Băncile, asigurătorii și societățile de investiții trebuie să-și adapteze strategiile de securitate cibernetică la noile norme privind reziliența operațională digitală, adoptate de UE la finele lunii noiembrie. Termen de conformare – final de 2024.

Breșele de securitate a datelor reprezintă o amenințare omniprezentă în lumea digitală, chiar dacă au fost făcute progrese în ultimii ani, iar anul 2023 se profilează ca un nou test de reziliență pentru companii și cu presiuni tot mai mari pentru a asigura securitatea și confidențialitatea datelor, potrivit studiului Digital Trust Insights Survey 2023 realizat de PwC. În acest context, este nevoie de un nivel mai ridicat de colaborare între sectorul public și cel privat pentru o raportare mai clară a incidentelor, gestionarea riscurilor și planificarea continuității afacerii și a recuperării în caz de dezastru.

articol scris de Mircea Bozga – Partener Risk Assurance, PwC România, Robert Girdoc – Senior Manager, PwC România si Răzvan Cioc – Manager, PwC România

Numărându-se printre țintele preferate ale hackerilor, băncile, societățile de asigurări și firmele de investiții trebuie să-și întărească mai mult securitatea cibernetică până la finalul anului 2024, pentru a se conforma cerințelor Actului legislativ privind reziliența operațională digitală (DORA), adoptat de Consiliul European la finele lunii noiembrie. DORA este cea mai importantă inițiativă de reglementare a UE privind reziliența operațională și securitatea cibernetică în sectorul serviciilor financiare, pentru a se asigura că sectorul financiar european este capabil să reziste în cazul unor perturbări operaționale grave.

Publicată pentru prima dată în septembrie 2020, ca parte a Pachetului privind finanțele digitale (DFP) al Uniunii, perioada de punere în aplicare a DORA va dura 24 de luni, ceea ce înseamnă că firmele trebuie să se conformeze cerințelor până la sfârșitul anului 2024. 

Care sunt cerințele DORA?

Aproape fiecare tip de instituție financiară  din UE va trebui să se asigure că furnizorii săi și controalele de securitate ale acestora respectă standardele de reziliență, iar eforturile solicitate entităților financiare vor fi proporționale cu riscurile potențiale. Totodată, DORA stabilește cerințe uniforme pentru securitatea rețelelor și a sistemelor informatice ale companiilor din sectorul financiar, precum și ale părților terțe critice care le furnizează servicii legate de TIC (tehnologii ale informației și comunicațiilor), cum ar fi platformele cloud sau serviciile de analiză a datelor. Mai mult, furnizorii de servicii TIC din țări terțe vor trebui să-și înființeze filiale pe teritoriul UE, astfel încât supravegherea să poată fi pusă în aplicare în mod corespunzător.

În ceea ce privește Directiva NIS, aceasta continuă să se aplice, DORA abordând posibilele suprapuneri prin derogări.

Aspectele care necesită transpunere la nivel național vor fi adoptateîn legislația fiecărui stat membru al UE. În același timp, autoritățile europene de supraveghere relevante din domeniul bancar, al valorilor mobiliare și al asigurărilor vor elabora standarde tehnice care vor trebui respectate de toate instituțiile din domeniul serviciilor financiare.

Contextul cibernetic. La ce trebuie să fie atente companiile?

Impactul atacurilor cibernetice merge mult mai departe de costul financiar direct, prejudiciile menționate de organizațiile afectate de un astfel de incident în ultimii trei ani fiind pierderea clienților, pierderea datelor clienților și daune aduse reputației sau mărcii. În pofida faptului că atacurile cibernetice continuă să coste companiile milioane de dolari, mai puțin de 40% dintre directorii chestionați în cadrul Digital Trust Insights afirmă că au atenuat complet expunerea la riscurile de securitate cibernetică într-o serie de domenii critice, precum munca la distanță și hibridă (38% spun că riscul cibernetic este pe deplin atenuat), adoptarea accelerată a cloud-ului (35%), utilizarea IOT (34%), digitalizarea lanțului de aprovizionare (32%) și a operațiunilor de back-office (31%).

În același timp, două treimi dintre directori consideră că infracțiunile cibernetice reprezintă cea mai importantă amenințare pentru anul viitor. Infractorii cibernetici, care folosesc din ce în ce mai mult resurse disponibile comercial, pot comite și orchestra o varietate de atacuri.

Companiile trebuie să monitorizeze permanent expunerea la riscurile cibernetice, să-și consolideze capacitățile de detecție și răspuns la amenințări, să utilizeze o politică de parole puternice, să se asigure că patch-urile de securitate pot fi aplicate la timp și corespunzător și să securizeze backup-ul datelor.

De asemenea, definirea unor planuri adecvate de continuitate a afacerii și recuperare în caz de atac este primordială în gestionarea acestora. La fel de importante sunt și instruirea angajaților cu privire la rolul lor în prevenirea atacurilor cibernetice și raportarea oricărei activități cibernetice anormale sau rău intenționate către instituțiile locale de reglementare.

Având experiența ultimilor doi de pandemie în care atacurile cibernetice s-au intensificat și au devenit din ce în ce mai sofisticate, companiile sunt mai conștiente de riscuri, multe dintre ele și-au elaborat strategii și alocă bugete mai mari de investiții. Întrebarea este însă dacă aceste investiții sunt eficiente și pot răspunde atacurilor viitoare.

Deși investițiile în securitatea cibernetică au crescut foarte mult, cel mai adesea ele au fost defensive și reactive la multitudinea de amenințări din mediul digital, iar randamentele nu au fost cele scontate. Strategia de apărare cibernetică este definită, printre altele, pe baza analizei mai multor scenarii ce încearcă să prevadă manifestarea amenințărilor. Iar capacitatea de analiză rămâne în continuare limitată, din cauza unor factori precum complexitatea internă a organizațiilor(procese nefuncționale sau ineficiente, mediul tehnologic eterogen și, de multe ori, lipsa unei comunicari interne adecvate),  ecosistemul de afaceri (numărul mare de parteneri de afaceri, direcți sau indirecți) și  viteza cu care evoluează complexitatea amenințărilor cibernetice și resursele disponibile atacatorilor.

De aceea, companiile din domeniul serviciilor financiare, dar nu numai, trebuie să își asigure reziliența operațională prin adoptarea unor strategii de securitate cibernetică holistice, care să răspundă și provocărilor de mâine, nu doar celor de azi. Aceste strategii sunt operaționalizate odată cu dezvoltarea unor programe de securitate adecvate, care dispun de resursele necesare implementării tehnologiilor relevante și a proceselor eficiente de identificare și răspuns la amenințări, precum și dezvoltării capabilităților la nivelul resurselor umane specializate.

Nu în ultimul rând, riscurile cibernetice sistemice trebuie monitorizate la nivel de societate, iar adresarea acestora poate fi făcută prin crearea unor mecanisme de partajare securizată a indicatorilor tehnici sau tehnologici cu privire la incidentele de securitate, mecanisme construite pe relații de încredere, la nivelul comunităților profesionale ale specialiștilor în securitate sau în cadrul cooperărilor dintre companii și autoritățile specializate.