Kontynuujemy nasz cykl poświęcony omówieniu zagadnień dotyczących cyberbezpieczeństwa. Tym razem dzielimy się praktycznymi wnioskami na temat wdrożenia DORA. Artykuł powstał na podstawie webinarium, które 21 października 2024 r. prowadziła radca prawny Monika Macura, na temat podstawowych zagrożeń, regulacji oraz dobrych praktyk w zakresie cyberbezpieczeństwa dla instytucji finansowych. Pełne nagranie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych” jest dostępne na kanale youtube.

Audyt spełnienia wymagań Rozporządzenia DORA

Pierwszy krok to weryfikacja systemu zarządzania ryzykiem pod kątem uwzględnienia kwestii ICT jako części ryzyka operacyjnego. Kolejny etap powinien objąć ocenę zgodności planu ciągłości działania z wymogami DORA, zwłaszcza weryfikację, na ile uwzględnia on zakres wymagany przez DORA. W dalszym etapie oceniamy pod względem zgodności z DORA:

• zarządzanie incydentami związanymi z ICT;
• program testowania operacyjnej odporności cyfrowej;
• wewnętrzne polityki i regulacje.

Z doświadczenia – zmiany lub opracowanie obejmą następujące dokumenty:

• strategię odporności cyfrowej;
• politykę bezpieczeństwa informacji;
• politykę ciągłości działania;
• proces zarządzania incydentami, w tym procedurę reagowania na incydenty;
• program testowania operacyjnej odporności cyfrowej;
• strategię dotyczącą ryzyka związanego z usługami ICT, w tym ryzyk ze strony zewnętrznych dostawców usług ICT;
• procedurę tworzenia kopii zapasowych, a także procedury i metody przywracania i odzyskiwania danych.

Określenie wymogów technicznych z zakresie odporności cyfrowej – szkolenia pracowników i osób zarządzających

DORA wymaga od instytucji finansowych regularnego testowania swoich systemów ICT w celu oceny ich odporności na cyberzagrożenia, co obejmuje:

• regularne testy penetracyjne oraz bardziej zaawansowane testy, które mają na celu identyfikację słabych punktów w systemach oraz procedurach bezpieczeństwa;
• testowanie narzędzi i systemów ICT oraz ich funkcji krytycznych, aby upewnić się, że organizacja jest w stanie szybko przywrócić usługi po ewentualnym incydencie.

Programy testowania operacyjnej odporności pozwalają na ocenę skuteczności środków ochrony oraz doskonalenie strategii przeciwdziałania zagrożeniom.

Współpraca z zewnętrznymi dostawcami usług ICT

Jak omawialiśmy w poprzednim artykule, instytucje finansowe często korzystają z usług zewnętrznych dostawców ICT, co wiąże się z koniecznością zarządzania ryzykiem związanym z outsourcingiem. Kluczowe wyzwania obejmują:

• ocenę zgodności umów zawartych z dostawcami usług ICT z wymogami prawnymi oraz polityką bezpieczeństwa instytucji finansowej;
• zarządzanie ryzykiem koncentracji ICT, czyli uzależnieniem od jednego lub kilku dostawców, co może wpłynąć na dostępność usług w przypadku ich problemów operacyjnych;
• wprowadzenie klauzul umownych dotyczących bezpieczeństwa, procedur raportowania oraz reagowania na incydenty, co jest szczególnie ważne w kontekście świadczenia usług krytycznych dla funkcjonowania instytucji.

Regulacje takie jak DORA nakładają na instytucje finansowe obowiązek monitorowania i oceny ryzyka związanych z dostawcami ICT oraz wdrażania środków zaradczych w przypadku stwierdzenia niedociągnięć.

Outsourcing usług płatniczych i soft law

W kontekście outsourcingu usług płatniczych należy uwzględnić przepisy prawa, jak i akty prawa miękkiego, które regulują zarządzanie ryzykiem:

• art. 86 Ustawy o usługach płatniczych określa warunki, jakie muszą spełniać instytucje powierzające swoje czynności operacyjne podmiotom trzecim;
• rekomendacje i wytyczne, takie jak Rekomendacja D KNF dotycząca bezpieczeństwa ICT w bankach czy Wytyczne EBA w zakresie outsourcingu, wskazują na najlepsze praktyki w zakresie zarządzania ryzykiem.

Wytyczne te obejmują nie tylko kwestie techniczne, ale również prawne i operacyjne, które mają na celu minimalizowanie ryzyka związanego z wykorzystaniem usług zewnętrznych dostawców.

Polityka korzystania z usług dostawców ICT

Współpraca z dostawcami usług ICT wymaga szczególnej uwagi w zakresie zarządzania ryzykiem. Polityka dotycząca korzystania z usług tych dostawców powinna uwzględniać:

• kluczowe wskaźniki efektywności i kontroli służące do monitorowania jakości świadczonych usług;
• zasady przekazywania raportów oraz powiadamiania o incydentach związanych z bezpieczeństwem danych;
• plany wyjścia z umowy, które określają procedury działania w przypadku zakończenia współpracy z dostawcą ICT, aby uniknąć zakłóceń w świadczeniu usług.

Dokumentacja dotycząca polityki bezpieczeństwa i zarządzania ryzykiem musi być na bieżąco aktualizowana i zgodna z obowiązującymi przepisami.

Podsumowanie

Cyberbezpieczeństwo w rozwiązaniach płatniczych wymaga zintegrowanego podejścia obejmującego zarówno regulacje prawne, zarządzanie ryzykiem, jak i najlepsze praktyki operacyjne.

Nowe regulacje, takie jak DORA, podnoszą standardy bezpieczeństwa w sektorze finansowym, jednak ich skuteczność zależy od wdrożenia odpowiednich procedur oraz współpracy między instytucjami a dostawcami technologii.

W obliczu dynamicznego rozwoju zagrożeń cybernetycznych, niezbędne jest również podnoszenie świadomości pracowników oraz ciągłe doskonalenie strategii ochrony przed atakami.

Artykuł powstał na podstawie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych”, które 21 października 2024 r. prowadziła radca prawny Monika Macura – jego nagranie jest dostępne na kanale youtube.