Cyberbezpieczeństwo a cyberodporność
Dobre praktyki ICT nakazują, aby śledzić trendy cyberbezpieczeństwa i dobierać środki ochrony adekwatnie do ekspozycji na ryzyko. W praktyce ten dobór zwykle jest kompromisem między wymaganiami technologicznymi, użytecznością, a możliwościami budżetowymi. Należy pamiętać, że bezpieczeństwo cyfrowe to ciągły “wyścig zbrojeń”, gdzie liczba potencjalnych wektorów ataku i naruszeń rośnie wprost proporcjonalnie do ogólnego rozwoju i skoków technologicznych. Tak zwani źli aktorzy świata ICT zaznajamiają się z wszelkimi nowinkami i próbują je wykorzystać do realizacji swoich celów (przykład: wsparcie sztucznej inteligencji do działań ofensywnych).
Szeroki wachlarz działań defensywnych, które zapewniają ciągłość działania i chronią przed naruszeniami integralności (i poufności) danych organizacji, stale się powiększa. Korzystanie z nich stanowi o zdolności unikania rosnącego cyberzagrożenia. Uzupełniają je działania związane z budowaniem odporności cyfrowej, czyli umiejętności ograniczania szkód, gdy bezpieczeństwo systemu ICT jednak zostanie naruszone. Cyberodporność dotyczy wszelkich zagrożeń zarówno zewnętrznych, jak i wewnętrznych i wymaga oswojenia się z fundamentalnym założeniem, że żaden system ochrony cyfrowej nie jest idealny (nawet mimo pełnego wsparcia dostawcy i instalowania aktualizacji).
Reasumując, techniki cyberbezpieczeństwa nastawione są na minimalizację ryzyka ataku, a strategia cyberodporności obejmuje działania minimalizujące skutki ataków. Im ściślej te dwie kategorie są ze sobą powiązane, tym pełniejsze jest podejście organizacji do bezpieczeństwa ICT.
DORA
Rozporządzenie o operacyjnej odporności cyfrowej
Praktyczną wykładnią usystematyzowanego podejścia do cyberodporności jest przyjęte rozporządzenie DORA (Digital Operational Resilience Act). Jako rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie operacyjnej odporności cyfrowej sektora finansowego (w Polsce nadzorowanego przez Komisję Nadzoru Finansowego) jest stosowane bezpośrednio we wszystkich krajach UE i obowiązuje od 17 stycznia 2025 r. Wprowadza spójny standard zarządzania ryzykiem ICT na całym rynku finansowym UE, zapewnia wymianę informacji i zwraca uwagę na ryzyko związane z łańcuchem dostaw, w tym ryzyko koncentracji.
Podmioty objęte rozporządzeniem samodzielnie określają wymogi dotyczące działania – szczególnie gdy korzystają z podwykonawców i dostawców zewnętrznych – oraz wprowadzają zasady zarządzania powiązanym z tym ryzykiem. Wdrażane polityki i procedury obejmują zarządzanie sytuacjami awaryjnymi, w tym raportowanie zdarzeń do Regulatora zgodnie z wytyczonym reżimem czasowym.
Dostawcy zewnętrzni wskazani w DORA:
|
|
Podstawowe obszary działań w ramach DORA
Zarządzanie ryzykiem ICT
Zarządzanie incydentami
Testy cyberodporności
Zarządzanie ryzykiem powiązanym z zewnętrznymi dostawcami usług
Śledzenie i raportowanie informacji o cyberzagrożeniach
Zarządzanie ryzykiem związanym z łańcuchem dostaw
Odpowiedź Atmana na wprowadzenie DORA
Jako operator telekomunikacyjny i dostawca usług ICT m.in. dla sektora finansowego, Atman od kilku lat współdziała ze swoimi klientami w celu wprowadzania do postanowień umownych wymagań, które wynikają z obowiązujących rekomendacji i regulacji jednostek nadzoru rynku finansowego, a także dostosowania do nich świadczonych przez siebie usług.
W ramach wsparcia udzielanego w związku z DORA Atman jest gotowy do modyfikacji świadczonych usług w taki sposób, aby były zgodne z indywidualnymi wymaganiami danego klienta, wynikającymi z przeprowadzonych przez niego analiz ryzyka, a w rezultacie wypełniały zobowiązania określone w tej regulacji.
Proponowany przez Atman przebieg prac przedstawia poniższa macierz odpowiedzialności.
| Działanie | Klient | Atman | Nadzór |
| 1. Analiza ryzyka |  |
 |
|
| 2. Opracowanie zakresu zmian | |
|
|
| 3. Przekazanie zakresu zmian Atmanowi | |
|
|
| 4. Wycena zmian | |
|
|
| 5. Implementacja postanowień umownych | |
|
|
| 6. Podpisanie aneksu | |
|
|
| 7. Wprowadzenie zmian do świadczonej usługi | |
|
|
| 8. Kontrole | |
|
|
Jeśli jesteś naszym klientem i zidentyfikowałeś konieczność zmiany postanowień umownych i dostosowania zakresu świadczonych usług do wymogów regulacyjnych, prosimy o przesłanie propozycji takich zmian do swojego opiekuna w Atmanie celem podjęcia niezbędnych działań.
FAQ
DORA (Digital Operational Resilience Act) to unijna regulacja mająca na celu wzmocnienie odporności operacyjnej cyfrowych systemów wykorzystywanych przez sektor finansowy. Wprowadza ona szereg wymagań dotyczących bezpieczeństwa cyfrowego, zarządzania ryzykiem oraz odzyskiwania po awariach, mających na celu zapewnienie ciągłości działania i ochrony danych finansowych. Obowiązuje od 17 stycznia 2025 r.
Główne obowiązki dostawców ICT w kontekście DORA obejmują zapewnienie ciągłości operacyjnej i odporności cyfrowej. Muszą oni wdrażać odpowiednie środki zarządzania ryzykiem, w tym monitorowanie i reagowanie na zagrożenia. Ponadto dostawcy ICT muszą regularnie przeprowadzać testy i audyty swoich systemów, aby zapewnić zgodność z regulacjami. Istotne jest także utrzymywanie odpowiednich procedur zarządzania incydentami oraz zapewnienie transparentności działań wobec klientów i regulatorów.
Jesteśmy gotowi dostosować naszą ofertę do specyficznych potrzeb każdego klienta, opierając się na ich własnej analizie ryzyka i wymaganiach regulacyjnych. To obejmuje personalizację poziomów zabezpieczeń, metod zarządzania ryzykiem oraz procedur odzyskiwania danych.
Jeśli klient zidentyfikuje konieczność wprowadzenia zmian do umowy, aby dostosować się do wymogów DORA, prosimy o przesłanie propozycji tej zmiany. Następnie przystępujemy do analizy i negocjacji w celu szybkiego wprowadzenia niezbędnych modyfikacji w umowie.
W celu uzyskania dalszych informacji zapraszamy do kontaktu z naszym BOK. Tam otrzymasz szczegółowe informacje o naszych usługach, podejściu do bezpieczeństwa i opcjach współpracy dostosowanych do wymogów DORA.