Andrei Ionescu, Partener coordonator, Consultanță și Managementul Riscului,
Adrian Ifrim, Senior Manager, Managementul Riscului, Deloitte România
Atacurile cibernetice reprezintă o amenințare pentru fiecare dintre noi, iar evenimentele din ultima perioadăne-au demonstrat că perturbările produse pot fi considerabile. Riscurile provocate de aceste perturbări trebuie luate în considerare și de către bănci și alți actori ai domeniului financiar, deoarece pot avea un impact nu numai asupra fiecărei organizații în parte, ci și asupra stabilității întregului ecosistemfinanciar. Riscul atacurilor cibernetice este accentuat și de folosirea tehnologiilor digitale de către sistemulfinanciar și de provocările generate de viteza cu care evoluează amenințările cibernetice.
Banca Națională a României (BNR) a considerat, așadar, că este esențial ca băncile, alte instituții financiare sau infrastructurile pieței financiare aflate sub supravegherea sa să își asigure un nivel adecvat de rezistență cibernetică pentru a seproteja atât pe ele însele,cât și întregul ecosistem.Înluna mai 2022, BNR a transpus la nivel local cadrul TIBER-EU (Threat Intelligence-basedEthicalRedTeaming), un standard de desfășurare a testelor pentru determinarea gradului de reziliență cibernetică elaborat de Banca Centrală Europeană și celelalte bănci centrale din Uniunea Europeană.
Cadrul TIBER-RO, publicat în Monitorul Oficial nr. 432/03.05.2022, se aplică instituțiilor financiare aflate sub supravegherea Băncii Naționale a României, care vor fi nevoite să-și testeze rezistența cibernetică la fiecare trei ani, spre deosebire de alți actori ai ecosistemului financiar, care nu vor avea obligativitatea aplicării acestui cadru.
Înainte de introducerea cadrului TIBER-RO,testarea rezistenței cibernetice se realiza fragmentat, prin verificări izolatesau separate asupraaplicațiilorfolosite în cadrul organizațiilor, în medii controlate, demers care nu oferea o imagine de ansamblu a riscurilorla care băncile erau supuse din acest punct de vedere.
Derularea unui test care să evidențieze capacitateade ansamblu a unei organizații de a se apăra de atacurilecibernetice este un exercițiu complex, care necesită coordonarea mai multor echipe, nu doar a celor dedicate securității cibernetice, ci și a celor de IT și management. În contextul implementării TIBER-RO, membrii consiliilor de administrație, directorii și responsabilii în domeniul cibernetic sau IT vor fi nevoiți să planifice din timp acest tip de exerciții, dar și să implementezemetode de management al riscului cibernetic,în vederea atingerii unui punct maxim de eficiență.
În primul rând, organizațiile trebuie să conștientizeze faptul că otestare conformă cucadrul TIBER-RO va evidenția atât plusurile, cât și minusurile practicilor de securitate cibernetică pe care le au implementate. De această dată, companiile vor fi nevoite să facă față unui atac care are loc în condiții identice cu cele ale unui incidentreal, neanunțat, în mediul de producție, în timp real, la finalul căruia vor putea aplicamăsurile necesare pentru a-șiîmbunătăținivelul de securitate cibernetică.
Din punctul de vedere al infrastructurii, aplicarea unui test TIBER-RO poate avea un impact semnificativ asupra unei organizații, de la transformări asupra culturii organizaționale, până la procesele companiei sau chiar capitalul uman. În funcție de rezultatul testului, companiile vor lua în considerare o serie de măsuri care presupun investiții pentru actualizarea sistemelor informatice, instruirea specialiștilor în securitate ciberneticăsau chiar pregătirea unor campanii de conștientizare în rândul angajaților privindamenințăriledin spațiul virtual.
O altă provocare privind implementarea cadrului TIBER-RO o reprezintă și componența echipelor interne de specialiști în securitate cibernetică. Securitatea cibernetică este un domeniu care se confruntă cu un deficit de experți.Deși numărul lor a crescut în ultima perioadă, avansul înregistrat nu este suficient pentru a răspunde nevoilor din piață. Pentru derularea unui exercițiu care stabilește nivelul de rezistență cibernetică a unei organizații, aceasta trebuie să ia în considerarea formarea sau consolidarea echipelor interne de securitate cibernetică.
Procesul de testare în urma căruia este stabilit nivelul de eficiență a practicilor de management al riscului cibernetic din cadrul unei organizații trebuie să fie unul continuu, iar,pentru îmbunătățirea sa, companiile trebuie să ia în considerare o serie de acțiuni care ar putea avea un impact direct semnificativ asupra întregii organizații. Activitățile efectuate în cadrul unui exercițiu bazat pe TIBER-RO trebuie executate de către echipe ai căror membri au atât certificările necesare,câtși experiențăîn domeniul securității cibernetice conform cerințelor din regulamentul BNR. În plus, exercițiile se desfășoară pe parcursul mai multor luni, aspect care necesită o planificare detaliată și o supraveghere constantă a fiecărei etape.
COMMENTS