Andrei Ionescu şi Adrian Ifrim, Deloitte România: Ecosistemul financiar, înainte şi după implementarea cadrului TIBER-EU în România. Care sunt provocările?
Atacurile cibernetice reprezintă o ameninţare pentru fiecare dintre noi, iar evenimentele din ultima perioadă ne-au demonstrat că perturbările produse pot fi considerabile.
Riscurile provocate de aceste perturbări trebuie luate în considerare şi de către bănci şi alţi actori ai domeniului financiar, deoarece pot avea un impact nu numai asupra fiecărei organizaţii în parte, ci şi asupra stabilităţii întregului ecosistem financiar. Riscul atacurilor cibernetice este accentuat şi de folosirea tehnologiilor digitale de către sistemul financiar şi de provocările generate de viteza cu care evoluează ameninţările cibernetice.
Banca Naţională a României (BNR) a considerat, aşadar, că este esenţial ca băncile, alte instituţii financiare sau infrastructurile pieţei financiare aflate sub supravegherea sa să îşi asigure un nivel adecvat de rezistenţă cibernetică pentru a se proteja atât pe ele însele, cât şi întregul ecosistem. În luna mai 2022, BNR a transpus la nivel local cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming), un standard de desfăşurare a testelor pentru determinarea gradului de rezilienţă cibernetică elaborat de Banca Centrală Europeană şi celelalte bănci centrale din Uniunea Europeană.
Cadrul TIBER-RO, publicat în Monitorul Oficial nr. 432/03.05.2022, se aplică instituţiilor financiare aflate sub supravegherea Băncii Naţionale a României, care vor fi nevoite să-şi testeze rezistenţa cibernetică la fiecare trei ani, spre deosebire de alţi actori ai ecosistemului financiar, care nu vor avea obligativitatea aplicării acestui cadru.
Înainte de introducerea cadrului TIBER-RO, testarea rezistenţei cibernetice se realiza fragmentat, prin verificări izolate sau separate asupra aplicaţiilor folosite în cadrul organizaţiilor, în medii controlate, demers care nu oferea o imagine de ansamblu a riscurilor la care băncile erau supuse din acest punct de vedere.
Derularea unui test care să evidenţieze capacitatea de ansamblu a unei organizaţii de a se apăra de atacurile cibernetice este un exerciţiu complex, care necesită coordonarea mai multor echipe, nu doar a celor dedicate securităţii cibernetice, ci şi a celor de IT şi management. În contextul implementării TIBER-RO, membrii consiliilor de administraţie, directorii şi responsabilii în domeniul cibernetic sau IT vor fi nevoiţi să planifice din timp acest tip de exerciţii, dar şi să implementeze metode de management al riscului cibernetic, în vederea atingerii unui punct maxim de eficienţă.
În primul rând, organizaţiile trebuie să conştientizeze faptul că o testare conformă cu cadrul TIBER-RO va evidenţia atât plusurile, cât şi minusurile practicilor de securitate cibernetică pe care le au implementate. De această dată, companiile vor fi nevoite să facă faţă unui atac care are loc în condiţii identice cu cele ale unui incident real, neanunţat, în mediul de producţie, în timp real, la finalul căruia vor putea aplica măsurile necesare pentru a-şi îmbunătăţi nivelul de securitate cibernetică.
Din punctul de vedere al infrastructurii, aplicarea unui test TIBER-RO poate avea un impact semnificativ asupra unei organizaţii, de la transformări asupra culturii organizaţionale, până la procesele companiei sau chiar capitalul uman. În funcţie de rezultatul testului, companiile vor lua în considerare o serie de măsuri care presupun investiţii pentru actualizarea sistemelor informatice,
