Assumption of Breach – fundament odporności cyfrowej w erze DORA i NIS2

W świecie cyberbezpieczeństwa powoli żegnamy się z naiwnym przekonaniem, że da się zbudować system nie do złamania. Coraz częściej zamiast tego stosuje się podejście assumption of breach – czyli założenie, że atak na organizację już się udał. Brzmi pesymistycznie? Wręcz przeciwnie. To chłodna kalkulacja, która pozwala firmom przygotować się na najgorsze i przetrwać.

Nowe realia – od ochrony do odporności

Jeszcze niedawno strategia bezpieczeństwa w wielu firmach sprowadzała się do inwestycji w firewalle, systemy antywirusowe czy kontrolę dostępu. Celem było „nie dopuścić do włamania”. Dziś – zwłaszcza w sektorze finansowym – to za mało. Regulacje takie jak DORA (Digital Operational Resilience Act) czy NIS2 jasno mówią: organizacje muszą myśleć o odporności. Nie tylko o zapobieganiu, ale też o tym, jak szybko wstaną z kolan, gdy atak się powiedzie.

Michal Rampášek, PETERKA & PARTNERS
FOT. materiał prasowy

DORA nie używa wprost terminu assumption of breach, ale wymusza takie myślenie. Instytucje finansowe muszą wdrożyć ramy zarządzania ryzykiem ICT, mieć gotowe plany reagowania na incydenty i procedury odtwarzania sprawności działania. Innymi słowy – regulator zakłada, że incydenty będą się zdarzać, a sukces mierzy się nie brakiem włamań, ale zdolnością do powrotu do normalności.

Zarząd na pierwszej linii

To nie jest już tylko domena działów IT czy zespołów bezpieczeństwa. Cyberodporność stała się tematem dla zarządów i rad nadzorczych. CEO, CFO i członkowie boardu muszą wiedzieć, jakie mogą być skutki ataku: od przestojów w operacjach, przez kary regulatorów, po utratę reputacji.

W tym układzie rola CISO rośnie – to już nie tylko specjalista od technologii, ale strategiczny doradca, który tłumaczy język zagrożeń na język ryzyka biznesowego. A polityki bezpieczeństwa przestają być dokumentem pisanym „do szuflady” – stają się praktycznym narzędziem zarządzania kryzysem.

Polityka incydentowa – więcej niż regulacyjny obowiązek

Zgodnie z DORA każda instytucja finansowa musi opracować i wdrożyć politykę zarządzania incydentami ICT. Brzmi formalnie, ale jej rola jest znacznie szersza:

▪️ określa, jak wykrywać i obsługiwać incydenty,

▪️ tworzy sieć kontaktów – zarówno wewnątrz organizacji, jak i na zewnątrz,

▪️ definiuje mechanizmy szybkiego reagowania na anomalie,

▪️ reguluje sposób przechowywania dowodów i ich analizę,

▪️ wymusza wyciąganie wniosków z powtarzających się problemów.

W podejściu assumption of breach taka polityka nie jest tylko „checkboxem” dla regulatora. To realny plan działania, oparty na założeniu, że ktoś już znalazł lukę w systemie. Kluczowe pytanie brzmi nie „czy dojdzie do incydentu?”, ale „jak ograniczyć jego skutki i jak szybko wrócić do gry?”.

Testowanie odporności – realizm zamiast pozorów

Największa zmiana dotyczy podejścia do testów. Zamiast symbolicznych pentestów czy raportów ze skanera, które dają fałszywe poczucie bezpieczeństwa, DORA wymaga całego programu testowania odporności. To katalog działań obejmujący m.in.:

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected]. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected]. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

▪️ skany podatności i analizy open source,

▪️ testy sieciowe i przeglądy kodu,

▪️ ćwiczenia scenariuszowe i testy end-to-end,

▪️ testy penetracyjne, w tym zaawansowane TLPT (Threat-Led Penetration Testing).

Co ważne – te testy mają być oparte na realistycznych scenariuszach. Zakłada się, że atakujący dostanie się do sieci i sprawdzamy, jak działają detekcja, eskalacja, komunikacja i decyzje na poziomie zarządu. Dopiero wtedy można rzetelnie ocenić gotowość organizacji.

Firmy, które tego nie robią, często przekonują się o swoich słabościach dopiero w prawdziwym kryzysie – a wtedy koszty są największe.

Weź udział w warsztatach „NIS2 & DORA w praktyce prawnej”, 9 października w Warszawie >>

Mindset, który ratuje biznes

Assumption of breach to nie kolejny modny buzzword. To sposób myślenia, który realnie wpływa na to, czy firma poradzi sobie w cyberkryzysie. DORA i NIS2 wymuszają, by ten mindset był obecny w dokumentacji, planach i testach. Ale prawdziwą wartością jest coś więcej – budowa odporności biznesowej, która pozwala organizacji przetrwać i działać dalej mimo cyberataku.

Innymi słowy: regulacje stawiają poprzeczkę, ale to, czy firma potraktuje je jako biurokratyczny obowiązek czy szansę na realne wzmocnienie organizacji, zależy od niej samej.

Praktyka zamiast teorii

Wdrażanie DORA i NIS2 to spore wyzwanie. Dlatego coraz popularniejsze stają się warsztaty i ćwiczenia, które pozwalają przećwiczyć scenariusze „na sucho”. Przykład? Warsztat „Implementacja DORA i NIS2 w praktyce – ryzyka ICT, incydenty i testowanie odporności” podczas konferencji NIS2 & DORA w praktyce prawnej - Zarządzanie ryzykiem regulacyjnym: umowy, procedury, odpowiedzialność zarządu. Uczestnicy dowiedzą się, jak przełożyć przepisy na procedury w firmie, jak budować plany reagowania i jak przygotować się do zaawansowanych testów typu red teaming.

Bo w świecie cyberbezpieczeństwa teoria jest ważna, ale to praktyka decyduje o tym, kto wyjdzie z ataku obronną ręką.

Autor:

Michal Rampášek, Leader of Criminal Law, Cybersecurity, Data and Privacy Protection and Polish Desk, PETERKA & PARTNERS

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

20

lat doświadczenia w organizacji wydarzeń dla biznesu

Doświadczenie

Konferencje, warsztaty i szkolenia dla biznesu organizujemy od 2004 roku. Najbardziej aktualne tematy dla przedstawicieli wielu branż oraz uznana marka na rynku sprawiają, że jesteśmy czołowym organizatorem wydarzeń skierowanych do specjalistów, menedżerów i przedstawicieli wyższej kadry zarządzającej, którzy stawiają na rozwój i nieustanne podnoszenie kwalifikacji.

1546

firm zaufało nam w 2023 roku

Profesjonalizm i nowoczesne kategorie szkoleń

Nasze konferencje, warsztaty oraz szkolenia biznesowe prowadzą najlepsi mówcy - trenerzy i praktycy będący uznanymi ekspertami w swoich dziedzinach i mający na swoim koncie znaczące osiągnięcia. Pomożemy Ci w wielu dziedzinach - zarządzaniu zespołem, budowaniu marki osobistej, udoskonalaniu obsługi klienta, poznaniu nowych trendów rynkowych, nadchodzących zmian legislacyjnych itp. Nie ma lepszej inwestycji niż inwestycja w siebie.

3396

uczestników wydarzeń w 2023 roku

Tysiące zadowolonych klientów

Efektywne prowadzenie firmy nie jest możliwe bez ciągłego rozwoju, zdobywania wiedzy i umiejętności korzystania z odpowiednich narzędzi. Wiedzą o tym tysiące przedsiębiorców, menedżerów i specjalistów, którzy co roku uczestniczą w naszych wydarzeniach, szukając nie tylko wiedzy i inspiracji, ale również doskonałej okazji do nawiązania cennych kontaktów. Udział w wydarzeniach PB to doskonałe forum wymiany doświadczeń i networkingu.