Ecosistemul financiar, inainte si dupa implementarea cadrului TIBER-EU in Romania. Care sunt provocarile?
tiber-eufiscalitateatacuri ciberneticesecuritate cibernetica
Atacurile cibernetice reprezinta o amenintare pentru fiecare dintre noi, iar evenimentele din ultima perioada ne-au demonstrat ca perturbarile produse pot fi considerabile. Riscurile provocate de aceste perturbari trebuie luate in considerare si de catre banci si alti actori ai domeniului financiar, deoarece pot avea un impact nu numai asupra fiecarei organizatii in parte, ci si asupra stabilitatii intregului ecosistem financiar. Riscul atacurilor cibernetice este accentuat si de folosirea tehnologiilor digitale de catre sistemul financiar si de provocarile generate de viteza cu care evolueaza amenintarile cibernetice.
Banca Nationala a Romaniei (BNR) a considerat, asadar, ca este esential ca bancile, alte institutii financiare sau infrastructurile pietei financiare aflate sub supravegherea sa sa isi asigure un nivel adecvat de rezistenta cibernetica pentru a se proteja atat pe ele insele, cat si intregul ecosistem. In luna mai 2022, BNR a transpus la nivel local cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming), un standard de desfasurare a testelor pentru determinarea gradului de rezilienta cibernetica elaborat de Banca Centrala Europeana si celelalte banci centrale din Uniunea Europeana.
Cadrul TIBER-RO, publicat in Monitorul Oficial nr. 432/03.05.2022, se aplica institutiilor financiare aflate sub supravegherea Bancii Nationale a Romaniei, care vor fi nevoite sa-si testeze rezistenta cibernetica la fiecare trei ani, spre deosebire de alti actori ai ecosistemului financiar, care nu vor avea obligativitatea aplicarii acestui cadru.
Inainte de introducerea cadrului TIBER-RO, testarea rezistentei cibernetice se realiza fragmentat, prin verificari izolate sau separate asupra aplicatiilor folosite in cadrul organizatiilor, in medii controlate, demers care nu oferea o imagine de ansamblu a riscurilor la care bancile erau supuse din acest punct de vedere.
Derularea unui test care sa evidentieze capacitatea de ansamblu a unei organizatii de a se apara de atacurile cibernetice este un exercitiu complex, care necesita coordonarea mai multor echipe, nu doar a celor dedicate securitatii cibernetice, ci si a celor de IT si management. In contextul implementarii TIBER-RO, membrii consiliilor de administratie, directorii si responsabilii in domeniul cibernetic sau IT vor fi nevoiti sa planifice din timp acest tip de exercitii, dar si sa implementeze metode de management al riscului cibernetic, in vederea atingerii unui punct maxim de eficienta.
O testare conforma cu cadrul TIBER-RO va evidentia atat plusurile, cat si minusurile practicilor de securitate cibernetica pe care le au implementate
In primul rand, organizatiile trebuie sa constientizeze faptul ca o testare conforma cu cadrul TIBER-RO va evidentia atat plusurile, cat si minusurile practicilor de securitate cibernetica pe care le au implementate. De aceasta data, companiile vor fi nevoite sa faca fata unui atac care are loc in conditii identice cu cele ale unui incident real, neanuntat, in mediul de productie, in timp real, la finalul caruia vor putea aplica masurile necesare pentru a-si imbunatati nivelul de securitate cibernetica.
Din punctul de vedere al infrastructurii, aplicarea unui test TIBER-RO poate avea un impact semnificativ asupra unei organizatii, de la transformari asupra culturii organizationale, pana la procesele companiei sau chiar capitalul uman. In functie de rezultatul testului, companiile vor lua in considerare o serie de masuri care presupun investitii pentru actualizarea sistemelor informatice, instruirea specialistilor in securitate cibernetica sau chiar pregatirea unor campanii de constientizare in randul angajatilor privind amenintarile din spatiul virtual.
O alta provocare privind implementarea cadrului TIBER-RO o reprezinta si componenta echipelor interne de specialisti in securitate cibernetica. Securitatea cibernetica este un domeniu care se confrunta cu un deficit de experti. Desi numarul lor a crescut in ultima perioada, avansul inregistrat nu este suficient pentru a raspunde nevoilor din piata. Pentru derularea unui exercitiu care stabileste nivelul de rezistenta cibernetica a unei organizatii, aceasta trebuie sa ia in considerarea formarea sau consolidarea echipelor interne de securitate cibernetica.
Procesul de testare in urma caruia este stabilit nivelul de eficienta a practicilor de management al riscului cibernetic din cadrul unei organizatii trebuie sa fie unul continuu, iar, pentru imbunatatirea sa, companiile trebuie sa ia in considerare o serie de actiuni care ar putea avea un impact direct semnificativ asupra intregii organizatii.
Activitatile efectuate in cadrul unui exercitiu bazat pe TIBER-RO trebuie executate de catre echipe ai caror membri au atat certificarile necesare, cat si experienta in domeniul securitatii cibernetice conform cerintelor din regulamentul BNR. In plus, exercitiile se desfasoara pe parcursul mai multor luni, aspect care necesita o planificare detaliata si o supraveghere constanta a fiecarei etape.
Explicatiile ne-au fost oferite de Andrei Ionescu, Partener coordonator, Consultanta si Managementul Riscului, si Adrian Ifrim, Senior Manager, Managementul Riscului, Deloitte Romania