Rastie počet kyberbezpečnostných incidentov v bankovom sektore aj nápor útokov na energetickú infraštruktúru. To počúvame stále. Ale čo robia banky a energetici pre našu ochranu?

A dosť!

Európska centrálna banka ohlásila koncom júla ukončenie polročného záťažového testu kybernetickej odolnosti v bankách, kde uskutočňuje dohľad. Za rozhodnutím sú prudké nárasty kybernetických incidentov, ktoré prináša rastúce geopolitické napätie aj masívna digitalizácia bankového sektora.

Vypočujte si Report bezpečnosti, 888 slov, číta pre vás AI.

Záťažový test 2024

Test trval od januára do júla, zúčastnilo sa na ňom 109 bánk, z toho 28 prešlo rozsiahlejšou skúškou a na výsledky si ešte posvietia orgány dohľadu. Banky boli vybrané tak, aby boli zastúpené rôzne obchodné modely a geografické oblasti v EÚ.

V teste sa posudzovala reakcia bánk na závažný, ale realistický incident kybernetickej bezpečnosti a schopnosť prekonať ho. Scenár simuloval situáciu, keď zlyhajú všetky preventívne opatrenia a kybernetický útok vážne naruší databázy základných systémov bánk.

Všetky banky museli vyplniť dotazník a predložiť dokumentáciu na analýzu. Spomínaných 28 bánk muselo navyše urobiť skutočný test obnovy prevádzky IT systémov a zdokladovať úspešnosť a na mieste boli prítomní aj pracovníci dohľadu.

Incident?

Testovala sa reakcia a banky museli dokázať, že vedia

• aktivovať plány reakcie na krízu vrátane interných postupov krízového riadenia a plánov na zabezpečenie nepretržitej prevádzky,

• komunikovať so všetkými externými stranami, čiže klientmi, poskytovateľmi služieb a zástupcami policajných orgánov,

• vykonať analýzu postihnutých služieb a rozsahu postihnutia,

• zaviesť protiopatrenia vrátane opatrení, ktoré by banke pomohli pokračovať v činnosti v čase potrebnom na úplnú obnovu IT systémov.

Pri testovaní schopnosti prekonať incident museli banky

• aktivovať plány obnovy vrátane obnovenia zálohovaných údajov a zosúladenia reakcie na incident s externými poskytovateľmi kritických služieb,

• zabezpečiť obnovu a fungovanie postihnutých oblastí,

• na základe získaných skúseností prijať opatrenia, napríklad prehodnotiť plány reakcie a obnovy.

Výsledky sa nehovoria, ale trend vieme

Pracovníci dohľadu už banky o výsledkoch testu informovali a nespustia ich z očí, čo sa týka následných opatrení.

Pochopiteľne, že hodnotenia sú najstráženejším tajomstvom v brandži. Oficiálne stanovisko diplomaticky uvádza, že „záťažový test celkovo ukázal, že hoci banky majú zavedené rámce reakcie a obnovy, zostáva priestor na zlepšenie“. Výsledky testov sa zohľadnia aj pri hodnotení rizikových profilov bánk.

Najčastejšie zistenia však odhalili silnú závislosť od služieb tretích strán, nedostatok end-to-end testovania a problémy s centralizovanými inventármi procesov a aktív. Tieto faktory by mohli potenciálne viesť k reálnym incidentom, ak ich banky správne neošetria.

Vitajte v klube

V klube ofenzívnej bezpečnosti už budú nielen banky, ale aj všetci účastníci finančného trhu, ako sú investičné spoločnosti, poisťovne, zaisťovne, sprostredkovatelia, poskytovatelia kryptoaktív aj cloudových služieb. Od budúceho roku ich čakajú špecifické a normatívne požiadavky, ohlásené pod skratkou DORA, čiže Digital Operational Resilience Act.

Nariadenie DORA bude v platnosti od 17. januára 2025 a testovanie sa stane pre finančné subjekty povinnosťou.

Budovanie kybernetickej odolnosti si bude vyžadovať ďalšie náklady a tie v prípade väčších inštitúcií nebudú najnižšie. Do sumy sa musí zmestiť kontinuálna mesačná služba na automatizované testovanie odolnosti organizácie, simulácie útokov a narušenia bezpečnosti, tréning a budovanie red teamu. Takže ročný náklad pre inštitúciu s tisíckou aktívnych používateľov sa môže vyšplhať na pár stovák tisíc eur.

Odolnosť bude taká silná ako jej najslabší článok

Polročný záťažový test je náročný na procesy aj personálne kapacity. Ale Únia hovorí – toto v kybernetickej bezpečnosti nestačí, musíte cvičiť aj viac, aj spolu. A ukazuje na ďalší zraniteľný a kritický prvok, kde počet a intenzita kyberútokov stúpajú od roku 2017.

V energetickom sektore bolo totiž v minulom roku globálne hlásených viac ako dvesto kybernetických incidentov, pričom viac ako polovica z nich sa zamerala na Európu.

Energetika čelí vydieraniu, špionáži, ohrozuje ju rozvetvený dodávateľský reťazec či kyberútoky na priemyselné kontrolné systémy a je zraniteľná aj cez zastarané a neaktualizované systémy. Ak budú deštruktívne útoky zamerané na destabilizáciu európskej ekonomiky pribúdať, spôsobí to domino efekt.

Správa o investíciách do sietí a informačnej bezpečnosti uvádza, že 32 % operátorov v energetickom sektore nemá kritické procesy prevádzkových technológií monitorované strediskom bezpečnostných operácií (Security Operations Center – SOC).

Pre 52 percent operátorov základných služieb v energetickom sektore pokrýva prevádzkové a informačné technológie jediný SOC. Správu vypracovala na základe údajov poskytovateľov základných služieb Európska agentúra pre kybernetickú bezpečnosť ENISA.

Mega odolnosť potrebuje mega cvičenie

Dvojdňové cvičenie Cyber Europe koncom júna simulovalo sériu rozsiahlych kybernetických incidentov. Spojili sa tu desiatky národných a európskych agentúr pre kybernetickú bezpečnosť, inštitúcie a viac ako tisícka odborníkov.

Scenár predpokladal zapojenie zahraničnej moci, politické napätie a útoky na energetický sektor vo všetkých členských štátoch Únie.

→ Skupiny pokročilých hrozieb APT (Advanced Persistent Threat) a iné kriminálne skupiny spolupracujú a útočia na kritickú infraštruktúru. Sekundárne ciele zahŕňajú aj digitálnu infraštruktúru a verejnú správu, aby sa zvýšil tlak a vyvolal chaos. Aktivity podporuje silná propaganda proti EÚ.

Nebolo to jednoduché

Pravdou vo fiktívnom scenári je však fakt, že Únia sa výrazne spolieha na svoju energetickú infraštruktúru a je kľúčom na udržanie hospodárskeho rastu a stability.

→ Aby sa po incidente zabránilo paralýze európskej ekonomiky a destabilizácii politickej scény, štáty aj zainteresované strany sa musia koordinovať. Výzvou je zvládnuť nielen technológie a procesy, ale aj psychickú záťaž, internú a externú komunikáciu a všetko to robiť extrémne rýchlo a s víziou ďalších krokov.

Výsledky cvičenia? Opäť dôverná informácia.

Ponaučenie je jasné

Verejný aj súkromný sektor čakajú povinné testy, tréningy a nástup ofenzívnej bezpečnosti na výslnie. Aktuálna európska legislatíva a novelizácia slovenského zákona posúvajú tieto praktiky v kybernetickej bezpečnosti na úroveň povinností.