Andrei Ionescu și Dragoș Ionica, Deloitte Foto: Deloitte România
Regulamentul UE privind reziliența operațională digitală – DORA (Digital Operational Resilience Act) – intrat în vigoare în acest an, impune măsuri stricte pentru instituțiile financiare. Una dintre principalele cerințe vizează efectuarea de către entitățile considerate semnificative a unor teste de penetrare bazate pe amenințări (Threat-Led Penetration Testing – TLPT) asupra tuturor sistemelor și aplicațiilor esențiale de tehnologia informației și comunicații, precum și asupra funcțiilor critice în mediul de producție. Aceste teste trebuie refăcute la fiecare trei ani.
Pentru a sprijini implementarea corectă a acestor teste, Banca Centrală Europeană (BCE) a publicat recent ghidul „Cum să implementezi cadrul TIBER-EU pentru TLPT-urile instituțiilor importante conform DORA”, care detaliază pașii pentru utilizarea cadrului TIBER-EU (Threat Intelligence-based Ethical Red Teaming) în îndeplinirea cerințelor DORA. Documentul clarifică responsabilitățile instituțiilor, etapele testării și modul în care autoritățile de supraveghere coordonează procesul.
Ce prevede ghidul Băncii Centrale Europene
Ghidul consideră că metoda de referință pentru testările TLPT este cadrul TIBER-EU, datorită abordării realiste bazate pe informații despre amenințări și scenarii complexe de tip „red team”. BCE stabilește criteriile pentru selecția instituțiilor semnificative și rolurile actorilor implicați, precum TLPT Authority (BCE), Test Manager, Control Team, Threat Intelligence Provider (TIP) și Red Team Testers (RTT). Ghidul definește o structură în trei etape: pregătire, executare și închidere, incluzând activități precum identificarea funcțiilor esențiale, evaluarea riscurilor, elaborarea scenariilor, atacuri simulate asupra sistemelor active și etapa de „replay/purple teaming”. În plus, impune standarde stricte de confidențialitate, delinează separarea echipelor, gestionarea riscurilor și menținerea realismului operațional pe parcursul exercițiului.
Prin acest ghid, BCE promovează unificarea abordărilor pentru testarea TLPT în zona euro, pentru a asigura coerență, siguranță și rezultate eficiente în creșterea rezilienței operaționale.
Rolul testărilor Threat-Led Penetration Testing în sectorul financiar
TLPT depășește simpla simulare tehnică: reprezintă o testare realistă a unui atac avansat asupra serviciilor critice ale unei instituții, cu scopul de a evalua capacitatea sistemelor de a identifica, întârzia și contracara atacuri sofisticate, maturitatea proceselor și colaborarea între echipele de securitate și cele operaționale, precum și nivelul de reziliență al funcțiilor critice, precum plăți, servicii cu carduri, mobile banking, infrastructura SWIFT, sistemele bancare de bază etc.
Rezultatul final nu se limitează la un raport, ci cuprinde un plan de îmbunătățire ce influențează direct securitatea și continuitatea activității.
Cele mai importante aspecte pentru implementarea cerințelor privind testarea TLPT în instituțiile financiare
Realizarea unei teste TLPT conform TIBER-EU cere abilități multidisciplinare, experiență în red teaming și o înțelegere profundă a reglementărilor DORA. Este necesară formarea unor echipe specializate, cu experiență în proiecte complexe pentru băncile centrale, instituțiile sistemice și operatorii de infrastructură critică, precum și cunoștințe despre cerințele europene de reglementare, precum DORA, NIS2 și TIBER-EU. De asemenea, este fundamentală capacitatea operațională end-to-end – de la definirea funcțiilor critice, la executarea scenariilor de atac, coordonarea echipelor, până la analiza rezultatelor și elaborarea planurilor de remediere.
Material de opinie de Andrei Ionescu, Partener, Consulting Market Leader și Central Europe Cyber Leader, și Dragoș Ionică, Senior Manager Securitate cibernetică, Deloitte România
Articol susținut de Deloitte România