Nie jestem gotowy na rozporządzenie DORA. Co mi grozi?

Nie jestem gotowy na rozporządzenie DORA. Co mi grozi?

Rozporządzenie DORA zobowiązuje banki do wdrożenia mechanizmów silnego uwierzytelniania, czyli MFA. Czasu na to jest coraz mniej. Czy Komisja Nadzoru Finansowego rzeczywiście będzie wymagać takich rozwiązań i czy banki mają jeszcze szansę zdążyć z implementacją MFA? Co, jeśli im się to nie uda? Rozmawiamy o tym z Krzysztofem Goździem, dyrektorem ds. sprzedaży w firmie Secfense.

17 stycznia 2025 roku to właściwie wciąż dość odległa data. Czy zatem naprawdę banki i inne instytucje sektora bankowego muszą już czuć presję w związku z rozporządzeniem DORA?

Krzysztof Góźdź, Secfense: Tę presję powinny zacząć czuć już dawno temu! Biorąc pod uwagę zakres wymagań, jakie niesie ze sobą DORA, można uznać, że nie ma już czasu na spokojne przygotowanie się do wdrożenia tego rozporządzenia. Zauważmy, że DORA wymaga podjęcia działań zakrojonych na szeroką skalę i prowadzących do wzmocnienia ochrony instytucji przed cyberatakami oraz umożliwienia sprawnego powrotu do funkcjonowania w przypadku wystąpienia zagrożenia. Nie chodzi więc tylko o wdrożenie rozwiązań. Zacząć należy od dokładnego zbadania sytuacji organizacji, wytypowania ryzyk, przygotowania odpowiednich procedur i planów.

Mam jednak wrażenie, że banki dobrze rozumieją problem cyberzagrożeń i są na nie gotowe od dawna.

KG: I tak, i nie. Po pierwsze, zawsze można coś jeszcze poprawić. Po drugie, gdyby było rzeczywiście tak dobrze, nie słyszelibyśmy o udanych cyberatakach na polskie banki. Po trzecie, DORA wskazuje na konieczność wdrożenia konkretnych zabezpieczeń, których instytucje finansowe rzadko jeszcze używają. Takim narzędziem jest chociażby uwierzytelnianie wieloskładnikowe, czyli MFA. Rozporządzenie posługuje się jednoznacznym sformułowaniem: podmioty finansowe wdrażają silne mechanizmy uwierzytelniania. Nie ma tu pola na własne interpretacje. MFA trzeba mieć przed 17 stycznia 2025 roku.

MFA, czyli tak naprawdę co?

KG: Uwierzytelnianie wieloskładnikowe (MFA, Multi-Factor Authentication) to mechanizm, który wzmacnia bezpieczeństwo procesu logowania. Dla nikogo nie jest tajemnicą, że bardzo wiele udanych cyberataków zaczyna się dziś od przejęcia danych dostępowych do konta, aplikacji, systemu,bazy danych, itd. Wciąż tak bardzo popularne hasła i loginy naprawdę łatwo jest wykraść, a często nawet odgadnąć.

MFA dodaje do procesu logowania kolejny, niezależny składnik uwierzytelniania. Takim składnikiem może być coś, co dana osoba wie (np. wzory blokady, hasło, kod PIN), coś, co dana osoba ma (np. klucz kryptograficzny, lokalny uwierzytelniacz), lub to, kim dana osoba jest (dane biometryczne). MFA jest jednym z najlepszych sposobów zabezpieczenia się przed phishingiem, socjotechniką i kradzieżą uwierzytelnień. Nawet jeśli cyberprzestępca przejmie login i hasło użytkownika systemu, bez drugiego składnika uwierzytelniania nie będzie ich mógł skutecznie wykorzystać.

Brzmi zachęcająco, ale jednak skomplikowanie. Zmiana sposobu logowania do systemów banku musi wiązać się z poważnymi pracami programistycznymi. Czy w takim razie instytucje finansowe mają szansę zdążyć z wdrożeniem silnego uwierzytelniania przed datą obowiązywania DORA?

KG: Rzeczywiście, gdyby banki chciały skorzystać z tradycyjnych sposobów i aplikacji wymagających zmian w kodzie, mogłyby mieć problem. Wdrożenie tego typu rozwiązań, dostępnych zresztą na polskim rynku, może zająć miesiące.

Są jednak szybsze sposoby. W Secfense opracowaliśmy rozwiązanie User Access Security Broker, które umożliwia wdrożenie MFA na dowolnej aplikacji w 5 minut oraz wprowadzenie MFA w całej organizacji w 7 do 14 dni. Technologia pozwala na łatwą i szybką implementację dowolnego MFA, w tym także najskuteczniejszego dziś FIDO2, na każdej aplikacji bez ingerencji w jej kod.

Co to oznacza dla banku? Że może niemal z dnia na dzień zacząć korzystać z bezhasłowego MFA, eliminując tym samym ryzyka związane z phishingiem, socjotechniką i kradzieżą uwierzytelnień. Dzięki temu zapewni bezpieczeństwo pracownikom stacjonarnym oraz zdalnym, partnerom, dostawcom i oczywiście klientom.

No właśnie. Poświęćmy teraz chwilę uwagi tym klientom, partnerom i pracownikom. Czy oni będą zadowoleni z takich zmian? Jak wdrożyć MFA, by chcieli z niego korzystać?

KG: To prawda, że użytkownicy nie lubią ani zmian, ani zbyt skomplikowanych procesów. Jednak pamiętajmy, że w przypadku wdrożenia rozwiązania Secfense banki mogą dać pracownikom i klientom wybór drugiego składnika uwierzytelniania. My jako producent nie narzucamy, czy ma to być np. PIN, czy może skan twarzy. Użytkownik sam może wybrać to, co jest dla niego najwygodniejsze. Poza tym, tymi składnikami są elementy, którymi posługuje się na co dzień. Odblokowywanie telefonów a nawet komputerów odciskiem palca czy zeskanowaniem twarzy jest dla wielu osób absolutnie naturalne i nie wymaga żadnego dodatkowego wysiłku.

Załóżmy jednak, że jakiś bank nie zdecyduje się na wdrożenie takiego zabezpieczenia. Co mu grozi?

KG: Już na początku 2025 roku spodziewam się pierwszych kontroli Komisji Nadzoru Finansowego w bankach i innych instytucjach z branży finansowej. W Polsce to ten organ będzie weryfikował to, czy te organizacje w odpowiedni sposób wdrożyły nowe przepisy. Warto przy tym pamiętać, że KNF już w październiku 2022 r. wydała opinię na temat MFA. Stwierdziła wtedy – i tu cytuję – że brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów jest nieakceptowalnym ryzykiem.

Dodatkowo stosowanie mechanizmów silnego uwierzytelniania staje się standardem rynkowym rekomendowanym przez administrację publiczną i organy nadzoru różnych sektorów, w tym Urzędu Ochrony Danych Osobowych. Zakładam więc, że KNF będzie podchodzić do kwestii wdrożenia MFA bardzo poważnie.

Co to dokładnie oznacza? Jestem prezesem banku, nie wdrożyłem MFA. Jak mnie to dotknie?

KG: Dobrze, że pojawia się wątek zarządów banków, bo to one będą ponosić ostateczną odpowiedzialność za zarządzanie ryzykiem związanym z ICT; wprowadzenie odpowiednich polityk, ustalenie ról i obowiązków w odniesieniu do wszystkich funkcji, zatwierdzenie planów audytów, przydzielenie właściwych budżetów itd. Członkowie zarządów będą musieli też regularnie aktualizować swoją wiedzę dotyczącą ryzyka związanego z ICT.

Nowych obowiązków powinna spodziewać się również kadra kierownicza ds. ICT. Zgodnie z rozporządzeniem ma ona istotną rolę w kontrolowaniu ryzyka i raportowaniu o nim. Jest między innymi zobowiązana do składania zarządowi sprawozdań co najmniej raz w roku. Musi skupić się zarówno na aspektach technologicznych, jak i ludzkich – ważne jest bowiem budowanie świadomości ryzyka i dbanie o to, by pracownicy przestrzegali zasad cyberbezpieczeństwa.

A jeśli zarząd nie wywiąże się ze swoich obowiązków wynikających z DORA?

KG: KNF będzie nakładać kary i środki naprawcze, w tym kary pieniężne oraz podanie do publicznej wiadomości informacji wskazujących tożsamość osoby fizycznej lub prawnej i charakteru naruszenia. To uderzy bezpośrednio w członków zarządów instytucji.

W skrajnych przypadkach sankcje te mogą nawet doprowadzić do zakończenia funkcjonowania instytucji finansowej.

Co zatem mają zrobić banki, które wciąż nie wdrożyły MFA?

KG: Przede wszystkim powinny zacząć działać! Zapraszamy do kontaktu z ekspertami Secfense i do zapoznana się z działaniem rozwiązania “na żywo” – dzięki temu przekonają się one, jak w łatwy i szybki sposób wdrożyć MFA oraz jak z niego wygodnie korzystać.  Prosimy o odwiedzenie strony WWW: secfense.com/pl/demo, na której można umówić takie zdalne spotkanie.  I będzie to pierwszy krok na drodze do spełnienia wymagań DORA w zakresie MFA jeszcze przed 17 stycznia 2025 r.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.