Odporność cyfrowa nowym “New Normal”​? Najlepsze systemy zarządzania ryzykami ICT są “kruche”​ wobec ludzkiej “ułomności”​. Co na to DORA?

W zeszłym tygodniu popełniłem artykuł dotyczący „słabego punktu” w kontekście cyberbezpieczeństwa. Stwierdziłem w nim, że to człowiek jest najbardziej wrażliwym elementem całego ekosystemu bezpieczeństwa ICT, a nie infrastruktura czy oprogramowanie. Wśród komentarzy znalazły się, które wskazywały na dość ogólny charakter moich przemyśleń i jedynie „zaczepienie” o kwestie prawno-regulacyjne dotyczące odporności cyfrowej (operacyjnej). Wracam więc z nieco bardziej merytorycznymi argumentami i pomysłami, bazującymi w dużej mierze na projektowanym rozporządzeniu w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) – zachęcam też do lektury dotychczasowych analiz projektu.

Zacznijmy od tego, że DORA wyznacza nam nowy kierunek w zakresie „kluczowości” obszarów zarządzania instytucją – tutaj akurat finansową. Wiele z postanowień tego aktu nie jest zupełnym novum. Spójrzmy chociażby na wytyczne Europejskiego Urzędu Nadzoru Bankowego w sprawie ryzyk ICT czy rekomendację D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (nieco outdated), a także w jakimś stopniu Rekomendację Z, o której pisałem tutaj.

Kluczowa jest tutaj nie tyle zawartość projektu, ale fakt, że mówimy już nie o rekomendacjach czy wytycznych, ale rozporządzeniu, które obowiązuje „wszystkich i wszędzie”. Jeżeli dołożymy do tego nadal trwającą dyskusję nad ostatecznym kształtem NIS2 (więcej tutaj) i liczne komunikaty regulatorów nt. znaczenia odporności cyfrowej, to wszystko staje się jasne – zapewnienie szeroko rozumianego bezpieczeństwa danych (co zresztą jest też wymogiem Rozporządzenia 2016/679) staje się absolutnym priorytetem nie tylko sektora finansowego.

Nie ma złudzeń co do tego, że jest to wynikiem postępującej cyfryzacji, a może nie tyle cyfryzacji, co przenoszeniem coraz większej części naszego życia z „reala” do „virtuala”. Coraz większa część społeczeństwa ma dostęp do cyfrowych kanałów, np. płatności, inwestowania czy podpisywania umów lub załatwiania spraw urzędowych. I to jest niewątpliwy plus wspomnianej digitalizacji, ale jest to także zarazem ogromne zagrożenie po stronie zarówno nas samych, jak i podmiotów, które „posiadają” nasze dane czy środki finansowe. Rośnie więc liczba fraudów (i prób) czy ataków na same instytucje.

W konsekwencji instytucje, w tym finansowe, muszą brać na siebie edukację obywateli (spójrzmy na ostatni komunikat KNF w sprawie cyberbezpieczeństwa) oraz wzmacniać własne ramy kontroli i zarządzania ryzykami ICT. Na te potrzeby ma w jakimś stopniu odpowiadać DORA, która „nakazuje”, aby instytucje dysponowały:

„solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, które umożliwiają im szybkie, skuteczne i kompleksowe reagowanie na ryzyko związane z ICT oraz zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej odpowiadającego ich potrzebom biznesowym oraz wielkości i złożoności tych podmiotów”

Na te ramy składają się różne wymagania. Mamy bardzo silne podkreślenie roli organów zarządzających, które ponoszą ostateczną odpowiedzialność za ewentualne trudności, a także – czego trochę brakowało w przytaczanych przeze mnie wytycznych – zapewnienie, aby członkowie organów zarządzających posiadali aktualną i adekwatną wiedzę w zakresie ryzyk ICT. Już nie tylko CTO czy CRO „ma znać się na zagrożeniach związanych z ICT”, ale – przynajmniej w jakiejś części – i pozostali członkowie organów.

Mamy obowiązek wprowadzania i stosowania strategii, procedur, polityk (np. bezpieczeństwa), protokołów i narzędzi zapewniających prawidłowe zarządzanie ryzykami ICT, a także ich nieustanne udoskonalanie (a więc i monitorowanie skuteczności) czy stosowanie odpowiednich ram zarządzania incydentami (a więc i współpracy z organami odpowiedzialnymi za szeroko rozumiane cyberbezpieczeństwo).

Jest konieczność stosowania zabezpieczeń cyfrowych i fizycznych, identyfikowanie nowych zagrożeń i wdrażanie nowych rozwiązań. Jest mapowanie linii biznesowych czy produktowych (to ważne zadanie na najbliższe miesiące) i „podpięcie” ich pod stosowne procesy podlegające właściwym standardom bezpieczeństwa. Szczególne znaczenie ma też obszar testowania i działań „przedprodukcyjnych”, co pokrywa się też z często przywoływaną przeze mnie zasadą „ethics, privacy and data protection by default and design”. No i nie można zapominać o zapewnieniu ciągłości działania (BCP), która zasługuje jednak na odrębny felieton.

Ważne jest przy tym jednak to co zostało wskazane w art. 12 projektowanego rozporządzenia, czyli „uczenie się i rozwój”. Zgodnie z przepisem, podmioty finansowe mają dysponować zdolnościami i personelem (z poszanowanie zasady proporcjonalności), które mają zapewnić odpowiedni poziom bezpieczeństwa – to akurat jasne. Jednocześnie jednak jest też wyraźne podkreślenie, że:

„Podmioty finansowe w ramach swoich programów szkoleniowych dla personelu przygotowują obowiązkowe moduły obejmujące programy zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkolenia w zakresie operacyjnej odporności cyfrowej. Skierowane są one do wszystkich pracowników oraz do kadry kierowniczej wyższego szczebla”.

Widać wyraźnie, że to człowiek nadal jest najważniejszym elementem – nie ze względu na jego zdolność do tworzenia zabezpieczeń, ale jego podatność na „fraudy”. Nie oznacza to oczywiście, że pozostałe (stanowiące znaczną większość przepisów) obszary są mniej istotne. To one stanowią przecież – najczęściej – pierwszą linię obrony przed atakami. Z drugiej strony nawet najsilniejsze zabezpieczenia i wiedza na temat najnowszych zagrożeń nie zabezpieczy nas przed wyciekiem (intencjonalnym czy nie) danych od pracownika odpowiedzialnego za dany obszar. A takiego pracownika przecież stosunkowo łatwo „podejść”.”

Zmierzam tutaj do tego, że nawet najbardziej restrykcyjne przepisy, wymogi, normy ISO czy infrastruktura przewyższająca epokę nie sprawdzi się, jeżeli nie będziemy edukować. Zarówno na wczesnych etapach rozwoju człowieka, jak i w kontekście samej pracy. Ludzka naiwność, brak świadomości różnych technik manipulacji czy po prostu nieuwaga, mogą doprowadzić do „upadku” najlepszych systemów zarządzania ICT. Ważne wtedy jest oczywiście wyciągnięcie właściwych wniosków i podejmowanie dalszych działań zwiększających świadomość. Tylko wtedy możemy czuć się „nieco” bardziej bezpieczni. Ale bez złudzeń – człowiek to tylko człowiek i błędy będą się zdarzały. Oby były najmniej dotkliwe.