Στα σύγχρονα πληροφοριακά συστήματα η πληροφορία πηγάζει από την επεξεργασία των ψηφιακά αποθηκευμένων δεδομένων, στα οποία έχουν πρόσβαση πολλοί χρήστες από διάφορες γεωγραφικές περιοχές. Σε ένα τέτοιο λειτουργικό περιβάλλον, προκύπτουν κίνδυνοι μη εξουσιοδοτημένης πρόσβασης στην πληροφορία, μη εξουσιοδοτημένης αποκάλυψης πληροφοριών, εισαγωγής λανθασμένων δεδομένων, αλλά και αλλοίωσης ή καταστροφής αυτών

 

Δρ. Θεόδωρος Ντούσκας,

Managing Director, ICT PROTECT

 www.ictprotect.com

 

 

 

Ο χρηματοπιστωτικός τομέας εξαρτάται ολοένα και περισσότερο από την τεχνολογία και από τεχνολογικές εταιρείες για την παροχή χρηματοοικονομικών υπηρεσιών. Τα πληροφοριακά συστήματα του χρηματοπιστωτικού τομέα χαρακτηρίζονται από πολυπλοκότητα καθώς φιλοξενούν και αλληλοεπιδρούν με πολύπλοκα, ετερογενή Πληροφοριακά Συστήματα και εξαρτώνται από πολλούς παρόχους (π.χ. παρόχους cloud υπηρεσιών, παρόχους τηλεπικοινωνιών, παρόχους συστημάτων πληρωμών, κ.λπ.).

Πιθανή υποβάθμιση, δυσλειτουργία ή διακοπή των 3rd party συστημάτων & υπηρεσιών έχει σημαντικές επιπτώσεις στην ασφάλεια, στην απώλεια δεδομένων, στην απώλεια φήμης και στη μη συμμόρφωση με τη νομοθεσία.

Η Ασφάλεια Πληροφοριών αποτελεί μία συνεχή πρόκληση, η οποία δεν καλύπτεται μόνο από την χρήση τεχνολογικών προτύπων. Ανάγεται πλέον σε εξέχον επιχειρησιακό ζήτημα, καθώς η αδυναμία υλοποίησης του επιθυμητού επιπέδου ασφάλειας μπορεί να αποβεί μοιραία για την βιωσιμότητα του οργανισμού, εξασφαλίζοντας το κατάλληλο επίπεδο διαθεσιμότητας, εμπιστευτικότητας και ακεραιότητας των πληροφοριών.

Απαιτήσεις και Συμμόρφωση

Προς αυτή την κατεύθυνση κινείται ο Κανονισμός Ψηφιακής Επιχειρησιακής Ανθεκτικότητας, γνωστός ως DORA (Digital Operational Resilience Act). Ο κανονισμός DORA στοχεύει στην ενδυνάμωση της ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοοικονομικών οντοτήτων, εξασφαλίζοντας ότι είναι σε θέση να αντιμετωπίζουν και να ανακάμπτουν από σοβαρές λειτουργικές διαταραχές, όπως κυβερνοεπιθέσεις, τεχνολογικές δυσλειτουργίες / αστοχίες ή άλλες απειλές. Καθορίζει μια σειρά από απαιτήσεις ασφάλειας που πρέπει να τηρούν οι οργανισμοί που εντάσσονται σε αυτόν, οι οποίες συνοψίζονται ακολούθως:

  1. Διαχείριση Κινδύνων: Οι χρηματοοικονομικές οντότητες πρέπει να υιοθετήσουν ισχυρά πλαίσια για την αναγνώριση, αξιολόγηση και μετριασμό των κινδύνων που σχετίζονται με τις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ). Απαιτούνται τακτικές αναθεωρήσεις και ενημερώσεις των πολιτικών διαχείρισης κινδύνων.
  2. Αναφορά Περιστατικών: Οι οντότητες πρέπει να αναφέρουν σημαντικά περιστατικά που σχετίζονται με ΤΠΕ στις αρμόδιες αρχές.
  3. Δοκιμές Ψηφιακής Επιχειρησιακής Ανθεκτικότητας: Απαιτείται τακτικός και διεξοδικός τεχνικός (π.χ. Threat-Led Penetration Testing) έλεγχος των συστημάτων ΤΠΕ από ανεξάρτητους φορείς, εσωτερικούς ή εξωτερικούς.
  4. Διαχείριση Κινδύνων Τρίτων Παρόχων ΤΠΕ Η εποπτεία των παρόχων υπηρεσιών τρίτων (π.χ., παρόχων cloud, παρόχων διαχείρισης δικτύου, παρόχων συστημάτων πληρωμών, κλπ) είναι υποχρεωτική. Η ανάλυση επικινδυνότητας της χρηματοοικονομικής οντότητας πρέπει να περιλαμβάνει κινδύνους σχετικά με την εξάρτηση του οργανισμού από τρίτα συστήματα και παρόχους. Οι συμβάσεις πρέπει να περιλαμβάνουν διατάξεις που διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις του DORA.
  5. Κοινοποίηση Πληροφοριών: Ενθαρρύνεται η ανταλλαγή πληροφοριών σχετικά με κυβερνοαπειλές και περιστατικά για την ενίσχυση της συλλογικής ανθεκτικότητας.
  6. Διακυβέρνηση: Η ανώτατη διοίκηση πρέπει να επιβλέπει και να αναλαμβάνει την ευθύνη για τη διαχείριση κινδύνων ICT και τη συμμόρφωση.

DO Risk Assessment for DORA Compliance

Η διεξαγωγή Ανάλυσης & Διαχείρισης Επικινδυνότητας είναι επιτακτική ανάγκη για τη συμμόρφωση με τις απαιτήσεις του DORA (DoRa for DORA Compliance)

Είναι απαραίτητη η πλήρης χαρτογράφηση των συστημάτων του οργανισμού, η καταγραφή των αγαθών και των αλληλεξαρτήσεων με τρίτα συστήματα, καθώς και ο προσδιορισμός των πηγών κινδύνου και των γεγονότων που θα μπορούσαν να έχουν αντίκτυπο στην ομαλή λειτουργία του Οργανισμού. Η Ανάλυση και Διαχείριση Επικινδυνότητας περιλαμβάνει την αναζήτηση, προσδιορισμό, αποτίμηση, κατηγοριοποίηση και ιεράρχηση των κινδύνων που ανακύπτουν από τη διακίνηση, διαχείριση και αποθήκευση της πληροφορίας, καθώς και την ανάπτυξη μιας στρατηγικής διαχείρισης των κινδύνων μέσω της υλοποίησης ανάλογων μέτρων προστασίας.

Επομένως, καθίσταται αναγκαία η ύπαρξη μεθοδολογιών και αυτοματοποιημένων εργαλείων τα οποία ενσωματώνουν πρότυπα ασφάλειας, μεθοδολογίες ανάλυσης και διαχείρισης επικινδυνότητας και οδηγίες για τους χρήστες των οργανισμών ώστε να είναι σε θέση:

  • να αποτυπώνουν τα πληροφοριακά αγαθά του οργανισμού:
    • Υπηρεσίες (Services): καταγραφή των υπηρεσιών του Οργανισμού
    • Δεδομένα (Data): καταγραφή των δεδομένων που διαχειρίζεται ο Οργανισμός
    • Λογισμικό (Software): Cloud Service, Operating System, Database SW, Web Server SW, Application Server SW, κλπ.
    • Προσωπικό (Personnel): αναγνώριση όλων των εμπλεκόμενων μελών του προσωπικού, αναγνώριση των τρίτων παρόχων ΤΠΕ
    • Υλικά αγαθά (Hardware): Server Computer, Client Computer, Gateway, Router, Switch, External Storage Equipment, OT System, κλπ.
    • Φυσικά αγαθά (Physical Assets)
  • να αποτυπώνουν τις αλληλεξαρτήσεις των συστημάτων του οργανισμού με συστήματα τρίτων παρόχων ΤΠΕ
  • να προσδιορίζουν, αξιολογούν και κατηγοριοποιούν τις περιοχές επικινδυνότητας του οργανισμού (και από συστήματα τρίτων παρόχων ΤΠΕ)
  • να αναγνωρίζουν τις επιπτώσεις που θα είχε ένα σοβαρό περιστατικό στην λειτουργία των οργανισμών με τη βοήθεια διαφορετικών σεναρίων, όπως:
    • Απώλεια Διαθεσιμότητας (< 2 ωρών, < 8 ωρών, απώλεια δεδομένων από την τελευταία λήψη Backup, κλπ.)
    • Αλλοίωση Δεδομένων (σκόπιμη αλλοίωση δεδομένων, ακούσια αλλοίωση δεδομένων)
    • Αποκάλυψη Δεδομένων (εσωτερικά, εξωτερικά, σε συνεργάτες)
  • να αναγνωρίζουν και να διαχειρίζονται τις τεχνικές ευπάθειες των συστημάτων
  • να διεξάγουν αποτίμηση επικινδυνότητας,
  • να επιλέγουν κατάλληλα και αξιόπιστα μέτρα προστασίας ώστε να επιτυγχάνεται η διαθεσιμότητα, η εμπιστευτικότητα και η ακεραιότητα των δεδομένων,
  • να διεξάγουν εσωτερικές επιθεωρήσεις
  • να υλοποιούν και να επικαιροποιούν όλες τις απαραίτητες διαδικασίες και πολιτικές ασφάλειας

Στην ICT PROTECT έχουμε ενσωματώσει όλα τα παραπάνω στο STORM GRC και το χρησιμοποιούμε με επιτυχία προκειμένου να αντιμετωπίζουμε τις περίπλοκες απαιτήσεις συμμόρφωσης των πελατών μας.

 

References

https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32022R2554#art_2