Ochrana informací, kybernetická bezpečnost a odolnost proti digitálním útoků je velké téma. Příkladů, kdy úspěšný útok vypnul nemocnice, letiště nebo úřad, si všichni vybavíme hodně. I v České republice.
Takovýto výpadek by byl hodně nepříjemný i u finančních institucí. Nedostupnost banky, která spravuje prostředky stovek tisíců či milionů klientů, zajišťuje platby, převody, načerpání půjček atd., způsobí problémy řadě dalších osob. A může rozkolísat celou ekonomiku.
Požadavky na digitální odolnost finančních institucí rostou. V praxi i pod tlakem regulace.
Každý už jsme asi slyšeli o nové kyberbezpečnostní směrnici NIS2, která dopadne na prakticky všechny banky.
Trochu v jejím stínu bylo přijato další EU nařízení v oblasti kybernetické bezpečnosti, tentokrát pod zkratkou DORA. Toto nařízení se bude vztahovat na řadu dalších finančních institucí, nejenom banky. A také na jejich dodavatele a subdodavatele. Pro některé dodavatele dokonce bude nutné mít specifickou certifikaci, aby do bank, pojišťoven, ale i menších platebních institucí a fintechů vůbec mohli dodávat.
Pojďme se na to podívat v detailu
DORA je hotová, čekáme na prováděcí předpisy
DORA byla přijata jako nařízení EU. To znamená, že členské státy ji nemusí převádět, transponovat, do svých zákonů. Kvůli nařízení DORA tak, na rozdíl od NIS2, nebude třeba přijímat nový zákon o kybernetické bezpečnosti.
Nařízení DORA bude přímo účinné ke dni 17. ledna 2025.
Zdánlivě dost času, ale, jak si dále ukážeme, požadavků je celá řada. A nejen na banky a pojišťovny, které už se kybernetickou bezpečnostní zabývají a mají na to zdroje, ale i na řadu menších společností, které jim třeba jenom dodávají dílčí služby.
Právní rámec však ještě není úplný. K nařízení DORA se totiž můžeme těšit na prováděcí, technické předpisy vydané evropskými orgány. Mělo by jich být celkem 12! Provádění předpisy budou upravovat detailní požadavky v jednotlivých oblastech nebo pilířích nařízení DORA, jak si je dále představíme.
Na koho DORA dopadne?
Komu nařízení DORA přímo uloží povinnosti upravit vnitřní systém pro zajištění digitální odolnosti? Na prvním místě takřka všem finančním institucím, které si dokážete představit.
Nařízení DORA budou muset od ledna 2025 plnit:
Banky
Družstevní záložny
Pojišťovny a zajišťovny
Obchodníci s cennými papíry
Platební instituce
Vydavatelé elektronických peněz
Fintechy poskytující platební služby
Poskytovatele služeb souvisejících s kryptoaktivy, které bude regulovat další nový předpis, tzv. MiCA
Zprostředkovatelé pojištění
Zprostředkovatelé doplňkového pojištění
A co IT dodavatelé?
Ano, DORA bude regulovat i dodavatele, kteří finančním subjektům dodávají služby v ICT oblasti.
Co máme rozumět pojmem „ICT dodavatel“?
Nařízení DORA upřesňuje, že se jedná o subjekt, který alespoň jedné finanční instituci dodává digitální či datové služby, včetně hardwaru jako služby (Hardware as a Service). Pojem „ICT dodavatel“ tak dopadá skoro na každého, kdo do finančních institucí, velkých či malých, dodává něco spojeného s informační nebo komunikační technikou a technologií.
Ale opravdu jen skoro na každého, výjimky se najdou i v této definici. DORA sama dodává, že za ICT dodavatele není považován ten, kdo finanční instituci poskytuje analogové telefonní služby…
Jak splnit nařízení DORA?
Co bude DORA po regulovaných subjektech požadovat? Co budou muset zavést?
Povinnosti si můžeme rozdělit do pěti skupiny:
1) Řízení ICT rizik
Nastavení celkového rámce pro řízení ICT rizik. Tento rámec či proces by měl zahrnovat pravidla pro identifikaci ICT rizik, pro jejich hodnocení a zvládání.
Řídíte rizika spojené s vývojem, provozem, údržbou či nákupem ICT služeb? Umíte to doložit?
2) Zavedení bezpečnostních opatření
Zavedení dostatečných bezpečnostních opatření, ať už technických, organizačních, procesních nebo administrativních. Jejich cílem je právě zajistit digitální odolnost finančních institucí, a tím finančního trhu jako takového.
3) Pozor na bezpečnostní incidenty
Implementace funkčního procesu pro řízení kybernetických incidentů. Ten musí zahrnovat nejen opatření pro identifikaci neobvyklého chování, výpadku či útoku, ale také postup pro zvládání incidentu, obnovu dat, odstranění jeho příčin a jeho notifikaci dohledovému orgánu.
DORA se v otázce řízení kybernetických incidentů do velké míry kryje s NIS2, požadavky na reporting incidentů v oblasti platebních služeb přinesla i PSD2 směrnice, do jisté míry zde je průnik i s GDPR.
Točí se vám z těch zkratek hlava?
Nebojte, prováděcí akty unijních organizací by tak měly upřesnit, podle jakých kritérií se budou incidenty u finančních institucí hodnotit, komu se budou reportovat, jakým postupem a v jakých lhůtách. Věřme, že se prováděcí dokumenty podaří přijmout včas, hrozba „pře-reportování“, oznamování jednoho a téhož incidentu třem či více úřadům, je reálná. A její dopad by byl nepříjemný. I z tohoto důvodu je důležité sledovat další práci na prováděcí dokumentaci k nařízení DORA.
4) Penetrační testy
Myslíte, že finanční instituce zmapuje ICT rizika, implementuje nebo doplní bezpečnostní opatření, zdokonalí proces pro zvládání kybernetických incidentů, a má hotovo? Kdepak! DORA jí výslovně ukládá, aby svoji digitální odolnost pravidelně testovala. A to ve velkém rozsahu, který zahrnuje jak testování jednotlivých systémů a aplikací, tak i ověřování funkčnosti procesu k řízení kybernetických incidentů, a i celkové penetrační testy.
https://www.tx.cz/isms/iso-27001-interni-auditor-isms
5) Kontrola dodavatelů. A subdodavatelů. A dalších článů dodavatelského řetězce
A jsme u těch dodavatelů! Prodáváte jakékoliv ICT služby, tedy kromě analogických telefonů, finančním institucím, byť malým? Nebo jim je chcete dodávat? Pak čtěte pečlivě právě tento bod.
Finanční instituce budou v ještě větší míře než dosud své dodavatele zkoumat a prověřovat. Prověřovat jejich důvěryhodnost, strukturu, možný střet zájmu, rizika spojená s dodáváním konkrétní služby, přijatá bezpečnostní opatření, záruky za ochranu dat, resp. jejich integritu, dostupnost a důvěrnost atd. atd.
Nařízení DORA rovněž říká, že při dodávání významných služeb finanční instituce využije dodavatele, kteří uplatňují nejaktuálnější a nejkvalitnější normy bezpečnosti informací.
Tyto požadavky se budou muset promítnout i do smlouvy. Podle nařízení DORA by smlouva s dodavateli měla obsahovat několik desítek regulatorních náležitostí, tedy hned vedle vymezení předmětu spolupráce a ceny. A vše se bude oznamovat České národní bance. A také pravidelně přezkoumávat, znovu hodnotit a dokumentovat.
Nastavit proces a zpracovat dokumentaci proto, aby dodavatel byl schopen všem požadavkům už v lednu 2015 vyhovět, bude chvíli trvat. Pokud finančním institucím dodáváte, a chcete v tom pokračovat i v následujících letech, je čas začít.
Kdo bude kritický poskytovatel ICT?
To nejlepší nakonec: Pokud je mezi vašimi klienty finančních institucí více, může se stát, že vás evropské úřady označí za tzv. kritického poskytovatele ICT. Pak se můžete těšit na přímý dohled od finančních regulátorů, za který ještě budete platit (ano, platit), další požadavky na řízení společnosti (corporate governance), zkrátka celkové přiblížení se regulaci finančních institucí. Regulaci, kterou můžeme diplomaticky označit za jednu z nejdetailnějších.
Nařízení DORA a certifikace
Regulace obecně se v řadě oblastí se posouvá směrem k certifikaci, nezávislému potvrzení dostatečné kvality a seberegulaci. Platí to i v oblasti kybernetické bezpečnosti a ochraně dat. S certifikací počítá GDPR i NIS2.
DORA jde ještě o kousek dál.
Účelem tohoto nařízení je posílit digitální odolnost finančního sektoru. Zejména proti kybernetickým útokům a provozním incidentům. Vhodným nástrojem k testování digitální odolnosti jsou penetrační testy, o kterých už jsme se zmínili výše.
Penetrační testy proto, aby splnily svoji roli, tzn. odhalily slabiny a nedostatky, musí být provedeny kvalifikovaně, s dostatečnou znalostí a expertízou. Vždy ale hrozí, že zjištěné slabiny budou testerem zneužity. Tím spíše tomu tak je u finančních institucí, kde využití slabiny může znamenat neoprávněný přístup k penězům. K penězům někoho jiného, dlužno dodat.
Nařízení DORA požaduje, aby penetrační testy finančních institucí od ledna 2015 prováděly pouze subjekty, které
Mají dobrou reputaci na trhu
Disponují dostatečnými schopnostmi a znalostmi, včetně testování metodou „červeného týmu“ (Red Team)
Jsou certifikovány akreditačním orgánem nebo dodržují formální kodexy chování
Předloží report z nezávislého auditu, který posoudil jejich řízení rizik související s prováděním penetračních testů a zabezpečení důvěrných informací
Mají dostatečnou profesní pojistku
Splňují firmy, které pro vás provádějí penetrační testování, tyto požadavky?
Pokud naopak penetrační testy jako službu poskytujete, jste připraven se nechat auditovat a certifikovat?