DORA (rozporządzenie dotyczące operacyjnej odporności cyfrowej sektora finansowego) i NIS 2 (dyrektywa dotycząca środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa) dość ogólnikowo mówią o tym, w jaki sposób zabezpieczać zasoby firmowe. Wymagają jednak zastosowania odpowiednich strategii, polityk, procedur, protokołów i narzędzi ICT, które pozwolą zabezpieczyć systemy, aplikacje i bazy danych, w szczególności zaś uniemożliwią dostęp do nich niepowołanym osobom.
Jakich narzędzi zabezpieczających użyć? Z ekspertami Fundacji Law4Tech przeanalizowaliśmy teksty obu dokumentów. Okazuje się, że tak DORA, jak i NIS 2 wskazują mechanizmy dwuskładnikowego uwierzytelniania jako podstawowe narzędzia zabezpieczające w organizacjach.
DORA: „Podmioty finansowe wdrażają mechanizmy silnego uwierzytelniania”
Przekaz rozporządzenia DORA jest jasny. Pada w nim jednoznaczne sformułowanie: podmioty finansowe wdrażają silne mechanizmy uwierzytelniania.
Organizacje nie powinny mieć żadnych wątpliwości dotyczących interpretacji tego zapisu – regulacja ta w sposób bezpośredni nakłada na podmioty finansowe obowiązek wdrożenia silnych mechanizmów uwierzytelniania, nie pozostawia-ąc im pola do własnego uznania.
Dodajmy do tego jeszcze kilka słów wyjaśniania. DORA, a dokładniej art.4, przewiduje możliwość zróżnicowania ochrony ICT zgodnie z zasadą proporcjonalności. Innymi słowy, podmioty finansowe powinny dostosować ochronę swoich zasobów do swojej wielkości, ogólnego profilu ryzyka oraz charakteru, skali i stopnia złożoności realizowanych usług. Większe podmioty, działające na większą skalę, powinny mieć zabezpieczenia na wyższym poziomie niż organizacje mniejsze.
Jak jednak rozróżnić te organizacje, które uznać za mniejsze, a które za większe? DORA nie daje jednoznacznych odpowiedzi. Każde przedsiębiorstwo musi samodzielnie oszacować swoją wielkość oraz skalę działania, po czym wdrożyć odpowiednie środki ochrony. Czy uczyni to poprawnie?
O tym będzie decydować Komisja Nadzoru Finansowego (KNF) przy okazji przeprowadzania kontroli.
Można zatem przypuszczać, że w miarę stosowania przepisów DORA będą się pojawiały kolejne interpretacje przepisów wydawane przez KNF. Nie należy się jednak spodziewać rezygnacji z wymogu stosowania mechanizmów silnego uwierzytelniania. Wpisuje się on bowiem w aktualne rekomendacje krajowych instytucji nadzorczych.
Już w październiku 2022 r. Komisja Nadzoru Finansowego podkreśliła w jednym ze swoich pism, że "brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów jest nieakceptowalnym ryzykiem". W opinii prawników, z którymi się konsultowaliśmy, nie należy więc mieć wątpliwości co do stanowiska krajowego organu nadzorczego w tej sprawie.
NIS 2: Podstawą jest wdrożenie odpowiednich środków bezpieczeństwa
Dyrektywa NIS 2 nakłada na podmioty kluczowe i ważne obowiązek wprowadzenia podstawowych praktyk cyberhigieny. Należą do nich między innymi zasada zerowego zaufania, regularna aktualizacja oprogramowania, odpowiednia konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników, organizacja szkolenia dla pracowników oraz szerzenie wiedzy na temat cyberzagrożeń, phishingu i technik inżynierii społecznej.
Według NIS 2 organizacje samodzielnie powinny ocenić własne zdolności w zakresie cyberbezpieczeństwa i w stosownych przypadkach wdrożyć odpowiednie technologie zabezpieczające, takie jak systemy oparte na sztucznej inteligencji (AI) lub uczeniu maszynowym (ML), aby poprawić swoje zdolności do ochrony przed cyberprzestępcami.
Co tu ukrywać – to daleko idące wymagania i rekomendacje. Jeśli zatem rozwiązania oparte na AI czy ML mają stać się standardem w przedsiębiorstwach, tym bardziej mechanizmy silnego uwierzytelniania powinny zostać uznane za podstawowy mechanizm ochronny i stanowić fundament ekosystemu cyberbezpieczeństwa w organizacji.
Tym bardziej, że technologia ta jest rekomendowana coraz częściej przez administrację publiczną i organy nadzoru różnych sektorów, w tym Urząd Ochrony Danych Osobowych. UODO podniósł ten temat m.in. przy sprawie Morele.
W swojej decyzji z 10 września 2019 roku podkreślał: „kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa”.
Czym jest silne uwierzytelnianie i jak je szybko wdrożyć?
Przepisy nie pozostawiają zatem wątpliwości – firmy z sektora finansowego i organizacje działające w obszarach uznanych za kluczowe i ważne dla gospodarki i społeczności będą musiały zastosować mechanizmy silnego uwierzytelniania.
Silnego, czyli wymagającego co najmniej dwóch elementów potwierdzających tożsamość użytkownika. Dlaczego to takie ważne?
Uwierzytelnianie wieloskładnikowe (MFA, multifactor authentication) jest jednym z najlepszych sposobów zabezpieczenia się przed phishingiem, socjotechniką i kradzieżą uwierzytelnień. Zwiększa bezpieczeństwo procesu logowania, wymagając użycia co najmniej dwóch niezależnych składników uwierzytelniania. To może być coś, co dana osoba wie (składnik wiedzy), coś, co dana osoba ma (składnik posiadania), lub to, kim dana osoba jest (składnik cechy).
Składniki wiedzy to między innymi wzory blokady, hasła, kody PIN i osobiste pytania, na przykład pytanie o nazwisko panieńskie matki.
Składniki posiadania to obiekty fizyczne w tym klucze kryptograficzne lub lokalne uwierzytelniacze (na przykład smartfony).
Składniki cech opierają się na danych biometrycznych i obejmują rozpoznawanie twarzy, linii papilarnych czy głosu.
Jeśli organizacji zależy na poprawie bezpieczeństwa aplikacji, może dodać więcej składników lub użyć bardziej zaawansowanych metod uwierzyteniania.
Na rynku jest wiele rozwiązań z obszaru MFA, firmy mają więc w czym wybierać. Jedną z możliwości jest wybór rozwiązania User Access Security Broker, które umożliwia wdrożenie MFA na dowolnej aplikacji w 5 minut oraz wprowadzenie MFA w całej organizacji w 7 do 14 dni. Technologia umożliwia implementację dowolnego MFA, w tym także najskuteczniejszego dziś FIDO2, na każdej aplikacji bez ingerencji w jej kod.
DORA zaczyna obowiązywać 17 stycznia 2025 roku. Termin wdrożenia NIS 2 mija 17 października 2024 roku. Czasu na dostosowanie się do nowych przepisów jest coraz mniej. Firmy, które już teraz przeanalizują swoją sytuację, systemy zabezpieczeń, procedury i strategie i wprowadzą wymagane technologie oraz polityki, będą mogły nie tylko ze spokojem patrzeć w przyszłość, ale też skutecznie walczyć z nasilającymi się atakami cyberprzestępców.
Więcej informacji na temat obowiązków, jakie nakładają na firmy nowe regulacje, można znaleźć w bezpłatnym e-booku “Analiza regulacji DORA i NIS2 w kontekście cyberbezpieczeństwa przedsiębiorstw w UE” przygotowanym na podstawie niezależnego raportu Fundacji Law4Tech.
