Opinii

Regulamentul UE privind rezilienta operationala digitala - DORA ( Digital Operational Resilience Act ) -, care a intrat in vigoare anul acesta, aduce un set de obligatii clare pentru institutiile financiare. Una dintre cele mai importante cerinte este efectuarea de catre entitatile considerate semnificative a unor teste de penetrare bazate pe amenintari ( Threat-Led Penetration Testing - TLPT) asupra tuturor sistemelor si aplicatiilor critice de tehnologie a informatiei si de comunicatii si asupra functiilor importante, in mediul de productie. Aceste teste trebuie refacute la fiecare trei ani.

Pentru a sprijini implementarea coerenta a acestor testari, Banca Centrala Europeana (BCE) a publicat recent ghidul "How to implement the TIBER-EU Framework for the DORA TLPT of significant institutions" , care explica pas cu pas modul in care cadrul TIBER-EU ( Threat Intelligence-based Ethical Red Teaming ) este utilizat pentru a indeplini cerintele prevazute de DORA. Documentul ofera claritate asupra responsabilitatilor institutiilor, etapelor testarii si modului in care autoritatile de supraveghere coordoneaza intregul proces.

Ce stabileste ghidul Bancii Centrale Europene

Ghidul porneste de la premisa ca TIBER-EU reprezinta metodologia de referinta pentru testarile de tip Threat-Led Penetration Testing , intrucat ofera o abordare realista, bazata pe informatii privind amenintarile si scenarii sofisticate de tip "red team". BCE defineste clar criteriile de selectie a institutiilor semnificative care intra sub incidenta testarilor obligatorii si rolurile tuturor actorilor implicati, de la TLPT Authority (BCE), la Test Manager , Control Team , Threat Intelligence Provider (TIP) si Red Team Testers (RTT). De asemenea, stabileste o structura in trei faze a testarii: pregatire, testare si inchidere, fiecare continand activitati critice precum definirea functiilor esentiale, evaluarea riscurilor, crearea scenariilor, atacuri simulate asupra sistemelor live si etapa de "replay/purple teaming". In plus, noul ghid impune cerinte stricte de confidentialitate, separare a echipelor, gestionare a riscurilor si mentinere a realismului operational pe durata intregului exercitiu.

Prin acest ghid, BCE face un pas esential spre uniformizarea modului in care se realizeaza TLPT in toata zona euro, asigurandu-se ca testarile sunt consecvente, sigure si orientate catre rezultate reale in materie de rezilienta operationala.

Importanta testarilor de tip Threat-Led Penetration Testing pentru sectorul financiar

TLPT este mai mult decat un simplu exercitiu tehnic. Reprezinta o simulare realista a unui atac avansat asupra serviciilor critice ale institutiei, cu scopul de a evalua capacitatea sistemelor de a detecta, intarzia si bloca atacuri sofisticate, maturitatea proceselor si colaborarea dintre echipele de securitate si cele operationale, precum si nivelul real de rezilienta a functiilor critice, cum ar fi platile, serviciile de carduri, mobile banking-ul, infrastructura SWIFT, sistemele de baza bancare etc.

Rezultatul final nu este doar un raport, ci un plan de imbunatatire cu impact direct in securitatea si continuitatea afacerii.

De ce aspecte trebuie sa tina cont institutiile financiare cand implementeaza cerintele privind testarile TLPT

Implementarea unei testari TLPT conform TIBER-EU necesita expertiza multidisciplinara, experienta practica in red teaming si o intelegere profunda a cerintelor DORA . Institutiile financiare au nevoie de echipe specializate, ideal cu experienta in proiecte complexe pentru banci centrale, institutii sistemice si operatori de infrastructura critica, precum si cu expertiza in reglementarile europene de profil, cum ar fi DORA, NIS2, TIBER-EU. Un alt aspect important este capacitatea operationala end-to-end - de la definirea functiilor critice, la executia scenariilor de atac, coordonarea echipelor, pana la analiza rezultatelor si elaborarea planurilor de remediere.