Unijne rozporządzenia DORA dotyczące cyfrowej odporności instytucji finansowych.

Unijne rozporządzenia DORA dotyczące cyfrowej odporności instytucji finansowych.

Rozporządzenie DORA (Digital Operational Resilience Act) regulacja Unii Europejskiej dotyczącą cyfrowej odporności instytucji finansowych.

Reformy, które zostały przeprowadzone po kryzysie finansowym z 2008 roku, przede wszystkim wzmocniły stabilność finansową sektora. Zagrożenia związane z technologiami informacyjno-komunikacyjnymi zostały uwzględnione jedynie pośrednio w niektórych obszarach i nadal stanowiły wyzwanie dla odporności operacyjnej, wydajności i stabilności systemu finansowego UE.

Rozporządzenie, określane skrótem DORA, jest częścią większego pakietu przepisów dotyczących finansów cyfrowych, mającego na celu wspieranie rozwoju technologicznego oraz zapewnienie stabilności finansowej i ochrony konsumentów. Jego pozostałe elementy obejmują strategię finansów cyfrowych, rynki kryptoaktywów i technologię rozproszonego rejestru.

Od instytucji finansowych w UE oczekuje się wdrożenia rygorystycznych środków w celu przetestowania i wykazania zgodności z nowymi przepisami dotyczącymi zarządzania ryzykiem cyberbezpieczeństwa, zgłaszania incydentów, testowania odporności operacyjnej i monitorowania ryzyka przez podmioty zewnętrzne. W rozporządzeniu DORA określa się to jako Threat Led Penetration Testing (TLPT). TLPT polega na symulowaniu rzeczywistych cyberataków w celu oceny obrony organizacji przed wyrafinowanymi zagrożeniami. Celem jest ocena środowiska usług finansowych i upewnienie się, że wszystkie potencjalne drzwi, przez które może wejść atakujący, są zamknięte, a gdy jedne drzwi się zamkną, inne nie zostaną pozostawione lub nie staną się otwarte.

Zadania organizacji podlegających DORA

Zrozumienie zagrożeń

Trudno się bronić, jeśli nie masz pojęcia, z czym się mierzysz, a historia i niezliczone doniesienia prasowe są dowodem na to, że próba obrony przed wszelkiego rodzaju zagrożeniami cyfrowymi to daremne przedsięwzięcie. W związku z tym pierwszym krokiem do osiągnięcia zgodności z DORA jest profilowanie nie tylko podmiotów stanowiących zagrożenie, które mają na celu sektor usług finansowych, ale także konkretnie tych podmiotów i za pomocą jakich taktyk, technik i procedur (TTP) prawdopodobnie zostaniesz zaatakowany.

Jednak zanim będziesz mógł określić, jak podmiot może Cię postrzegać i do Ciebie podchodzić, musisz wiedzieć, kim jesteś. Tak więc pierwszy profil, który należy utworzyć, dotyczy Twojej własnej firmy. Nie tylko usług finansowych, ale także sektora/aspektu, regionu i wreszcie konkretnego profilu ryzyka opartego na kluczowych aktywach w infrastrukturach organizacyjnych, a nawet partnerskich.

Drugi profil zaczyna się od obecnej populacji znanych hakerów, którzy celują w branżę usług finansowych. Następnie przechodzi do zawężania grupy, o których wiadomo, że są zgodni z konkretnym profilem docelowym. Następnie, wykorzystując standardowe modele branżowe, takie jak ramy MITRE ATT&CK, tworzony jest wykres zrozumiałych celów i TTP każdego cyberprzestępcy/grupy, w tym ich tradycyjnych i preferowanych metod dostępu i eksploatacji, a także ich możliwości unikania, utrzymywania się oraz dowodzenia i kontroli.

Na koniec dwa szczegółowe profile są łączone w celu odwzorowania wykresu ataku dla każdego atakującego na profil organizacyjny w odniesieniu do aktywów, infrastruktury i „celów trofeów”. Końcowy wynik jest kluczowy dla poinformowania i zdefiniowania szczegółowego planu testowania, który zidentyfikuje scenariusze, w których atakujący prawdopodobnie będzie przestrzegał TTP do kluczowych aktywów w każdym indywidualnym środowisku.

Rozwiązywanie zagrożeń

Po jasnym zrozumieniu hakerów w grze i określonych zagrożeniach specyficznych dla organizacji, organizacja podejmie serię ćwiczeń ofensywnych (Red Team) i defensywnych (Purple Team), aby przetestować zdolność infrastruktury operacyjnej do odpierania ataków, infrastruktury bezpieczeństwa do szybkiego reagowania i zatrzymywania kompromisów oraz kontynuowania działalności z minimalnymi lub żadnymi zakłóceniami.

Po stronie ofensywnej znajduje się Red Teaming. W skoncentrowany i ukierunkowany na cel sposób Red Team zmapuje profil wywiadu zagrożeń na określone aktywa i dynamikę środowiskową oraz przetestuje je, aby określić wszelkie aktywa, które są podatne na TTP w profilu. Aby było jasne na początku, a szczególnie w przypadku DORA, proces podejmowany dla Red Team, a także Purple Team, nie jest uniwersalny. Aby dokładnie spełnić wymaganą rygorystyczność w DORA, proces powinien być wielofazowy, a każdy proces powinien być testowany i przestrzegany od początku do końca z każdym profilem hakera indywidualnie.

Najlepsze Red Teams są napędzane i kierowane przez zrozumienie hakera/ataku i cele trofeów, które stanowią największe ryzyko organizacyjne. Na podstawie mapy atakującego i organizacji zespół wdroży kombinację testów, które obejmują zarówno elementy ludzkie, jak i technologiczne, od inżynierii społecznej i bezpieczeństwa fizycznego po aplikacje, sieci i chmury. Starają się ocenić podatność – zarówno indywidualnie, jak i zbiorowo – ogniw w prawdopodobnym łańcuchu ataku oraz wykonalność dotarcia do celu trofeum.

Podczas gdy Red Teams to działania „ślepe” bez pełnej wiedzy lub komunikacji, Purple Teams są wykonywane z szeroko otwartymi oczami i uszami. Purple Teams przeprowadzają „ostre” przeglądy, które pozwalają Red Teams i Blue Teams (wewnętrznym zespołom bezpieczeństwa obronnego) otwarcie odgrywać sytuacje ataku i określać, w jakim stopniu obrona może szybko wykryć i zniwelować próby ataku.

Ponadto ocena poziomu przygotowania i odporności nie powinna ograniczać się do technologii, ale obejmować infrastrukturę ludzi i procesów, które byłyby wymagane do reagowania w kryzysie. Odbywa się to za pomocą symulacji w celu określenia siły i zdolności adaptacyjnych interesariuszy organizacji (wewnętrznych i zewnętrznych), orientacji i procesów biznesowych w odniesieniu do reagowania na incydenty.

Oczywiście, jak w przypadku każdej działalności związanej ze zgodnością, wyniki nie tylko mają znaczenie, ale są wymagane. Jeśli chodzi o działania i wyniki, należy opracować udokumentowane możliwości/środki naprawcze, zweryfikowaną odporność i plan gotowości. Dotyczy to zarówno przestrzegania i demonstrowania zgodności z wymogami DORA, jak i ustanawiania mechanizmów i dyscypliny w zakresie ciągłego doskonalenia organizacyjnego. Jednak na tym się nie kończy. W rzeczywistości nigdy nie powinno się kończyć.

Przewidywanie zagrożeń

Wszystko się zmienia, a wraz ze zmianami pojawiają się nowe innowacje i motywacje – zarówno dla firm świadczących usługi finansowe, jak i podmiotów, które je atakują. Nawet przy pewnym poziomie zaufania do obecnej postawy i planów, nadzór nad zagrożeniami musi być ciągłą działalnością, aby uwzględnić nieznane jeszcze lub zupełnie nowe ryzyka, które pojawiają się bez powiadomienia.

Testowanie powinno być połączeniem zaplanowanej, okresowej i/lub przeprowadzanej na żądanie oceny powierzchni ataku organizacyjnego i środowiska zagrożeń. Infrastruktura aktywów powinna być pod stałym nadzorem pod kątem wszelkich zmian w składzie, łączności i aktywności, które mogą zmienić warunki narażenia.

Aplikacje i zasoby powinny być poddawane kompleksowym testom zarówno regularnie, jak i w celu uwzględnienia wszelkich aktualizacji, nowych powiązań lub nowo odkrytych luk w oprogramowaniu lub komponentach.

Należy również zachować czujność w zakresie zmian w profilach podmiotów lub krajobrazie. Obejmuje to nowe TTP, narzędzia/infrastrukturę lub nowych podmiotów, które pojawiły się na scenie. Zgodność z DORA nie jest małym przedsięwzięciem i wymaga odpowiedniego partnera, aby zapewnić nie tylko zgodność, ale także środowisko gotowości i ciągłego doskonalenia. Jednak końcowy wynik to inwestycja, która będzie nadal przynosić dywidendy i je bronić.


4.02.2025
źródło: KNF, Eur-LEX, SecurityWeek/Trevin Edgeworth Red Team Practice Director at Bishop Fox

DORA, rozporządzenia o odporności cyfrowej instytucji finansowych, ustawa o operacyjnej odporności cyfrowej, zarządzanie ryzykiem, zgodność  przepisami, zagrożenia cyfrowe, cyberprzestępca, profilowanie hakerów, Red Team, Purple Team, Blue Teams, regulations on digital resilience of financial institutions, act on operational digital resilience, risk management, regulatory compliance, digital threats, cybercriminal, hacker profiling, Vorschriften zur digitalen Belastbarkeit von Finanzinstituten, Gesetz zur operativen digitalen Belastbarkeit, Risikomanagement, Einhaltung gesetzlicher Vorschriften, digitale Bedrohungen, Cyberkriminalität, Hacker-Profiling,