat tam? Nie trzeba chyba tego literalnie przedstawiać.
Niemniej jednak są firmy, które potrafią przeciwdziałać powyższym zagrożeniom – znam takie trzyliterowe zaczynające się od spółgłoski, które mają na to remedium.
Kończę powyższy krótki felieton bez żadnych głębokich dygresji, a jedynie z powyższym krótkim spostrzeżeniem, sugestią odnośnie remedium i słynną kontaminacją Jana Stanisławskiego: „To by było na tyle”.
***
Jeśli ciekawi Cię punkt widzenia autora, inne jego artykuły znajdziesz tutaj.
Zostaw komentarz