Opinie Deloitte: Care sunt principalele prevederi ale ghidului Bancii Centrale Europene

Andrei Ionescu, Partener, Consulting Market Leader si Central Europe Cyber Leader, şi Dragoş Ionică, Senior Manager Securitate cibernetica, Deloitte Romania prezintă care sunt principalele prevederi ale ghidului Băncii Centrale Europene, de ce sunt necesare testările de tip Threat-Led Penetration Testing si de ce aspecte trebuie să ţină cont instituţiile financiare când implementează cerinţele privind aceste testări, conform unui comunicat de presă emis redacţiei, din care urmează să relatăm.

Regulamentul UE privind rezilienţa operaţională digitală - DORA (Digital Operational Resilience Act), care a intrat în vigoare anul acesta, aduce un set de obligaţii clare pentru instituţiile financiare. Una dintre cele mai importante cerinţe este efectuarea de către entităţile considerate semnificative a unor teste de penetrare bazate pe ameninţări (Threat-Led Penetration Testing - TLPT) asupra tuturor sistemelor şi aplicaţiilor critice de tehnologie a informaţiei şi de comunicaţii şi asupra funcţiilor importante, în mediul de producţie. Aceste teste trebuie refăcute la fiecare trei ani.

Pentru a sprijini implementarea coerentă a acestor testări, Banca Centrală Europeană (BCE) a publicat recent ghidul ”How to implement the TIBER-EU Framework for the DORA TLPT of significant institutions”, care explică pas cu pas modul în care cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming) este utilizat pentru a îndeplini cerinţele prevăzute de DORA. Documentul oferă claritate asupra responsabilităţilor instituţiilor, etapelor testării şi modului în care autorităţile de supraveghere coordonează întregul proces, potrivit celor doi experţi.

Ghidul porneşte de la premisa că TIBER-EU reprezintă metodologia de referinţă pentru testările de tip Threat-Led Penetration Testing, întrucât oferă o abordare realistă, bazată pe informaţii privind ameninţările şi scenarii sofisticate de tip „red team”. BCE defineşte clar criteriile de selecţie a instituţiilor semnificative care intră sub incidenţa testărilor obligatorii şi rolurile tuturor actorilor implicaţi, de la TLPT Authority (BCE), la Test Manager, Control Team, Threat Intelligence Provider (TIP) şi Red Team Testers (RTT). De asemenea, stabileşte o structură în trei faze a testării: pregătire, testare şi închidere, fiecare conţinând activităţi critice precum definirea funcţiilor esenţiale, evaluarea riscurilor, crearea scenariilor, atacuri simulate asupra sistemelor live şi etapa de ”replay/purple teaming”. În plus, noul ghid impune cerinţe stricte de confidenţialitate, separare a echipelor, gestionare a riscurilor şi menţinere a realismului operaţional pe durata întregului exerciţiu. Prin acest ghid, BCE face un pas esenţial spre uniformizarea modului în care se realizează TLPT în toată zona euro, asigurându-se că testările sunt consecvente, sigure şi orientate către rezultate reale în materie de rezilienţă operaţională.

TLPT este mai mult decât un simplu exerciţiu tehnic. Reprezintă o simulare realistă a unui atac avansat asupra serviciilor critice ale instituţiei, cu scopul de a evalua capacitatea sistemelor de a detecta, întârzia şi bloca atacuri sofisticate, maturitatea proceselor şi colaborarea dintre echipele de securitate şi cele operaţionale, precum şi nivelul real de rezilienţă a funcţiilor critice, cum ar fi plăţile, serviciile de carduri, mobile banking-ul, infrastructura SWIFT, sistemele de bază bancare etc, au afirmat cei doi.

Rezultatul final nu este doar un raport, ci un plan de îmbunătăţire cu impact direct în securitatea şi continuitatea afacerii.

Implementarea unei testări TLPT conform TIBER-EU necesită expertiză multidisciplinară, experienţă practică în red teaming şi o înţelegere profundă a cerinţelor DORA. Instituţiile financiare au nevoie de echipe specializate, ideal cu experienţă în proiecte complexe pentru bănci centrale, instituţii sistemice şi operatori de infrastructură critică, precum şi cu expertiză în reglementările europene de profil, cum ar fi DORA, NIS2, TIBER-EU. Un alt aspect important este capacitatea operaţională end-to-end - de la definirea funcţiilor critice, la execuţia scenariilor de atac, coordonarea echipelor, până la analiza rezultatelor şi elaborarea planurilor de remediere, au încheiat Andrei Ionescu şi Dragoş Ionică.