Alexandru Dobrev, BNR: “Nu ducem lipsă de cuantum al amenzilor în ceea ce privește DORA, dar încercăm să conștientizăm responsabilii din bănci că este în interesul lor să asigure un nivel de securitate ridicat” – VIDEO

• „Cuantumul amenzilor este imens în cazul DORA, pentru că amenzile sunt văzute din punct de vedere prudențial  și este corect acest lucru, pentru că o problemă de reziliență operațională poate într-adevăr conduce la falimentul unei instituții financiare”

Transformarea digitală în sectorul bancar merge accelerat, avem bănci integral digitale, iar băncile clasice fac și ele pași foarte mari în direcția digitalizării, a declarat Alexandru DOBREV, Șef serviciu Serviciul monitorizare a infrastructurilor pieței financiare, Direcția monitorizare a infrastructurilor pieței financiare și a plăților, Banca Națională a României, la Forumul România Digitală, organizat de Financial Intelligence.

Domnia sa a explicat: “Nevoia de digitalizare vine atât din partea clienților care preferă canalele digitale, preferă ușurința de a interacționa cu banca de la distanță, dar și din partea conducerii băncilor care se uită la economiile de scară care se pot realiza, la eficientizare, la oferirea unei game de servicii pe care altfel le-ar fi greu să le ofere.

Noi, Banca Națională, suntem supraveghetor în acest domeniu. Pentru noi, DORA (n.r. Regulamentul privind Reziliența Operațională Digitală  face parte dintr-o inițiativă mai largă a Uniunii Europene de a consolida reziliența sectorului financiar în fața riscurilor cibernetice și a atacurilor digitale) este, în momentul de față, documentul de referință cu privire la securitatea și reziliența operațională digitală.

Esența DORA este că toate entitățile financiare, nu numai cele din domeniul bancar, au o serie de servicii pentru care sunt autorizate și aceste servicii trebuie să continue să funcționeze, indiferent de incident, indiferent de situație, inclusiv în cazul unor atacuri. Pentru ca ele să funcționeze, este necesar ca, începând cu management-ul instituțiilor și continuând cu partea tehnică, umană, de cunoștințe, de informații, totul să fie foarte bine pus la punct”.

Potrivit domnului Dobrev, supravegherea implementării DORA, cap-coadă, la o bancă mare înseamnă o echipă multidisciplinară, de șase-opt membri, fiecare cu specializări separate, care să desfășoare o acțiune de control on- site, unde să verifice toată documentația și toate controalele implementate, acțiune care durează aproximativ 6 luni. Un test extern, ca să vezi dacă, din exterior, banca aceea este vulnerabilă la metode și tactici folosite de atacatori avansați,  durează între 6-9 luni, cu cei mai buni specialiști, cele mai bune echipe externe care să facă un astfel de test.

Domnia sa a mai spus: “Autoevaluarea unei bănci mari pentru nivelul cerut de DORA  înseamnă un proiect de un an și jumătate – doi ani, în care echipe multidisciplinare din diverse linii de apărare ale băncii conlucrează, identifică gap-urile și le rezolvă. Vorbim de sute de aspecte care necesită îmbunătățire ca într-adevăr să poți spune la final că ești conform cu DORA.

Acest exercițiu de compliance are trei niveluri.

Nivelul de bază ar fi acela că există documente, roluri, o serie întreagă de declarații ale managementului cu privire la asigurarea rezilienței cibernetice – atunci toate zonele, toate articolele din DORA ar putea fi considerate acoperite la un nivel de bază.

După aceea, urmează nivelul mediu  – acele documente trebuie transpuse în controale, în proceduri. Trebuie avute în vedere standardele internaționale care prevăd ce controale și cum ar trebui organizată activitatea. În plus mai trebuie să fie și oamenii care să desfășoare activitatea.

Nivelul cel mai adânc este atunci când mergi dincolo de un standard, implementezi multiple standarde, le certifici, le testezi și implici întregul ecosistem, pentru că, de fapt, fiecare bancă are zeci, sute de furnizori, clienți din toate domeniile și are interacțiuni și funcționează într-un ecosistem. Aici ar putea fi economii de scară foarte mari pentru că schimbul de informații prevăzut de DORA ar putea aduce beneficii majore întregii industrii financiare.

Noi, ca bancă națională, avem pe de o parte rolul legal de supraveghere și pe de altă parte rolul de catalist, rolul de a așeza la aceeași masă oameni care au interese aliniate din domeniul financiar și a-i ghida pentru a se obține un grad de reziliență cât mai bun al sectorului financiar de care cu toții depindem într-o măsură din ce în ce mai mare”.

Domnul Dobrev a mai spus: “Cuantumul amenzilor este imens în cazul DORA, pentru că amenzile sunt văzute din punct de vedere prudențial și este corect acest lucru, pentru că o problemă de reziliență operațională poate într-adevăr conduce la falimentul unei instituții financiare. Nu e o mare diferență între partea operațională și partea de capitalizare, de aceea vorbim de amenzi de zeci de milioane de euro sau dublul pierderii evitate sau dublul profitului obținut prin încălcarea legii.

Așadar, în ceea ce privește DORA, nu ducem lipsă de cuantum al amenzilor, însă noi încercăm să conștientizăm responsabilii din bănci și top managementul din bănci cu privire la faptul că este în interesul băncilor să asigure un nivel de securitate ridicat. Este chiar în interesul băncii, al acționarilor și al clienților, adică nu este un interes divergent. De fiecare dată când am avut aceste discuții, am avut totală înțelegere din partea cealaltă a mesei – este foarte bine să conlucrăm, să discutăm și să găsim soluții, fără a fi nevoie de amenzi, cel puțin în faza aceasta.

Este posibil ca în urma unui proces foarte comprehensiv să se constate că trebuie făcute investiții majore, poate milioane de euro și atunci s-ar putea să existe o reticență, o temporizare a lor. Dacă vom constata că e vorba de considerente economice, va trebui să intervenim în domeniul economic.

Mindsetul BNR este că dă multe avertismente, dar însoțite de foarte multe planuri de măsuri. Dacă nu se respectă planul de măsuri, atunci se calculează amenzi. Cam aceasta este abordarea generală pe care o are Banca Națională, dar pot să vă spun că se respectă planurile de măsuri”.

Testele DORA vizează partea de software, partea de hardware și partea umană, a mai spus domnul Dobrev, precizând: “Toate acestea pot constitui vulnerabilități exploatate de un atacator. Recent, internetul în America a picat patru ore și jumătate, ca urmare a faptului că o mare companie, furnizor de cloud, a avut o problemă și toate serverele lor s-au închis.

Ulterior, analiza a relevat faptul că a fost o tabelă care a fost replicată la nivelul tuturor serverelor, care conținea câteva câmpuri goale, care nu ar fi trebuit să fie goale. Acele câmpuri goale, odată procesate, au generat erori care au condus la blocarea și resetarea serverelor.  Compania respectivă avea un mecanism prin care putea să închidă acel fir de execuție și să revină la starea anterioară, ceea ce a și făcut. Specialiștii au depistat eroarea în 10 minute, au apăsat pe comutatorul de oprire și au închis în 15 minute. Când toate serverele din America ale acestei mari companii au încercat să revină în același timp,  nu au putut, ceea ce a durat 4 ore ca să le facă să repornească în mod eșalonat, fără a bloca toate echipamentele de care depindeau.

DORA ar fi ajutat în acest caz, pentru că DORA are cerințe clare pentru repornirea activității, are cerințe clare pentru change-management. În plus, DORA prevede și supravegherea directă de către autoritățile europene de supraveghere a acestor furnizori de cloud. Cred că la o inspecție de șase luni în care se ia control cu control și se verifică, probabil ar fi fost găsite aceste slăbiciuni și acesta este un avantaj pe care DORA îl are față de legislația mult mai laxă din Statele Unite”.