{"id":23283,"date":"2023-08-10T05:00:00","date_gmt":"2023-08-10T03:00:00","guid":{"rendered":"https:\/\/sii.pl\/blog\/?p=23283"},"modified":"2023-08-10T12:33:29","modified_gmt":"2023-08-10T10:33:29","slug":"cyberbezpieczenstwo-dora-zmora-czyli-cyfrowa-odpornosc-operacyjna","status":"publish","type":"post","link":"https:\/\/sii.pl\/blog\/cyberbezpieczenstwo-dora-zmora-czyli-cyfrowa-odpornosc-operacyjna\/","title":{"rendered":"Cyberbezpiecze\u0144stwo, DORA, ZMORA, czyli cyfrowa odporno\u015b\u0107 operacyjna"},"content":{"rendered":"\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>Je\u015bli zasada, kt\u00f3r\u0105 si\u0119 kierowa\u0142e\u015b, sprowadzi\u0142a ci\u0119 tutaj, to co za po\u017cytek by\u0142 z tej zasady?<\/em><\/p>\n\n\n\n<p><em>Anton Chigurh, El Paso, Teksas 1980 r.<\/em><\/p>\n<\/blockquote>\n\n\n\n<p>Korow\u00f3d angloj\u0119zycznych rzeczownik\u00f3w, kt\u00f3re ostatnio przygniataj\u0105 mnie sw\u0105 obecno\u015bci\u0105 i ilo\u015bci\u0105 w przestrzeni informacyjnej (phishing, vishing, smishig, APP (ang. Autorise Push Payment), PSD3, AI ACT, ATO, BEC, DORA), obrazuj\u0105c metaforycznie, przypomina mi drzwi obrotowe w banku czy w Pythonowskim Ministerstwie Dziwnych Krok\u00f3w i wysypuj\u0105cych si\u0119 ludzi ze \u015brodka budynku.<\/p>\n\n\n\n<p>Ilo\u015b\u0107 regulacji, fraud\u00f3w, dyrektyw (w kolejnych ods\u0142onach) narasta niemal\u017ce geometrycznie i, co gorsza, w zasadzie \u017cadnej nie mo\u017cna pomin\u0105\u0107 i z ka\u017cd\u0105, pr\u0119dzej czy p\u00f3\u017aniej, w mniejszym lub wi\u0119kszym stopniu, b\u0119dzie trzeba si\u0119 oswoi\u0107.<\/p>\n\n\n\n<p>Nie zamierzam dzisiaj \u201ep\u0142ywa\u0107 rozpaczliwcem\u201d po ca\u0142ym tym bezkresnym oceanie enigmatycznych wyraz\u00f3w oraz okre\u015ble\u0144. Skupi\u0119 si\u0119 na regulacji, z kt\u00f3r\u0105 r\u00f3wnie\u017c ja, jako dostawca ICT, musia\u0142em si\u0119 w pe\u0142ni zaznajomi\u0107.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Third party risk management<\/strong><\/h2>\n\n\n\n<p>Od d\u0142u\u017cszego czasu instytucje finansowe koncentruj\u0105 si\u0119 na zbudowaniu poprawnej wsp\u00f3\u0142pracy ze swoimi dostawcami, kt\u00f3ra cz\u0119sto ma bardzo z\u0142o\u017cony charakter. Z\u0142o\u017cono\u015b\u0107 polega na r\u00f3\u017cnorodno\u015bci kategorii samej wsp\u00f3\u0142pracy, ale r\u00f3wnie\u017c skala dostawc\u00f3w wp\u0142ywa na wielop\u0142aszczyznowo\u015b\u0107 tego\u017c wyzwania.<\/p>\n\n\n\n<p>Third party risk management, bo o nim mowa, to zarz\u0105dzanie \u0142a\u0144cuchem zewn\u0119trznych dostaw oraz us\u0142ug oraz ryzykiem z nim zwi\u0105zanym. Dzisiaj jest to jeden z kluczowych i no\u015bnych temat\u00f3w uwypuklonych w sektorze bankowym, a w szczeg\u00f3lno\u015bci w:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>firmach ubezpieczeniowych,<\/li>\n\n\n\n<li>instytucjach kredytowych,<\/li>\n\n\n\n<li>firmach inwestycyjnych,<\/li>\n\n\n\n<li>firmach po\u017cyczkowych.<\/li>\n<\/ul>\n\n\n\n<p>Zarz\u0105dzanie ryzykiem zwi\u0105zanym ze stronami trzecimi jest oparte o nowe rozporz\u0105dzenie DORA (ang. Digital Operational Resilience Act), kt\u00f3re wprowadza zmiany we wspomnianym sektorze finansowym w obszarze cyberbezpiecze\u0144stwa us\u0142ug. Pami\u0119tajmy, \u017ce ten medal jest obustronny i DORA dotyka r\u00f3wnie\u017c wspomnianych dostawc\u00f3w ICT, kt\u00f3rzy tak\u017ce b\u0119d\u0105 podlega\u0107 jej wymogom. &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<\/p>\n\n\n\n<p>Pomimo r\u00f3\u017cnych \u201eopor\u00f3w materii\u201d czy skostnia\u0142ych struktur niekt\u00f3rych organizacji, ro\u015bnie \u015bwiadomo\u015b\u0107 i dojrza\u0142o\u015b\u0107 firm (bez wzgl\u0119du na sektor), aby wszystkie sfery danej instytucji, nie tylko te, kt\u00f3re s\u0105 literalnie z obszaru security, by\u0142y bezpieczne. <\/p>\n\n\n\n<p>Podstaw\u0105 osi\u0105gni\u0119cia sukcesu jest minimalizacja ryzyka, tak wi\u0119c zarz\u0105dzanie bezpiecze\u0144stwem powinno zacz\u0105\u0107 si\u0119 ju\u017c na etapie szukania wykonawcy, a sko\u0144czy\u0107 na drobiazgowym zarz\u0105dzaniu informacj\u0105 z ka\u017cdego obszaru dla ka\u017cdej jednostki. Podstaw\u0105 jest (i tutaj moje osobiste spostrze\u017cenie), aby wszyscy mogli przekazywa\u0107 swoje rekomendacje dotycz\u0105ce nowej, potencjalnie \u015bwiadczonej us\u0142ugi.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Na dw\u00f3ch biegunach<\/strong><\/h2>\n\n\n\n<p>S\u0142ysz\u0119 do\u015b\u0107 cz\u0119sto (chocia\u017c security to nie moja domena), \u017ce przewa\u017cnie to pracownik\u00f3w obszaru security interesuje bezpiecze\u0144stwo, a pozosta\u0142e dzia\u0142y chc\u0105 za\u0142atwi\u0107 przede wszystkim swoje sprawy, chc\u0105 rozwi\u0105za\u0107 sw\u00f3j problem i w \u017cadnym stopniu nie obchodzi ich bezpiecze\u0144stwo. Mo\u017cna by rzec \u2013 dwa przeciwstawne, odpychaj\u0105ce si\u0119 bieguny.<\/p>\n\n\n\n<p><strong>Ayn Rand,<\/strong> tw\u00f3rczyni filozofii obiektywizmu, w jednym ze swoich manifest\u00f3w napisa\u0142a<strong>, \u201e\u017ce nie ma kompromisu mi\u0119dzy chlebem a trucizn\u0105\u201d, <\/strong>a to co powy\u017cej wygl\u0105da tak, jakby by\u0142y to dwie to\u017csamo\u015bci, kt\u00f3re u\u017cywaj\u0105 i uznaj\u0105 jedyn\u0105 s\u0142uszno\u015b\u0107 swojej racji. W takim przypadku sp\u00f3r powinien sko\u0144czy\u0107 si\u0119 w\u0142a\u015bnie jakim\u015b kompromisem, <strong>a nie tkwi\u0107 w pryncypialnym sprzeciwie.<\/strong><\/p>\n\n\n\n<p>Niezno\u015bnej lekko\u015bci bytu nie da si\u0119 pogodzi\u0107 z bezpiecze\u0144stwem informacji. A skoro nie da si\u0119, to r\u00f3wnie\u017c mo\u017ce nie nale\u017cy pr\u00f3bowa\u0107, tylko umo\u017cliwi\u0107 odpowiednim osobom, by zapewni\u0142y gwarancj\u0119 bezpiecze\u0144stwa procesom biznesowym. Ponadto, mo\u017ce warto zmieni\u0107 narracj\u0119 i nie m\u00f3wi\u0107, ile firma straci, tylko, \u017ce konkretna osoba, np. Ty mo\u017cesz co\u015b straci\u0107. Warto wi\u0119c <strong>mo\u017ce zmieni\u0107 swoje zasady, jak sugeruje Anton Chigurh?<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Kogo dotknie DORA?<\/strong><\/h2>\n\n\n\n<p>Wr\u00f3\u0107my jednak do meritum mojego rozwa\u017cania na temat regulacji DORA: jakie b\u0119d\u0105 wymagania dla podmiot\u00f3w, kt\u00f3rych dotyczy\u0107 b\u0119dzie DORA? Chocia\u017c ja zada\u0142bym pytanie \u00e0 rebours: <strong>kt\u00f3re instytucje najbardziej dotknie nowe rozporz\u0105dzenie?<\/strong><\/p>\n\n\n\n<p>Odpowied\u017a jest prosta \u2013 b\u0119d\u0105 to g\u0142\u00f3wnie instytucje finansowe, kt\u00f3re wcze\u015bniej nie by\u0142y mocno uregulowane w zakresie security. Mowa tutaj o mniejszych pozabankowych podmiotach finansowych. <\/p>\n\n\n\n<p>A co do samych wymaga\u0144 w nawi\u0105zaniu do r\u00f3\u017cnych obszar\u00f3w mo\u017cemy je zamkn\u0105\u0107 w kilku kluczowych punktach:<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"1\">\n<li>Konieczne jest utworzenie procedury zarz\u0105dzania ryzykiem, na kt\u00f3r\u0105 sk\u0142adaj\u0105 si\u0119 dwa fundamentalne za\u0142o\u017cenia.\n<ul class=\"wp-block-list\">\n<li>Ryzyka, kt\u00f3re wyst\u0119puj\u0105 lub mog\u0105 wyst\u0119powa\u0107 nale\u017cy opisa\u0107 i zidentyfikowa\u0107 ich rodzaje.<\/li>\n\n\n\n<li>Nale\u017cy wykona\u0107 ocen\u0119 ryzyka, czyli klasyczn\u0105 klasyfikacj\u0119 zagro\u017cenia, na kt\u00f3r\u0105 sk\u0142ada si\u0119 szczeg\u00f3\u0142owy opis, na ile dane zagro\u017cenie jest wa\u017cne, a na ile niebezpieczne.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Organizacja musi posiada\u0107 wewn\u0119trzny zesp\u00f3\u0142 bezpiecze\u0144stwa do zarz\u0105dzania incydentami lub wsp\u00f3\u0142pracowa\u0107 z firm\u0105, kt\u00f3ra dostarcza tak\u0105 us\u0142ug\u0119 serwisow\u0105 i udost\u0119pnia j\u0105 w postaci SoC.<\/li>\n\n\n\n<li>Firma powinna mie\u0107 podpisan\u0105 umow\u0119 z podmiotami trzecimi, aby mogli wykonywa\u0107 regularnie testy penetracyjne system\u00f3w.<\/li>\n\n\n\n<li>Nale\u017cy wdro\u017cy\u0107 procesy do zarz\u0105dzania ryzykiem stron trzecich, czyli third part risk assesment, aby m\u00f3c kontrolowa\u0107 i sprawdza\u0107 systemy swoich podwykonawc\u00f3w.<\/li>\n\n\n\n<li>Zespo\u0142y obs\u0142uguj\u0105ce SoC powinny kontaktowa\u0107 si\u0119 z instytucjami takimi jak CERT, aby m\u00f3c informowa\u0107 i dystrybuowa\u0107 informacje o rozpoznanym nowym zagro\u017ceniu.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Na zako\u0144czenie<\/strong><\/h2>\n\n\n\n<p>Reasumuj\u0105c powy\u017cszy wyw\u00f3d, tytu\u0142owa DORA to regulacja, a nie zmora, kt\u00f3rej zadaniem jest zapewnienie odpowiedniego zabezpieczenia. Ryzyka i niebezpiecze\u0144stwa ro\u017cnej ma\u015bci, czy to fraudy, czy z obszaru samego security, powstaj\u0105 z wyj\u0105tkowo du\u017c\u0105 dynamik\u0105 i staj\u0105 si\u0119 ogromnym zagro\u017ceniem szczeg\u00f3lnie w instytucjach finansowych. A dlaczego akurat tam? Nie trzeba chyba tego literalnie przedstawia\u0107.<\/p>\n\n\n\n<p><strong>Niemniej jednak s\u0105 firmy,<\/strong> kt\u00f3re potrafi\u0105 przeciwdzia\u0142a\u0107 powy\u017cszym zagro\u017ceniom \u2013 znam takie trzyliterowe zaczynaj\u0105ce si\u0119 od sp\u00f3\u0142g\u0142oski, <strong>kt\u00f3re maj\u0105 na to remedium.<\/strong><\/p>\n\n\n\n<p>Ko\u0144cz\u0119 powy\u017cszy kr\u00f3tki felieton bez \u017cadnych g\u0142\u0119bokich dygresji, a jedynie z powy\u017cszym kr\u00f3tkim spostrze\u017ceniem, sugesti\u0105 odno\u015bnie remedium i s\u0142ynn\u0105 kontaminacj\u0105 Jana Stanis\u0142awskiego: <strong>\u201eTo by by\u0142o na tyle\u201d.<\/strong><\/p>\n\n\n\n<p>***<\/p>\n\n\n\n<p>Je\u015bli ciekawi Ci\u0119 punkt widzenia autora, <a href=\"https:\/\/sii.pl\/blog\/wyszukiwarka\/walendzik\/\" target=\"_blank\" aria-label=\"inne jego artyku\u0142y znajdziesz tutaj (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"ek-link\">inne jego artyku\u0142y znajdziesz tutaj<\/a>. <\/p>\n\n\n<div class=\"kk-star-ratings kksr-auto kksr-align-left kksr-valign-bottom\"\n    data-payload='{&quot;align&quot;:&quot;left&quot;,&quot;id&quot;:&quot;23283&quot;,&quot;slug&quot;:&quot;default&quot;,&quot;valign&quot;:&quot;bottom&quot;,&quot;ignore&quot;:&quot;&quot;,&quot;reference&quot;:&quot;auto&quot;,&quot;class&quot;:&quot;&quot;,&quot;count&quot;:&quot;5&quot;,&quot;legendonly&quot;:&quot;&quot;,&quot;readonly&quot;:&quot;&quot;,&quot;score&quot;:&quot;5&quot;,&quot;starsonly&quot;:&quot;&quot;,&quot;best&quot;:&quot;5&quot;,&quot;gap&quot;:&quot;11&quot;,&quot;greet&quot;:&quot;&quot;,&quot;legend&quot;:&quot;5\\\/5 ( votes: 5)&quot;,&quot;size&quot;:&quot;18&quot;,&quot;title&quot;:&quot;Cyberbezpiecze\u0144stwo, DORA, ZMORA, czyli cyfrowa odporno\u015b\u0107 operacyjna&quot;,&quot;width&quot;:&quot;139.5&quot;,&quot;_legend&quot;:&quot;{score}\\\/{best} ( {votes}: {count})&quot;,&quot;font_factor&quot;:&quot;1.25&quot;}'>\n            \n<div class=\"kksr-stars\">\n    \n<div class=\"kksr-stars-inactive\">\n            <div class=\"kksr-star\" data-star=\"1\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" data-star=\"2\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" data-star=\"3\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" data-star=\"4\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" data-star=\"5\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n    <\/div>\n    \n<div class=\"kksr-stars-active\" style=\"width: 139.5px;\">\n            <div class=\"kksr-star\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n            <div class=\"kksr-star\" style=\"padding-right: 11px\">\n            \n\n<div class=\"kksr-icon\" style=\"width: 18px; height: 18px;\"><\/div>\n        <\/div>\n    <\/div>\n<\/div>\n                \n\n<div class=\"kksr-legend\" style=\"font-size: 14.4px;\">\n            5\/5 ( votes: 5)    <\/div>\n    <\/div>\n","protected":false},"excerpt":{"rendered":"<p>Je\u015bli zasada, kt\u00f3r\u0105 si\u0119 kierowa\u0142e\u015b, sprowadzi\u0142a ci\u0119 tutaj, to co za po\u017cytek by\u0142 z tej zasady? Anton Chigurh, El Paso, &hellip; <a class=\"continued-btn\" href=\"https:\/\/sii.pl\/blog\/cyberbezpieczenstwo-dora-zmora-czyli-cyfrowa-odpornosc-operacyjna\/\">Continued<\/a><\/p>\n","protected":false},"author":344,"featured_media":23287,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","inline_featured_image":false,"footnotes":""},"categories":[1316],"tags":[1768,1766,851],"class_list":["post-23283","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-development-na-miekko","tag-zarzadzanie-ryzykiem","tag-dora","tag-cybersecurity"],"acf":[],"aioseo_notices":[],"republish_history":[],"featured_media_url":"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/08\/Cyberbezpieczenstwo-DORA-ZMORA-czyli-cyfrowa-odpornosc-operacyjna.jpg","category_names":["Development na mi\u0119kko"],"_links":{"self":[{"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/posts\/23283"}],"collection":[{"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/users\/344"}],"replies":[{"embeddable":true,"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/comments?post=23283"}],"version-history":[{"count":3,"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/posts\/23283\/revisions"}],"predecessor-version":[{"id":23391,"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/posts\/23283\/revisions\/23391"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/media\/23287"}],"wp:attachment":[{"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/media?parent=23283"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/categories?post=23283"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sii.pl\/blog\/wp-json\/wp\/v2\/tags?post=23283"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}