Skaitmeninis operatyvinis atsparumas: privalomas kiekvienai finansų įmonei

2023 m. buvo registruoti keli dideli atvejai, kai bankai ir kredito unijos patyrė DDoS (Distributed Denial of Service) atakas, dėl kurių buvo apribota klientų prieiga prie paslaugų. Pastaraisiais metais kibernetinių išpuolių, patirtų finansų įstaigų, būta ne vieno.

Dar 2017 m. įvykęs JAV kredito biuro „Equifax“ duomenų pažeidimas vis dar laikomas vienu didžiausių duomenų pažeidimų finansų sektoriuje. Programišiai tuomet pasinaudojo programinės įrangos pažeidžiamumu ir pavogė asmeninę informaciją apie 147 milijonus žmonių. Bendrovei tai reiškė ir milžinišką reputacinę žalą, ir bene 650 mln. JAV dolerių tiesioginę žalą – teko išmokėti kompensacijas.

2018 m. JAV bankas „SunTrust Banks“ pranešė apie duomenų pažeidimą, kurio metu buvo pavogta asmeninė informacija apie 1,5 milijono klientų. Incidentą sukėlė buvęs darbuotojas, kuriam buvo suteiktos nesankcionuotos prieigos teisės prie duomenų.

2019 m. duomenų nutekėjimas įvyko kitoje JAV finansų kompanijoje „Capital One“. Per jį buvo pavogta daugiau nei 100 milijonų klientų asmeninių duomenų. Išpuolis įvyko dėl sistemos pažeidžiamumo, ir kompanija buvo nubausta už nesugebėjimą apsaugoti savo klientų duomenis.

2021 m. įsiminė Vokietijos telekomunikacijų bendrovei „T-Mobile“, kuriai teko sumokėti 350 mln. JAV dolerių klientams Jungtinėse Valstijose, kai ji patyrė nuotolinę ataką, per kurią buvo pavogta 40 milijonų klientų asmeninių duomenų. Nors tai nėra grynai finansų sektoriaus atvejis, jis sukėlė didelį nepasitikėjimą tarp finansinių paslaugų teikėjų ir jų klientų.

Norint išvengti teisinių pažeidimų ir galimų baudų, finansų sektoriaus įmonėms teks laikytis visų nustatytų reglamento reikalavimų. Ir kuo anksčiau pradėsime, tuo pažeidimų rizika bus mažesnė.

Ruošiantis DORA reglamento įgyvendinimui, pirmiausia bus sustiprintas organizacijos skaitmeninės veiklos atsparumas. Pradėjus ruoštis iš anksto, įmonės gali efektyviau paruošti savo informacinių ir ryšių technologijų (IRT) infrastruktūrą ir procesus, kad jie atitiktų aukštus saugumo standartus. Tai apima išsamios rizikos valdymo politikos, incidentų valdymo procedūrų ir testavimo planų sukūrimą bei įgyvendinimą. Tokios priemonės yra būtinos siekiant užtikrinti, kad organizacija būtų pasirengusi susidoroti su galimais incidentais ir kibernetinėmis grėsmėmis.

Be to, ankstyvas pasirengimas gali stiprinti įmonės poziciją rinkoje, nes rodo įmonės įsipareigojimą užtikrinti aukštą saugumo ir atsparumo lygį, kas, žinoma, padidina pasitikėjimą tarp klientų, partnerių ir investuotojų.

Todėl, atsižvelgiant į šiuos aspektus, ankstyvas pasirengimas DORA reglamento įgyvendinimui yra esminis žingsnis, norint, kad įmonė būtų pasirengusi atitikti visus reikalavimus, išvengtų teisinių pasekmių ir stiprintų savo poziciją rinkoje.

Įgyvendinant DORA, finansų sektoriaus įmonėms būtina paruošti ir įgyvendinti įvairius politikos dokumentus, procedūras ir planus. Šiame straipsnyje aptariamos pagrindinės priemonės ir pasiūlymai, kaip tinkamai tai padaryti.

Įgyvendinant DORA reglamento reikalavimus, finansų sektoriaus įmonėms reikia paruošti bene dešimtį dokumentų, skirtų užtikrinti IRT rizikos valdymą.

Pirma, įmonės turi sukurti ir įgyvendinti išsamią IRT rizikos valdymo politiką. Ji turėtų apimti visas būtinas priemones ir procedūras, kad būtų užtikrintas tinklų saugumas, apsauga nuo įsibrovimų ir duomenų netinkamo naudojimo, taip pat duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas. Politikos kūrimas turėtų būti pagrįstas išsamia grėsmių analize ir rizikos vertinimu, siekiant identifikuoti potencialius pažeidžiamumus ir nustatyti priemones jiems valdyti.

Antra, svarbu užtikrinti, kad visos IRT rizikos valdymo priemonės būtų dokumentuotos ir prieinamos visiems darbuotojams. Tai apima ne tik politikos dokumentus, bet ir procedūras bei instrukcijas, kaip elgtis įvairiose situacijose, susijusiose su IRT saugumu. Dokumentacija turi būti aiški ir suprantama, kad darbuotojai galėtų efektyviai vykdyti savo pareigas ir žinotų, kaip reaguoti į galimus incidentus. Tam būtini ir reguliarūs mokymai bei informuotumo didinimo programos.

Trečia, būtina įdiegti nuolatinio rizikos stebėjimo ir valdymo sistemą. Tai apima reguliarų IRT infrastruktūros stebėjimą, atliekant rizikos vertinimus ir testavimus, siekiant laiku identifikuoti ir spręsti potencialius pažeidžiamumus. Tam, kad bet kokios anomalijos ar grėsmės būtų identifikuojamos ir suvaldomos iškart, įmonės turėtų naudoti pažangias technologijas ir įrankius, skirtus tinklų ir sistemų stebėjimui. Taip pat svarbu turėti veiksmingus incidentų valdymo planus, kurie apimtų visus veiksmus nuo incidentų aptikimo iki jų sprendimo ir atsigavimo.

Galiausiai, įmonės turi užtikrinti, kad būtų įgyvendintos tinkamos atsakomybės ir ataskaitų teikimo priemonės. Reikia aiškiai apibrėžti atsakomybes už IRT rizikos valdymą tam, kad būtų užtikrintas veiksmingas priemonių įgyvendinimas ir kontrolė. Reguliarūs audito procesai ir ataskaitų teikimas vadovybei padeda užtikrinti, kad IRT rizikos valdymo praktikos atitiktų nustatytus reikalavimus ir būtų nuolat tobulinamos.

Incidentų valdymui būtina turėti keletą svarbių teisinių dokumentų. Įmonės turi sukurti išsamią incidentų valdymo politiką, kuri apibrėžtų procedūras ir atsakomybes, susijusias su jų aptikimu, klasifikavimu, valdymu ir sprendimu. Taip pat svarbu pasirengti incidentų klasifikavimo ir pranešimo procedūrą, kuri nustato, kaip incidentai turėtų būti klasifikuojami pagal jų svarbą ir poveikį organizacijai.

Procedūra turėtų apimti pranešimo atsakingoms institucijoms tvarką, įskaitant laiko terminus, pranešimo formatus ir komunikacijos kanalus. Finansų įmonės taip pat turi paruošti ir naudoti standartizuotą didelių IRT incidentų ataskaitos formą, kuri fiksuoja svarbią informaciją apie didelius IRT incidentus.

Turėdamos šiuos dokumentus, finansų sektoriaus įmonės gali užtikrinti, kad jų incidentų valdymo procesai būtų efektyvūs, atitiktų teisės aktų reikalavimus ir padėtų greitai reaguoti į bet kokius incidentus, taip užtikrinant skaitmeninės veiklos atsparumą pagal DORA reglamentą.

Skaitmeninio veiklos atsparumo testavimas yra dar viena svarbi sritis. Įmonės turėtų parengti politiką, apibrėžiančią testavimo tikslus, apimtis ir principus. Tai apima pažeidžiamumo vertinimus, įsiskverbimo testus, scenarijų testavimą ir tęstinumo pratimus. Ši politika turėtų būti išsami ir apimti visas būtinas detales, kad būtų užtikrinta veiksminga ir nuosekli testavimo veikla. Svarbu nustatyti ir dokumentuoti testavimo tipus, dažnumą ir atsakingas komandas, kad visi testai būtų atliekami laiku ir pagal planą. Be to, reikia sukurti detalią testavimo planą su numatytais terminais ir atsakingomis komandomis, užtikrinant, kad visi testai būtų vykdomi pagal numatytą grafiką.

Įgyvendinant DORA reglamento reikalavimus, susijusius su trečiųjų šalių rizikos valdymu, finansų sektoriaus įmonės turi parengti kelis esminius dokumentus.

Pirma, įmonės turi turėti politiką dėl IRT paslaugų, palaikančių kritines ar svarbias funkcijas, naudojimo. Ši politika turėtų apimti visus pagrindinius reikalavimus ir procesus, susijusius su trečiųjų šalių paslaugų naudojimu, įskaitant paslaugų tiekėjų vertinimą, sutarčių sudarymą ir priežiūrą.

Antra, būtina sudaryti standartinę sutartį su IRT paslaugų teikėjais. Sutartyje turi būti įtraukti visi elementai, nustatyti DORA reglamente, siekiant užtikrinti, kad trečiųjų šalių paslaugos atitiktų saugumo ir atsparumo reikalavimus.

Trečia, finansų įmonės turi atlikti trečiųjų šalių rizikos vertinimą prieš sudarydamos sutartis. Šiame vertinime turi būti analizuojama paslaugų teikėjų reputacija, saugumo praktikos ir potenciali rizika organizacijai.

Ketvirta, įmonės privalo tvarkyti ir nuolat atnaujinti trečiųjų šalių sutarčių registrą. Šiame registre turi būti visa svarbi informacija apie sudarytas sutartis, kad būtų galima efektyviai stebėti ir valdyti trečiųjų šalių rizikas.

Galiausiai – finansų sektoriaus įmonėms būtina užtikrinti, kad visi politikos dokumentai ir procedūros būtų nuolat peržiūrimi ir atnaujinami, atsižvelgiant į reglamento pakeitimus ir rinkos praktikas. Nepamirškite, kad tai yra būtina siekiant užtikrinti ne tik reglamento laikymąsi, bet ir organizacijos ilgalaikį saugumą ir stabilumą.