Mihai ANDRIEȘ, BRD: Regulamentul DORA va duce la creșterea rezilienței organizațiilor, aplicarea acestuia fiind o schimbare de paradigmă în conștientizarea și prioritizarea măsurilor de securitate fără de care digitalizarea poate deveni un risc major

Regulamentul european privind reziliența operațională digitală a sectorului financiar (DORA), așa cum îi spune și numele, pune accent pe reziliență, a spus Mihai ANDRIEȘ Director Securitatea Informației BRD Groupe Société Générale, la Cybersecurity Forum, organizat de Financial Intelligence, pe 17 martie.

Domnia sa a explicat: ”Reziliența înseamnă capacitatea unei organizații de a anticipa și de a rezista la diferite evenimente – atacuri, incidente. Nu neapărat toate incidentele sunt provenite din atacuri. Unele incidente pot să apară, de exemplu, din vulnerabilități în fiabilitatea componentelor.

Potrivit DORA, trebuie să aplicăm reziliența pe activitățile și funcțiile critice de business, dar, pentru asta, trebuie să le identificăm, adică să avem un perimetru al lor. Aceasta este subpunctul unu, din domeniul 1 al DORA.

Activitățile și funcțiile critice, la rândul lor, se bazează pe resurse. În mod particular, în aria DORA, ne vom referi la resurse digitale, aplicații, infrastructură. Așadar, pentru a fi rezilient în zona de activități de business, automat ar trebui să fim rezilienti în zona de resurse. După maparea activităților critice, pe resursele care le sustin, acestea intră, cu prioritate, în perimetrul de reziliență.”

Dar ce ne impiedica să avem infrastructura si aplicații reziliente? Amenințările și riscurile. Astfel, la al doilea subpunct din domeniul 1, DORA prevede să avem un Management al Riscurilor, adică să identificăm, să măsurăm, să tratăm, să monitorizăm și să raportăm riscurile aplicate pe infrastructura fiecăruia dintre noi, detaliază Mihai ANDRIEȘ: “Managementul riscului constă, în mod particular, în politici, în proceduri, dar și în acțiune. Acolo unde identificăm un risc peste apetitul de risc, trebuie să acționăm cu controale suplimentare, cu proiecte de securitate pentru a-l reduce la un nivel acceptabil.”

Mai departe, al doilea domeniu al DORA presupune că, în ciuda măsurilor de securitate, nimic nu garantează unei companii că nu va avea incidente.

„Nu există securitate 100% sau zero risc, oricâte măsuri ar fi implementate”, a spus reprezentantul BRD: „Astfel, DORA in domeniul 2, reglementează managementul incidentelor. Asta presupune mai multe activități, în primul rând, pregătirea și identificarea tipurilor de incidente. Pregătim câte un comportament și câte o metodă pentru fiecare, deoarece, în caz de incident, presiunea emoțională este foarte mare. Ajută foarte mult să ai documente preventive care să te ghideze.

După partea de pregătire si partea de identificare, a incidentelor, urmează etapele de izolare, eradicare, recuperare și raportare. Partea de raportare către autorități este în mod specific dezvoltată. De asemenea, mai este partea de lecții învățate și partea de îmbunătățire continuă.”

Domeniul 3 al DORA se referă la parteneri, cu care avem interacțiune permanentă – furnizori, mentenanță.

Mihai ANDRIEȘ spune: „Nici nu se mai poate astăzi să faci totul in-house, trebuie să te bazezi pe parteneri, care sunt specializați. Nivelul de securitate al partenerilor influențează, la rândul său, activitățile și funcțiile critice de business.

Regulamentul cere să identifici partenerii care sunt legați de activitățile critice și să le monitorizezi reziliența. Trebuie analizate contractele și clauzele cu fiecare partener.

DORA cere explicit să ai o strategie de exit, dacă partenerul are o problemă. De asemenea, este necesară o monitorizare permanentă a prestației partenerilor.”

De asemenea, se pune problema dacă putem verifica anticipativ dacă sunt bune sau nu măsurile luate. Domeniul 4 al DORA reglementează și impune testele de penetrare, dar mult mai complex, așa cum un atacator real ar face, și anume, ar căuta vulnerabilitățile fie în infrastructură, fie umane, fie la terțe părți (parteneri), fie alte tipuri de vulnerabilități, astfel încât să le exploateze și să măsoare nivelul de reziliență, conform specialistului citat.

“În mod etic, din această acțiune, organizația învață și aplică măsurile preventive, astfel încât să nu ajungă la măsuri reactive, în urma unui incident real. Testele sunt pe două secțiuni: threat intelligence – partea care se caută informații prin orice mijloace despre organizație, se definesc planurile de acțiune, iar Red team este partea care va face ofensiva respectivă și va aplica ce a propus echipa de threat intelligence”, a spus domnul Andrieș.

Potrivit acestuia, ultimul domeniu al regulamentului este schimbul de informații: “DORA vizează să implementeze o cultură a cyber-risk, în mod particular colaborarea între organizații și colaborarea cu autoritățile, astfel încât să conștientizăm că amenințările cyber ne privesc pe toți, nu sunt o problema unui singur actor. Partea de securitate nu este un motiv concurențial, ci ține de întreg mediul. N-ar trebui să stăm liniștiți dacă vedem victorii ale infractorilor cibernetici la o anumită organizație, pentru că ne poate veni și nouă rândul la un moment dat.

In Domeniul 5 DORA formeaza un mindset de risc, adică să recunoaștem că avem o problemă globală”.

În țara noastră, BNR va verifica toate băncile reglementate, dar cu precădere băncile sistemice, din punct de vedere al conformării la DORA.

DORA are o plus valoare pragmatica prin faptul ca defineste holistic activitaile ce trebuiesc realizate pentru asigurarea unui nivel adecvat de rezilienta. “În momentul acesta, nu mai poți să spui că nu te-ai gândit, când ai făcut risk assesmentul, că trebuie să ai strategie de exit pentru third parties. Acum este clar pentru toată lumea că trebuie să facem aceste lucruri”, a subliniat Mihai Andrieș.

Legat de investițiile necesare pentru securitatea cibernetică, domnia sa a spus: “În primul rând, o organizație ar trebui să investească în expertiza umană. Dacă ai oameni care sunt motivați, experți, cu retenția cuvenită, ei vor putea să facă o implementare adecvată asupra nivelului de securitate. Asta înseamnă să ai un security operation center, adică experți care se ocupă de acest lucru, și trebuie să investești în tool-urile prin care echipa să poată să își desfășoare activitatea.

Un alt canal de riscuri îl reprezintă partenerii. În situația partenerilor, nu mai este cum era în trecut, când partenerii veneau la sediu, fizic. Astfel, pe lângă faptul că trebuie să fie sigură conectivitatea, cu multi-factor authentication, măcar să fie on demand, adică să nu fie o conectivitate tot timpul deschisă.

De asemenea, vulnerabilitățile interne reprezintă o problemă pe care o avem cu toții. Niciun soft, niciun hardware nu-i perfect, există aceste vulnerabilități, unele există intrinsec, altele lăsate intenționat pentru generațiile următoare sau pentru momente ulterioare, dar trebuie să trăim cu ele și trebuie să avem un program bine respectat de vulnerability management.

De asemenea, important este și nivelul de compliance, care este un factor de risc, daca este neglijat.”

Domnia sa a lansat și câteva lucruri la care trebuie să reflectăm: ” 1. falsul sentiment de securitate, impresia că avem un anumit nivel de securitate, dar care în realitate este mai scăzut sau nu a fost verificat;

2. Ignorarea riscurilor, sau să credem că noua nu ni se poate întâmpla, este o mentalitate greșită; 3. Vulnerabilitățile, consecința negativă a digitalizării, sunt portițele prin care noi riscăm reziliența”.