Z tego artykułu dowiesz się o:

• Nowych wymogach regulacyjnych DORA i NIS2
• Szczegółowej metodologii przeprowadzonych testów
• Przebiegu ćwiczeń i symulowanych scenariuszach
• Szczegółowych wynikach i wnioskach z testów
• Rekomendacjach dla sektora bankowego

Nowe wymogi regulacyjne DORA i NIS2

Od 17 stycznia 2025 roku sektor finansowy musi spełniać wymagania rozporządzenia DORA (Digital Operational Resilience Act).

• Ten akt prawny wprowadza kompleksowe wymogi w zakresie cyfrowej odporności instytucji finansowych.

Równolegle trwają prace nad implementacją dyrektywy NIS2, która ma zostać włączona do polskiego systemu prawnego poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.

Metodologia testów Cyber-EXE Polska 2024

W tegorocznej edycji ćwiczeń wzięło udział 18 czołowych instytucji bankowych. Testy zaprojektowano w oparciu o rzeczywiste przypadki ataków grup APT (Advanced Persistent Threat) oraz metody stosowane przez cyberprzestępców atakujących platformy kryptowalutowe.

Metodologia testów obejmowała dwie kluczowe fazy:

Faza pierwsza - projektowanie zabezpieczeń:

• Wdrożenie systemów zabezpieczeń infrastruktury fizycznej
• Implementacja mechanizmów ochrony urządzeń końcowych
• Konfiguracja zabezpieczeń sieci wewnętrznej
• Testowanie mechanizmów wykrywania anomalii

Faza druga - symulacja ataków:

• Monitorowanie systemów pod kątem podejrzanych aktywności
• Identyfikacja rodzaju i skali zagrożeń
• Współpraca z zespołami technicznymi
• Komunikacja z CSIRT-ami krajowymi i sektorowym
• Analiza wpływu włamania na organizację

Szczegółowe wyniki testów - co oznaczają dla bezpieczeństwa klientów?

Przeprowadzone testy ujawniły kluczowe zależności między modelami reagowania na incydenty a skutecznością ochrony środków klientów. Przyjrzyjmy się szczegółowym wynikom i ich praktycznemu znaczeniu dla bezpieczeństwa sektora bankowego:

Czas reakcji na zagrożenia

W przypadku samodzielnego działania banków pierwszy raport o zagrożeniu powstawał po 38 minutach, a pełniejsza analiza dopiero po 107 minutach. W tym czasie cyberprzestępcy mogliby już przeprowadzić znaczącą część ataku, potencjalnie uzyskując dostęp do wrażliwych danych lub systemów transakcyjnych. Natomiast w modelu współpracy międzybankowej:

• Wstępne powiadomienie następowało już po 30 minutach (o 8 minut szybciej)
• Pełna analiza była gotowa po 70 minutach (oszczędność 37 minut)

Ta różnica czasu ma kluczowe znaczenie dla bezpieczeństwa klientów - szybsza reakcja oznacza mniejsze ryzyko skutecznej kradzieży środków czy wycieku danych osobowych. W praktyce każda minuta może decydować o zablokowaniu podejrzanych transakcji czy zatrzymaniu rozprzestrzeniania się złośliwego oprogramowania.

Jakość analizy zagrożeń

Szczególnie istotna okazała się poprawa w zakresie identyfikacji wskaźników kompromitacji (IOC). W modelu samodzielnym tylko 51% raportów zawierało pełne informacje o zagrożeniach, co oznaczało, że połowa incydentów nie była dokładnie przeanalizowana. Model współpracy podniósł ten wskaźnik do 71%, co przekłada się na:

• Dokładniejszą identyfikację źródeł ataków
• Lepsze rozpoznanie metod działania cyberprzestępców
• Skuteczniejsze blokowanie podobnych ataków w przyszłości
• Zmniejszenie liczby fałszywych alarmów, które mogłyby niepotrzebnie blokować legalne transakcje klientów

Wyższy odsetek kompletnych analiz IOC oznacza, że banki są w stanie lepiej przewidywać i zapobiegać przyszłym atakom, budując skuteczniejsze mechanizmy ochronne dla środków klientów.

Znaczenie współpracy międzybankowej

Testy jednoznacznie wykazały, że model współpracy między bankami przynosi wymierne korzyści dla bezpieczeństwa całego sektora. Szybsza reakcja i dokładniejsza analiza przekładają się bezpośrednio na:

• Minimalizację strat finansowych w przypadku rzeczywistych ataków
• Skuteczniejszą ochronę danych osobowych klientów
• Większą ciągłość działania systemów bankowych
• Lepszą zdolność do wykrywania złożonych, wieloetapowych ataków

Osiągnięte wyniki pokazują również, że polskie banki są dobrze przygotowane do spełnienia wymogów rozporządzenia DORA, szczególnie w zakresie klasyfikacji i raportowania poważnych incydentów bezpieczeństwa.

Rekomendacje dla sektora bankowego

Na podstawie przeprowadzonych testów sformułowano kluczowe rekomendacje dla cyberbezpieczeństwa banków:

„Najważniejszym wnioskiem płynącym z ćwiczeń, oprócz faktu dobrego przygotowania banków i ich gotowości na rzeczywiste zagrożenia, jest pokazanie kluczowej roli kooperacji w przypadku tak trudnych sytuacji" - podkreśla Jakub Teska, Partner EY i lider Zespołu Bezpieczeństwa Chmury.

• Wzmocnienie współpracy międzybankowej: Testy jednoznacznie wykazały, że wymiana informacji znacząco poprawia skuteczność reakcji na incydenty

• Rozwój narzędzi analitycznych: Banki wykazały się odpowiednimi kompetencjami w zakresie analizy artefaktów i klasyfikacji incydentów według standardów RTS

• Zwiększenie złożoności przyszłych ćwiczeń: Ze względu na wysoką skuteczność działań, rekomenduje się podniesienie poziomu trudności kolejnych ćwiczeń cyberbezpieczeństwa

Pytania i odpowiedzi

P: Jak banki poradziły sobie z nowymi wymogami DORA?
O: Testy wykazały, że instytucje bankowe posiadają odpowiednie narzędzia i procedury do klasyfikacji poważnych incydentów zgodnie z wymogami DORA i RTS.

P: Jakie korzyści przynosi współpraca międzybankowa w zakresie cyberbezpieczeństwa?
O: Współpraca skraca czas reakcji nawet o 35% i poprawia jakość raportowania incydentów o 39%.

P: Co wyróżnia tegoroczną edycję ćwiczeń Cyber-EXE?
O: To pierwsze ćwiczenia uwzględniające nowe wymogi DORA, oparte na rzeczywistych scenariuszach ataków APT.

Masz dodatkowe pytania? Napisz do nas. Postaramy się uzyskać odpowiedzi.

Źródło: EY

Foto: Freepik