DORA este cea mai recentă completare la reglementările financiare ale Uniunii Europene.

Până la 17 ianuarie 2025, instituțiile financiare trebuie să asigure conformitatea cu Digital Operational Resilience Act (DORA) prin demonstrarea vizibilității complete asupra operațiunilor și modului în care asigură reziliența. Standardul Tehnic Reglementar final (RTS), care specifică elementele legate de Threat Led Penetration Tests, a fost publicat în iulie 2024, clarificând anumite aspecte care erau încă neclare.

Digital Operational Resilience Act (DORA) va impune obligatoriu în întreaga UE, pentru entitățile financiare vizate, efectuarea de Threat-Led Penetration Testing (TLPT) la o frecvență stabilită de Autoritatea Competentă. În general, se consideră că aceasta va fi o dată la trei ani.

Testare Threat-Led Penetration (TLPT)

Conform Digital Operational Resilience Act, testarea reprezintă un cadru care imită tacticile, tehnicile și procedurile actorilor reali de amenințări percepuți ca reprezentând o amenințare cibernetică autentică, oferind un test controlat, personalizat, bazat pe Threat Intelligence (Red Team) al sistemelor critice de producție live ale entității financiare.

Comparativ, conform cadrului TIBER-EU, testele Threat Intelligence-based Ethical Red Teaming trebuie să ofere un test controlat, personalizat, bazat pe Threat Intelligence, de tip Red Team, al sistemelor critice de producție live ale entităților. Testele bazate pe Threat Intelligence imită tacticile, tehnicile și procedurile (TTP) ale actorilor reali de amenințări care, pe baza Threat Intelligence, sunt percepuți ca reprezentând o amenințare reală pentru entități. Un test bazat pe Threat Intelligence implică utilizarea unei varietăți de tehnici pentru a simula un atac asupra funcțiilor critice (CF) și sistemelor subiacente ale entității (adică oameni, procese și tehnologii).

Mesajul principal este că standardul TIBER-EU va fi actualizat pentru a respecta cerințele din forma finală a DORA RTS.

Autoritatea Bancară Europeană a menționat în cadrul Standardelor Tehnice Regulatorii publicate luna trecută că mandatul stabilit conform Articolului 26(11) din DORA nu acoperă în totalitate toate cerințele cadrului TIBER-EU.

Conform acestei prevederi, aceste cerințe ar putea deveni cerințe legale, în măsura în care este posibil. Standardele Tehnice Regulatorii DORA stipulează, de asemenea, că orice jurisdicție care dorește să continue să utilizeze propria implementare a cadrului TIBER-EU ar trebui să poată face acest lucru, integrând orice cerințe suplimentare DORA TLPT, dacă există. Cadrul TIBER-EU și ghidul suplimentar, precum și diferitele implementări ale TIBER-EU, ar trebui, prin urmare, să fie considerate ca oferind ghidaj suplimentar pentru cerințele DORA TLPT și nu ca o înlocuire a acestor cerințe legale din DORA (ESMA, 2023).

Numai cerințele DORA TLPT sunt obligatorii din punct de vedere legal și prevalează asupra cadrului TIBER-EU. Deși acestea au fost redactate pentru a fi conforme cu cadrul TIBER-EU, mandatul acestora nu acoperă întreaga structură a TIBER-EU. Austria, Belgia, Danemarca, Finlanda, Franța, Germania, Islanda, Irlanda, Italia, Luxemburg, Țările de Jos, Norvegia, Portugalia, România, Spania și Suedia au adoptat și implementat cadrul TIBER-EU, în timp ce cel puțin alte două jurisdicții lucrează la implementarea acestuia. În țările care au transpus cadrul TIBER-EU în reglementările locale, aceste cerințe pot fi, de asemenea, obligatorii din punct de vedere legal.

Dacă TIBER-EU a fost transpus în reglementările locale de către o autoritate competentă, documentul clarifică faptul că cerințele pentru Threat-Led Penetration Testing în cadrul DORA au prioritate. Cerințele TLPT din DORA reprezintă nivelul minim obligatoriu pentru instituțiile financiare care se află în sfera de aplicare.

Având în vedere acest lucru, un furnizor de servicii pentru TLPT în cadrul Actului privind Reziliența Operațională Digitală trebuie să posede nu doar expertiză tehnică excepțională, ci și o înțelegere completă a cerințelor legale ce decurg din versiunea transpusă a TIBER-EU în fiecare țară în care instituția financiară își desfășoară activitatea.

De exemplu, în anumite țări europene, contractul dintre furnizorul de servicii și entitatea financiară contractantă trebuie să fie revizuit de autoritatea competentă, în timp ce în altele, aceasta nu este o cerință. De asemenea, unele implementări ale TIBER-EU permit leg-ups, în timp ce altele le interzic strict. Leg-ups pot fi, în general, clasificate în leg-ups de informații și acces și pot, de exemplu, să constea în furnizarea de acces la sistemele ICT sau la rețelele interne pentru a continua testul și a se concentra pe pașii următori ai atacului.

Un alt aspect care a generat discuții ample este că conceptul DORA de „testeri” este mai larg decât „Red Team”-ul din cadrul TIBER-EU. DORA permite utilizarea atât a testerilor interni, cât și a celor externi. Prevederea actuală din DORA privind utilizarea testerilor interni este considerată justificată „pentru a valorifica resursele interne disponibile la nivel corporativ.” Totuși, din cauza naturii extrem de sensibile a Testelor de Penetrare Conduse de Amenințări (TLPT), este esențial să se stabilească măsuri de protecție atât pentru testeri, cât și pentru utilizarea lor de către entitatea financiară. Entitățile financiare pot utiliza testeri interni pentru Testele de Penetrare Conduse de Amenințări, cu condiția ca aceștia să îndeplinească următoarele criterii:

• să fie angajați direct ai entității financiare sau ai unui furnizor de servicii ICT intragrup al entității financiare

• să aibă o vechime de cel puțin un an în cadrul entității financiare

• utilizarea acestora să fi fost aprobată de autoritatea competentă relevantă

• autoritatea competentă relevantă să fi verificat că entitatea financiară dispune de resurse dedicate suficiente și că conflictele de interese sunt evitate pe parcursul etapelor de proiectare și execuție ale testului; și

• furnizorul de Threat Intelligence să fie extern entității financiare.

Atunci când entitățile financiare utilizează testeri interni în scopul desfășurării TLPT, acestea trebuie să contracteze testeri externi la fiecare trei teste.

Purple teaming, activitate de testare colaborativă care implică atât Red Team (atacatorii sau testerii), cât și Blue Team (defenderii sau echipa de securitate), este puternic încurajată, dar nu este un element obligatoriu în cadrul original al TIBER-EU. Conform DORA, purple teaming devine obligatoriu în faza de închidere. Nu mai târziu de zece săptămâni după încheierea fazei active de testare a Red Team-ului, Blue Team-ul și testeri vor efectua o redare a acțiunilor ofensive și defensive realizate pe parcursul TLPT. Având în vedere că cadrul TIBER-EU va fi actualizat pentru a respecta cerințele DORA, se așteaptă și modificări legate de purple teaming.

Cum poate ajuta CybrOps?

CybrOps aduce atât expertiză practică, cât și experiență extinsă, permițându-ne să desfășurăm aceste tipuri de testare într-un mod eficient. În plus, suntem bine pregătiți să vă ajutăm în definirea politicilor și procedurilor necesare pentru a asigura conformitatea cu standardele relevante.

Putem să vă asistăm pe parcursul întregii călătorii către conformitatea cu testele de reziliență cibernetică DORA, prin executarea Testelor de Penetrare Conduse de Amenințări și Testarea Controlată a Stresului (DDoS Controlat). Putem evalua pregătirea actuală și să propunem măsuri pentru a îndeplini cerințele reglementare, personalizând planul de remediere în funcție de mediul dumneavoastră specific.

Al doilea set de standarde tehnice finale și ghiduri poate fi accesat mai jos.

RTS și ITS privind conținutul, formatul, șabloanele și termenele pentru raportarea incidentelor majore legate de ICT și a amenințărilor cibernetice semnificative.

• RTS privind testele de penetrare conduse de amenințări (TLPT)

• RTS privind armonizarea condițiilor care permit desfășurarea activităților de supraveghere

• RTS care specifică criteriile pentru determinarea componenței echipei comune de examinare (JET)

• Ghiduri privind cooperarea în supraveghere

• Ghiduri privind estimarea costurilor/perderilor agregate cauzate de incidentele majore legate de ICT

• RTS privind subcontractarea