W przypadku usług finansowych i ich zewnętrznych dostawców, unijne Rozporządzenie o cyfrowej odporności operacyjnej (Digital Operational Resilience Act – DORA) jest jedną z tych regulacji, które mają pomóc branży w standaryzacji podejścia do cyberbezpieczeństwa, cyberodporności i obowiązków w zakresie ładu korporacyjnego.

Statystyki pokazują, że sektor finansowy jest atrakcyjnym celem cyberataków. W 2022 r. na całym świecie doszło do 477 wycieków danych i 1829 incydentów, które stworzyły ryzyko takiego wycieku. Choć może się wydawać, że to niewiele, średni koszt wycieku w tym sektorze wynosi 6 milionów dolarów . A mowa tylko o wykrytych i zgłoszonych incydentach.

„Rozporządzenie DORA nie powinno być traktowane jako przymus, ale jako szansa. Branża finansowa musi nadążać za zmieniającym się krajobrazem technologicznym i cyfrowym. Warto zauważyć, że organizacje trzeciego sektora, które są szczególnie narażone na cyberataki, już zmierzają w tym kierunku” – tłumaczy Paweł Raczyński, dyrektor zarządzający w Kyndryl Poland.

Oczekuje się, że rozporządzenie DORA podniesie poziom bezpieczeństwa systemowego i odporności w sektorze usług finansowych - zwłaszcza, że obejmie ono podmioty i firmy w ich łańcuchach dostaw, które nie były wcześniej objęte przepisami dotyczącymi cyberbezpieczeństwa. Zewnętrzni dostawcy dla wielu instytucji finansowych objętych regulacjami, tacy jak na przykład Kyndryl, również ich oczekują i intensywnie przygotowują się z klientami.

Dostawcy usług finansowych muszą już teraz rozpocząć modernizację swoich protokołów cyberbezpieczeństwa i cyberodporności. Dogłębne zrozumienie biznesowych i technicznych aspektów branży usług finansowych będzie kluczem do skutecznego planowania zmian, więc organizacje będą potrzebować partnerów posiadających specjalistyczną wiedzę, która pomoże im poruszać się w nowym środowisku regulacyjnym.

Podczas gdy europejskie organy regulacyjne nadal udoskonalają standardy techniczne DORA, duże firmy świadczące usługi finansowe już rozpoczęły aktualizację i testowanie swoich zasobów ICT pod kątem zgodności z przepisami.

Ostatnie badanie IDC Ransomware Study wykazało , że ponad połowa ankietowanych przedsiębiorstw nadal musi podjąć działania w celu zapewnienia zgodności z DORA i NIS2 (Network and Information Security Directive). Wynika to z potrzeby zwiększenia bezpieczeństwa sieci i systemów informatycznych w UE. Od operatorów infrastruktury krytycznej i podstawowych usług wymagane będzie wdrożenie odpowiednich środków bezpieczeństwa oraz zgłaszanie wszelkich incydentów odpowiednim organom. Raport stwierdza również, że mniej niż jedna trzecia zaatakowanych organizacji może samodzielnie odzyskać swoje dane, a większość z nich ucieka się do płacenia okupu. Ponadto ponad 90% ataków kończy się wyciekiem danych firmowych.

Raport pokazuje też drugą stronę medalu. Okazuje się, że szkodliwe wyniki działania oprogramowania ransomware nie wynikają z braków w technologii czy niestosowania dobrych praktyk, ale z potrzeby uzupełnienia wiedzy i standaryzacji w zakresie cyber-recovery. Firmy powinny szukać sprawdzonych i doświadczonych partnerów, którzy wesprą je w tym procesie.

Zasady zebrane w DORA wejdą w życie 17 stycznia 2025 r. i obejmą ponad 22 000 podmiotów w całej Unii Europejskiej. Organizacje finansowe i ich dostawcy usług muszą być na to gotowi. Przeanalizowanie, zaprojektowanie i wdrożenie odpowiednich narzędzi są często wyzwaniem dla banków działających w Polsce, które i tak szukają kompromisów w alokowaniu swoich pracowników do innych zadań związanych z wymogami regulacyjnymi.

„Nawet te banki, które już zaczęły zmagać się z przeglądem swojej gotowości do spełnienia wymogów DORA, często w rozmowach z nami potwierdzają, że nie rozważyły jeszcze wszystkich aspektów tego zagadnienia. A przecież nowe regulacje to tylko jedna ze składowych najbliższej przyszłości. Jeśli spojrzymy na aktualne badania, wyraźnie widać postępujący trend w kierunku korzystania z usług dostawców chmury oraz integracji środków cyberbezpieczeństwa wśród największych firm” – zauważa Paweł Raczyński.

Raport „IDC FutureScape: Worldwide Cloud 2024 Predictions” wspomina o tym trendzie. Wynika z niego, że aż 85% firm z grupy G2000 będzie polegać na dostawcach usług w chmurze i łączności w zakresie wdrażania zabezpieczeń zero-trust do 2027 r., zmniejszając tym samym o połowę obciążenie personelu IT. Jak prognozuje raport, 75% dyrektorów IT zintegruje środki bezpieczeństwa cybernetycznego bezpośrednio z systemami i procesami, aby aktywnie wykrywać i neutralizować słabe punkty, wzmacniając ochronę przed zagrożeniami i naruszeniami cybernetycznymi.