- Kateřina Kubíková
Nařízení o digitální a provozní odolnosti (DORA) ovlivní provádění penetračních testů ve finančních institucích. Proč je to ale důležité pro jejich kybernetickou bezpečnost?
Co je penetrační testování na základě hrozeb?
Cílem penetračního testování je předejít skutečným útokům tím, že se odhalí a vyřeší bezpečnostní nedostatky za běžného provozu, a tím se sníží riziko pro finanční subjekt. Nicméně sami testeři by mohli zranitelnosti finančního subjektu zneužít, a dostat se tak poměrně snadno k financím. Proto přichází DORA s přísnými podmínkami, které testeři musí od ledna 2025 splňovat.
Penetrační testování na základě hrozeb je kontrolní proces, při kterém bezpečnostní experti simulují chování skutečných kybernetických hrozeb (tzv. červený tým), aby identifikovali a odstranili potenciální slabiny v informačním systému. Penetrační testování tak pomáhá posílit kybernetickou bezpečnost společností a zlepšuje připravenost na možné reálné útoky.
Jak to tedy funguje?
Červený tým je zpravidla skupina odborníků na kybernetickou bezpečnost, kteří simuluji útočníky, aby identifikovali slabiny v bezpečnostních opatřeních organizace. Simulace útoků je pak kontrolní test, kde červený tým napodobuje chování skutečných útočníků, aby organizace mohla identifikovat a opravit bezpečnostní chyby. Tímto způsobem může organizace lépe pochopit, jaké slabiny by mohly být využity skutečnými útočníky, a přijmout opatření k jejich odstranění.
Například, pokud je jedním z klíčových aktiv organizace databáze zákazníků, červený tým by mohl simulovat útok, který se pokusí získat neoprávněný přístup k této databázi.
Kdo bude muset provádět penetrační testování na základě hrozeb?
Provádění penetračních testů na základě hrozeb podle nařízení DORA bude požadováno pouze u finančních subjektů označených pro účely pokročilého testování digitální odolnosti, a tedy by se mělo jednat o menší procento finančních institucí. Nicméně tyto subjekty budou muset provádět penetrační testování alespoň jednou za tři roky.
Finanční instituce musí navíc zajistit, aby smlouvy s dodavateli penetračního testování obsahovaly ustanovení o odpovídajícím zacházení s výsledky penetračních testů. Tím se má zajistit, že jakékoli manipulace s údaji (včetně jejich zpracování, uchování, seskupení, vyhodnocení, sdílení nebo zničení) neohrozí finanční subjekt.
Nároky na penetrační testery
Nařízení DORA chce chránit finanční instituce před zneužitím jejich zranitelností penetračními testery. Z toho důvodu výslovně požaduje, aby testování prováděly pouze subjekty, které budou splňovat přísné podmínky:
- Dobrá reputace na trhu – jsou nejvhodnější a mají nejlepší pověst.
- Schopnosti a znalosti – jejich týmy musí disponovat dostatečnými schopnostmi a znalostmi, zahrnující i testování metodou „červeného týmu“ a ty musí prokázat.
- Certifikace a kodexy – jsou certifikovány akreditačním orgánem v členském státě nebo dodržují formální kodexy chování či etické rámce.
- Nezávislý audit – předložení potvrzení z nezávislého auditu, hodnotícího řízení rizik při provádění penetračních testů a zabezpečení důvěrných informací.
- Profesionální pojištění odpovědnosti – testeři musí disponovat dostatečným pojištěním k pokrytí případných škod způsobených během testování.
Pokud finanční instituce bude pro penetrační testování využívat své vlastní týmy (tzv. interní subjekty), ty budou muset navíc splňovat další kritéria:
Schválení od příslušného orgánu – toto využití musí být schváleno odpovídajícím orgánem nebo veřejným orgánem, který byl určen v souladu s nařízením DORA.
Zajištění dostatečných zdrojů a předejití střetů zájmů – příslušný orgán musí ověřit, že finanční subjekt vyčlenil dostatečné zdroje a zajistil, aby během návrhu a provádění testu nedocházelo ke střetům zájmů.
Externí poskytovatel operativních informací – poskytovatel informací o hrozbách musí být externí subjekt, který není součástí finančního subjektu.
Závěrem
Penetrační testeři mají přístup k technologiím finančních institucí, aby nedošlo k narušení kybernetické bezpečnosti samotnými testery, DORA pro ně stanoví kritéria, která musí splnit.
Certifikace penetračních testerů podle nařízení DORA je tak klíčovým prvkem v ochraně finančních institucí před moderními kybernetickými hrozbami. Vyžaduje kvalifikované subjekty s dobrou reputací, schopnostmi „červeného týmu“ a certifikací od akreditačních orgánů.
Nezávislé audity a profesní pojištění odpovědnosti poskytují další úroveň jistoty v procesech odhalování bezpečnostních nedostatků. Tyto podmínky jsou nezbytné pro posílení digitální odolnosti finančního sektoru v dnešním kybernetickém prostoru.
