Articol de opinie de Andrei Ionescu, Partener coordonator, Consultanta si Managementul Riscului, si Adrian Ifrim, Senior Manager, Managementul Riscului, Deloitte Romania
Atacurile cibernetice reprezinta o amenintare pentru fiecare dintre noi, iar evenimentele din ultima perioada ne-au demonstrat ca perturbarile produse pot fi considerabile. Riscurile provocate de aceste perturbari trebuie luate în considerare si de catre banci si alti actori ai domeniului financiar, deoarece pot avea un impact nu numai asupra fiecarei organizatii în parte, ci si asupra stabilitatii întregului ecosistem financiar. Riscul atacurilor cibernetice este accentuat si de folosirea tehnologiilor digitale de catre sistemul financiar si de provocarile generate de viteza cu care evolueaza amenintarile cibernetice.
Banca Nationala a Romaniei (BNR) a considerat, asadar, ca este esential ca bancile, alte institutii financiare sau infrastructurile pietei financiare aflate sub supravegherea sa sa îsi asigure un nivel adecvat de rezistenta cibernetica pentru a se proteja atat pe ele însele, cat si întregul ecosistem. În luna mai 2022, BNR a transpus la nivel local cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming), un standard de desfasurare a testelor pentru determinarea gradului de rezilienta cibernetica elaborat de Banca Centrala Europeana si celelalte banci centrale din Uniunea Europeana.
Cadrul TIBER-RO, publicat în Monitorul Oficial nr. 432/03.05.2022, se aplica institutiilor financiare aflate sub supravegherea Bancii Nationale a Romaniei, care vor fi nevoite sa-si testeze rezistenta cibernetica la fiecare trei ani, spre deosebire de alti actori ai ecosistemului financiar, care nu vor avea obligativitatea aplicarii acestui cadru.
Înainte de introducerea cadrului TIBER-RO, testarea rezistentei cibernetice se realiza fragmentat, prin verificari izolate sau separate asupra aplicatiilor folosite în cadrul organizatiilor, în medii controlate, demers care nu oferea o imagine de ansamblu a riscurilor la care bancile erau supuse din acest punct de vedere.
Derularea unui test care sa evidentieze capacitatea de ansamblu a unei organizatii de a se apara de atacurile cibernetice este un exercitiu complex, care necesita coordonarea mai multor echipe, nu doar a celor dedicate securitatii cibernetice, ci si a celor de IT si management. În contextul implementarii TIBER-RO, membrii consiliilor de administratie, directorii si responsabilii în domeniul cibernetic sau IT vor fi nevoiti sa planifice din timp acest tip de exercitii, dar si sa implementeze metode de management al riscului cibernetic, în vederea atingerii unui punct maxim de eficienta.
În primul rand, organizatiile trebuie sa constientizeze faptul ca o testare conforma cu cadrul TIBER-RO va evidentia atat plusurile, cat si minusurile practicilor de securitate cibernetica pe care le au implementate. De aceasta data, companiile vor fi nevoite sa faca fata unui atac care are loc în conditii identice cu cele ale unui incident real, neanuntat, în mediul de productie, în timp real, la finalul caruia vor putea aplica masurile necesare pentru a-si îmbunatati nivelul de securitate cibernetica.
Din punctul de vedere al infrastructurii, aplicarea unui test TIBER-RO poate avea un impact semnificativ asupra unei organizatii, de la transformari asupra culturii organizationale, pana la procesele companiei sau chiar capitalul uman. În functie de rezultatul testului, companiile vor lua în considerare o serie de masuri care presupun investitii pentru actualizarea sistemelor informatice, instruirea specialistilor în securitate cibernetica sau chiar pregatirea unor campanii de constientizare în randul angajatilor privind amenintarile din spatiul virtual.
O alta provocare privind implementarea cadrului TIBER-RO o reprezinta si componenta echipelor interne de specialisti în securitate cibernetica. Securitatea cibernetica este un domeniu care se confrunta cu un deficit de experti. Desi numarul lor a crescut în ultima perioada, avansul înregistrat nu este suficient pentru a raspunde nevoilor din piata. Pentru derularea unui exercitiu care stabileste nivelul de rezistenta cibernetica a unei organizatii, aceasta trebuie sa ia în considerarea formarea sau consolidarea echipelor interne de securitate cibernetica.
Procesul de testare în urma caruia este stabilit nivelul de eficienta a practicilor de management al riscului cibernetic din cadrul unei organizatii trebuie sa fie unul continuu, iar, pentru îmbunatatirea sa, companiile trebuie sa ia în considerare o serie de actiuni care ar putea avea un impact direct semnificativ asupra întregii organizatii. Activitatile efectuate în cadrul unui exercitiu bazat pe TIBER-RO trebuie executate de catre echipe ai caror membri au atat certificarile necesare, cat si experienta în domeniul securitatii cibernetice conform cerintelor din regulamentul BNR. În plus, exercitiile se desfasoara pe parcursul mai multor luni, aspect care necesita o planificare detaliata si o supraveghere constanta a fiecarei etape.