Skrócenie czasu raportowania wstępnego, poprawna reakcja na występujące w rzeczywistości zagrożenia i efektywna współpraca wewnątrz branży – to tylko niektóre wnioski, które płyną z przeprowadzonych ćwiczeń Cyber-EXE Polska 2024 organizowanych przez Fundację Bezpieczna Cyberprzestrzeń przy wsparciu m.in. EY Polska. Polskie banki badały m.in. swoją gotowość na nowe rozporządzenie Parlamentu Europejskiego i Rady UE w zakresie odporności cyfrowej.
Cyberzagrożenia stanowią jedno z największych ryzyk dla sektora bankowego. Dlatego od lat branża finansowa stara się przygotować na różne ewentualności i budować procedury pozwalające zapobiegać i ograniczać skutki ewentualnych wirtualnych naruszeń. W naszym kraju realizuje się to m.in. poprzez ćwiczenia Cyber-EXE Polska, które od 2012 roku pomagają firmom oraz instytucjom z kluczowych sektorów gospodarki zwiększać poziom swojej cyfrowej odporności.
W dniu 17 stycznia 2025 roku rozpoczęło się stosowanie przepisów Rozporządzenia UE DORA, czyli przepisów w sprawie operacyjnej odporności cyfrowej sektora finansowego. Dodatkowe regulacje wprowadza również dyrektywa NIS2, która nie została jeszcze zaimplementowana do krajowych przepisów. Jej implementacja planowana jest poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Oba akty prawne stanowią duże wyzwanie dla sektora finansowego, ponieważ wymuszają dostosowanie swoich procedur i procesów w obszarze cyberbezpieczeństwa. Ćwiczenia Cyber-EXE Polska 2024 miały umożliwić podmiotom bankowym przetestowanie gotowości do spełnienia wymagań nowych regulacji. W ćwiczeniach wzięło udział w sumie 18 instytucji, w tym przedstawiciele największych polskich banków.
Cyber-EXE Polska 2024 – jak przygotowuje się branża?
W ramach CEP24 rozegrano dwa scenariusze symulujące ataki na sektor finansowy, wzorowane na rzeczywistych działaniach grup hakerskich APT (Advanced Persistent Threat). Wśród nich znalazł się m.in. scenariusz działań organizacji przestępczych znanych z atakowania platform kryptowalut. Celem było stworzenie sytuacji, w której użytkownicy muszą zarządzać narastającym incydentem w warunkach przełamania mechanizmów obronnych oraz reagować na zagrożenia zakwalifikowane jako poważne zgodnie z definicją rozporządzenia DORA. To z kolei oznaczało jednoczesną konieczność koordynacji działań naprawczych, współpracy z organami administracji publicznej i minimalizacji skutków incydentu.
– Ćwiczenia składały się z dwóch faz. W pierwszej poprzez dedykowaną platformę uczestnicy musieli zaprojektować i wdrożyć wirtualne systemy zabezpieczeń z kategorii takich jak infrastruktura fizyczna, zabezpieczenia urządzeń końcowych czy bezpieczeństwo sieci wewnętrznej. W drugiej zaczęły być odwzorowywane działania atakujących, a zadaniem zespołów było monitorowanie tych systemów pod kątem podejrzanych aktywności, co pozwoliłoby zidentyfikować ich rodzaj i skalę. W fazie reagowania ćwiczono też współpracę z zespołami technicznymi, komunikację z CSIRT-ami krajowymi i sektorowym, innymi zewnętrznymi organami oraz analizę wpływu włamania na organizację – mówi Mirosław Maj, Prezes Fundacji Bezpieczna Cyberprzestrzeń – organizatora ćwiczeń.
Cyber-EXE Polska 2024 – najważniejsze wnioski płynące z ćwiczeń
Najważniejszym elementem ćwiczeń było zebranie wniosków i wystosowanie rekomendacji, które oceniają stan przygotowania sektora finansowego nie tylko do nowych regulacji, ale też – do sytuacji, w której muszą poradzić sobie z incydentem bezpieczeństwa. Do najważniejszych wniosków płynących z ćwiczeń Cyber-EXE Polska 2024 należy zaliczyć:
- Kluczowe znaczenie współpracy: podczas warsztatów testowano dwa tryby reagowania. W jednym z nich banki musiały działać samodzielnie, a w drugim – mogły współpracować i wymieniać się informacjami. Jak pokazały ćwiczenia, możliwość wymiany informacji pozwoliło sprawniej weryfikować zgromadzone dane, co zmniejszyło liczbę fałszywie pozytywnych zgłoszeń. W przypadku współpracy czas zgłoszenia wstępnego spadł z 38 do 30 minut, śródokresowego – ze 107 do 70 minut, a odsetek formularzy z pełnymi informacjami o IOC (Indicator of Compromise) wzrósł z 51 do 71 procent.
- Banki są przygotowane na nadchodzące zmiany: ćwiczenia wskazały, że instytucje dysponują odpowiednimi narzędziami umożliwiającymi klasyfikację incydentu jako poważny wg RTS (Regulacyjnych Standardów Technicznych), a także, że dysponowały wystarczającymi kompetencjami do analizy artefaktów związanych z ćwiczonym incydentem oraz do zebrania wszystkich niezbędnych informacji technicznych do zgłoszenia incydentu poważnego.
- Rekomendacja dotycząca złożoności ćwiczeń: scenariusze przedstawiały rzeczywiste metody ataków, z którymi banki poradziły sobie bardzo dobrze. Dlatego powstała rekomendacja, aby w kolejnych latach zastosować scenariusze o jeszcze większej złożoności, żeby przygotować branże na jeszcze szersze spektrum potencjalnych zagrożeń.
– Najważniejszym wnioskiem płynącym z ćwiczeń, oprócz faktu dobrego przygotowania banków i ich gotowości na rzeczywiste zagrożenia, jest pokazanie kluczowej roli kooperacji w przypadku tak trudnych sytuacji. Pamiętajmy, że podczas poważnego ataku na szali są przede wszystkim środki zgromadzone na kontach klientów i ich zaufanie do sektora bankowego. Dlatego świadomość, że branża potrafi współpracować i że przynosi to realne efekty, jest bardzo budująca – mówi Jakub Teska, Partner EY i lider Zespołu Bezpieczeństwa Chmury.
O ćwiczeniach Cyber-EXE Polska
Cyber-EXE Polska 2024 to 8. edycja ćwiczeń organizowanych przez Fundację Bezpieczna Cyberprzestrzeń i 4. skupiająca się na sektorze bankowym. Ćwiczenia realizowane były w warstwie technicznej, informacyjnej oraz procesowej. Punktacja i ocena wyników w ćwiczeniach CEP24 zostały opracowane zgodnie z wytycznymi zapisami DORA, RTS oraz wytycznymi KNF.
Źródło: EY.
Wojciech Boczoń