Analiza Europejskiej propozycji regulacji o cyfrowej odporności operacyjnej dla sektora finansów

W przeszłości analizowałem  kilka z co ciekawszych przepisów UE dotyczących prywatności lub cyberbezpieczeństwa (1, 2), a także niektóre krajowe strategie cyberbezpieczeństwa (np. polskiej w tym artykule dla IT w Administracji). W tym poście nie chodzi o strategię, a o propozycję rozporządzenia (regulacji) Unii Europejskiej. Bo przedmiotem właśnie przedstawionej przez Komisję Europejską   regulacji jest przede wszystkim “cyberodporność” sektora finansowego („bezpieczeństwo sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych, niezbędne do osiągnięcia wysokiego wspólnego poziomu cyfrowej odporności operacyjnej”, w wolnym tłumaczeniu, bo oficjalnego polskiego jeszcze nie ma).

Dotyka cyberbezpieczeństwa sektora finansowego i zawiera kilka interesujących elementów. Dotyczy cyberbezpieczeństwa, a wszyscy wiemy, jak ważne są aspekty sektora finansowego.

Sektor finansowy jest jednym z głównych celów różnych działań “cyber”, cyberataki, infekcje, nadużycia, no po prostu się zdarzają. Włamania miały miejsce także w Polsce - nie tylko takie bardzo duże jak ataki na Komisję Nadzoru Finansowego, której zresztą przedmiot rozważanej regulacji dotyczy. Stworzenie ukierunkowanej regulacji nie powinno więc dziwić. Rdzeniem są szerokie wymagania testów cyberbezpieczeństwa (przeprowadzanych regularnie, czasem corocznie). Będzie to oczywiście bardzo dobre dla rynku cyberbezpieczeństwa.

Cyber ryzyko jako problem

Firmy finansowe muszą poważnie traktować cyberzagrożenia. Na szczęście większość (jeśli nie wszystkie) ważnych firm z branży ma do tego już ugruntowane zespoły. Rozporządzenie nakłada odpowiedzialność na zarządy. Członkowie zarządu będą musieli regularnie uczestniczyć w szkoleniach z zakresu cyberbezpieczeństwa.

Ocena ryzyka

Ocena ryzyka jest kluczowa. Musi być solidna i regularna. Sporządzane corocznie lub przy istotnej zmianie w systemie. Rozporządzenie mówi o mapowaniu aktywów, zarządzaniu zmianami i tak dalej.

Firmy finansowe będą musiały być wyposażone w odpowiednie możliwości wykrywania anomalii. Ma być security by design, defense in depth i tak dalej (wszystko ma być!).

Incydenty, luki, ujawnianie informacji o problemach i podatnościach

Mowa o „odpowiedzialnym ujawnianiu” luk w zabezpieczeniach - klientom lub publicznie. Podczas gdy niektórzy eksperci i badacze bezpieczeństwa  wskazują na kontrowersje związane z tą częścią „odpowiedzialnego” ujawniania, to trzeba przyznać, że atmosfera w sektorze finansowym jest prawdopodobnie wystarczająco sztywna, aby odłożyć na bok te złożone debaty.

Jednak rozporządzenie mówi również o „jednym unijnym centrum zgłaszania poważnych incydentów związanych z ICT”. Biorąc pod uwagę rozdrobnienie, byłoby to dość ambitne i interesujące przedsięwzięcie. Prawdopodobnie wykonalne. Pozostaje pytanie o jakość danych. Oraz zdolność Europejskiego Urzędu Nadzoru Bankowego (któremu powierzono to zadanie) do posiadania odpowiedniej wiedzy fachowej.

Testy bezpieczeństwa, audyty, red teaming i tak dalej

Na szczególną uwagę zasługuje część dotycząca testowania bezpieczeństwa:

„podmioty finansowe ustanawiają, utrzymują i dokonują przeglądu, z należytym uwzględnieniem ich wielkości, profilu biznesowego i ryzyka, solidnego i kompleksowego cyfrowego programu testowania odporności operacyjnej”.

Brzmi rozsądnie i bardzo poważnie:

„Pełen zakres odpowiednich testów, w tym oceny podatności i skany, analizy open source, oceny bezpieczeństwa sieci, analizy luk, fizyczne przeglądy bezpieczeństwa ..., przeglądy kodu źródłowego, jeśli to możliwe, testy oparte na scenariuszach, testy zgodności, wydajności, testy penetracyjne.”

Czego tu nie ma, prawda?

Chociaż wspomina się o wielu typach testów, pojawi się wyraźny wymóg „przeprowadzania co najmniej raz na 3 lata zaawansowanych testów z wykorzystaniem  “threat led penetration testing”" (testów z ukierunkowanym scenariuszem zagrożenia?). Testy takie to testy penetracyjne z użyciem specjalnego nastawienia przyjmującego perspektywę atakującego. Czyli jest to ćwiczenie, w którym audytorzy próbują myśleć w taki sposób jakby faktycznie chcieli włamać się do systemu. Takie testy będą przeprowadzane na „systemach produkcyjnych”, a nie testowych.

Testowanie bezpieczeństwa stanie się więc jeszcze ważniejsze niż dziś.

To nie wszystko, na końcu firmy finansowe będą musiały złożyć raport do właściwych organów (regulatora sektora finansowego?). I poprosić o jego zatwierdzenie.  Tu powstanie uzasadnione pytanie o to czy te właściwe organy będą miały wiedzę fachową, aby w znaczący sposób akceptować, oceniać i zatwierdzać takie zgłoszenia? Bo to nie tak, że właściwe organy zatrudniają wielu pracowników z doświadczeniem w dziedzinie cyberbezpieczeństwa, a przecież mowa o dziesiątkach takich raportów każdego roku.

Istnieją również wymagania formalne dla testerów:

  • Muszą mieć wysoką wiarygodność i reputację,
  • Możliwości techniczne i organizacyjne oraz wykazać się doświadczeniem w rozpoznawaniu zagrożeń, testach penetracyjnych lub testach typu red teaming
  • Są certyfikowani przez „jednostkę akredytującą” lub „przestrzegają formalnych kodeksów postępowania lub ram etycznych”
  • Muszą być w pełni ubezpieczeni (ubezpieczenie od odpowiedzialności)

Odniosę się tylko do certyfikacji. Trzeba zaakceptować to, że certyfikacja to sygnał-glejt kompetencji zgodnych z pewnym akceptowalnym poziomem wiedzy. Jednak eksperci bardzo często wskazują na wciąż istniejącą różnicę między certyfikacją (1 2) i stanem faktycznym. To powiedziawszy, trzeba się zgodzić z faktem tergo, że certyfikacja w przedsięwzięciach profesjonalnych po prostu ma swą wartość.  

Nie ma też wątpliwości, że część dotycząca testowania dodatkowo pomoże biznesowi (i certyfikacji).

Dostawcy zewnętrzni

W art. 1 rozporządzenia stwierdza się, że konieczne będzie utworzenie formalnego etatu dla osoby analizującej ryzyko dostawców ICT (third-party). To rozporządzenie jest rzeczywiście mocno ukierunkowane na problematykę dostawców będących “stronami trzecimi”, w szczególności z krajów trzecich. Wydaje się, że poniższa część rozporządzenia:

„Podmioty finansowe mogą zawierać umowy jedynie z zewnętrznymi dostawcami usług ICT, które spełniają wysokie, odpowiednie i najnowsze standardy bezpieczeństwa informacji”.

… stworzy znaczną wartość dla  „najnowszych standardów bezpieczeństwa informacji”, jakkolwiek ustawodawca je zrozumie. Bo rozporządzenie nie wymienia standardów. Chyba że przyjęto tutaj „standardy” w ogólnym znaczeniu tego słowa (które czasami może oznaczać „cokolwiek”, albo nawet nie?). Być może powinien to wyjaśnić Parlament Europejski.

Jest więcej:

„Zawarcie umowy z zewnętrznym dostawcą usług ICT, którego nie można łatwo zastąpić”

Firmy finansowe będą musiały ustalić, których dostawców zewnętrznych nie da się „łatwo zastąpić”? Zapis ten jest bardziej rygorystyczny w przypadku dostawców technologii ICT mających siedzibę w państwach trzecich (Chiny, USA?), Gdzie należy wziąć pod uwagę  “poszanowanie dla prawa”, ale także  „poszanowanie dla ochrony danych”. Tu warto dodać, że analiza otoczenia prawnego w państwie z główną siedzibą firmy-dostawcy znajduje się już w projekcie aktualizacji zasad dotyczących krajowego systemu cyberbezpieczeństwa (co niektórzy w Polsce uznali za kontrowersyjne).

Samą propozycję regulacji można znaleźć tutaj. To ważny, choć nie kontrowersyjny projekt. Zobaczymy, jak szybko zostanie przyjęty. Później prawdopodobnie będzie on “przepisywany” w Polsce, tak jak to zrobiono np. z RODO, którego przecież nikt w Polsce nie wymyślił.

Podsumowanie

Cyberbezpieczeństwo i “cyber odporność” sektora finansowego są ważne. Nie ma co do tego wątpliwości. W pracach nad raportem Międzynarodowego Komitetu Czerwonego Krzyża na temat humanitarnego ryzyka związanego z cyberatakami  uwzględniliśmy także i sektor finansowy, bo trudno było ten temat ważny pominąć.

Samo to rozporządzenie wygląda całkiem nieźle, choć  pewne rzeczy trzeba doprecyzować (zajdą więc zmiany), a może nawet poszerzyć.