DORA, czyli Digital Operational Resilience Act jest zbiorem regulacji i nowych standardów oraz wymagań dotyczących bezpieczeństwa systemów informatycznych. Wybraliśmy 5 najważniejszych aspektów tego rozporządzenia, które każdy tester powinien znać, aby zrozumieć, jak może wspomóc proces ochrony przed cyberzagrożeniami.
5 rzeczy, które każdy tester powinien wiedzieć o DORA
1. Nowe definicje i standardy
Pierwszym krokiem do zrozumienia DORA jest przyswojenie sobie nowych terminów i standardów, które rozporządzenie wprowadza. Podstawowym pojęciem jest operacyjna odporność cyfrowa, czyli zdolność organizacji do utrzymania ciągłości działania swoich usług cyfrowych nawet w obliczu zakłóceń, awarii czy cyberataków. DORA definiuje również pojęcie incydentu ICT (ang. information and communication technologies), czyli zdarzenia, które negatywnie wpływa na bezpieczeństwo lub wydajność systemów informatycznych.
Jaki wpływ ma na pracę testerów wprowadzenie tych definicji? DORA wymaga, aby cele i zakres testów były ściśle powiązane właśnie z zapewnieniem operacyjnej odporności cyfrowej. To oznacza, że testerzy muszą skupić się nie tylko na wykrywaniu błędów w oprogramowaniu, ale też na ocenie jego zdolności do radzenia sobie z różnymi rodzajami zagrożeń.
DORA wprowadza również nowe standardy dotyczące raportowania wyników testów i prowadzenia dokumentacji. Testerzy będą musieli teraz szczegółowo dokumentować swoje działania, wyniki testów oraz wszelkie zidentyfikowane ryzyka. Raporty z testów powinny być jasne, zrozumiałe i zawierać konkretne rekomendacje dotyczące poprawy bezpieczeństwa oraz odporności systemu.
2. Zarządzanie ryzykiem ICT
Rozporządzenie DORA podchodzi również kompleksowo do zarządzania ryzykiem ICT, które wymaga od instytucji finansowych systematycznej identyfikacji, oceny i minimalizacji zagrożeń związanych z technologiami informacyjnymi. Tu także testerzy oprogramowania będą odgrywać ważną rolę.
Poprzez przeprowadzanie różnorodnych testów, takich jak testy penetracyjne, testy bezpieczeństwa aplikacji czy testy obciążeniowe, będą oni pomagali zidentyfikować potencjalne luki w zabezpieczeniach i wszelkie słabości systemu. Dzięki temu możliwe będzie wdrożenie odpowiednich środków zaradczych jeszcze przed wystąpieniem incydentu. Co więcej, testerzy nie tylko będą pomagać zidentyfikować ryzyko, ale także przyczynią się do jego minimalizacji, weryfikując skuteczność zabezpieczeń i rekomendując usprawnienia, zwiększając tym samym odporność systemu na ataki i awarie.
Rola testerów nie będzie kończyć się na jednorazowym sprawdzeniu systemu. Jednym z wymogów DORA jest ciągłe monitorowanie i doskonalenie bezpieczeństwa systemu. Regularne testy i analiza wyników pozwalają na bieżąco identyfikować nowe zagrożenia i dostosowywać zabezpieczenia do zmieniającego się środowiska.
3. Testowanie odporności
Testowanie odporności jest kolejnym filarem DORA, który zasługuje na szczególną uwagę testera. Na czym ono polega? To nic innego jak symulacja różnych scenariuszy awarii, ataków czy innych zakłóceń po to, by sprawdzić, jak system zachowa się w trudnych warunkach. Dlaczego to takie ważne w kontekście DORA? Właśnie dlatego, że rozporządzenie to kładzie nacisk na zdolność organizacji do utrzymania ciągłości działania nawet w obliczu nieprzewidzianych zdarzeń.
DORA nie precyzuje konkretnych rodzajów testów odporności, ale wskazuje na ich rolę w zapewnieniu bezpieczeństwa systemów finansowych. W praktyce oznacza to, że testerzy powinni stosować różnorodne metody testowania, takie jak testy penetracyjne, polegające na symulacji ataków hakerskich w celu zidentyfikowania luk w zabezpieczeniach systemu, testy obciążeniowe, które weryfikują, jak system radzi sobie z dużym ruchem i obciążeniem, np. podczas ataku DDoS, symulację awarii sprzętu lub oprogramowania, aby sprawdzić, czy system jest w stanie automatycznie przełączyć się na zapasowe zasoby i utrzymać ciągłość działania, czy testy chaosu, czyli wprowadzanie losowych zakłóceń do systemu po to, by zbadać jego zdolność do adaptacji i samonaprawy.
Dzięki temu tester może zweryfikować, czy system jest w stanie wykryć zagrożenie, zareagować na nie w odpowiedni sposób i szybko powrócić do normalnego funkcjonowania. Testy odporności pozwalają na identyfikację potencjalnych słabych punktów systemu i wdrożenie odpowiednich środków zaradczych, zanim dojdzie do rzeczywistego incydentu.
4. Współpraca z zewnętrznymi dostawcami
Współpraca z zewnętrznymi dostawcami usług ICT jest powszechną praktyką w sektorze finansowym. DORA w tym obszarze wprowadza jednak nowe regulacje, których celem jest zwiększenie bezpieczeństwa i odporności systemów informatycznych, także tych dostarczanych przez podmioty zewnętrzne. Rozporządzenie nakłada na instytucje finansowe obowiązek dokładnej oceny ryzyka związanego z korzystaniem z usług zewnętrznych dostawców. Można sądzić, że testerzy oprogramowania pełnią istotną funkcję w tym procesie, sprawdzając bezpieczeństwo i zgodność rozwiązań dostarczanych przez zewnętrzne podmioty z DORA.
Mogą oni też uczestniczyć w procesie oceny ryzyka poprzez np. przeprowadzanie testów bezpieczeństwa i weryfikację, czy rozwiązania dostarczane przez dostawcę są odporne na ataki i awarie, a także monitorowanie jakości usług oraz sprawdzanie, czy dostawca zapewnia odpowiedni poziom dostępności, wydajności i wsparcia technicznego.
Dzięki zaangażowaniu testerów w proces oceny ryzyka, instytucje finansowe będą podejmować świadome decyzje dotyczące wyboru dostawców i minimalizować ryzyko związane z korzystaniem z ich usług.
5. Szkolenia i rozwój kompetencji
Rozporządzenie DORA skupia się na ciągłym doskonaleniu umiejętności i aktualizację wiedzy w zakresie bezpieczeństwa systemów informatycznych. Testerzy, którzy chcą sprostać wymaganiom DORA, powinni inwestować w swój rozwój i poszerzać swoje kompetencje.
Na rynku już teraz można znaleźć odpowiednie szkolenia i certyfikacje z zakresu DORA, które dają wiedzę teoretyczną i praktyczne umiejętności niezbędne do skutecznego testowania w kontekście nowego rozporządzenia. Oprócz formalnych szkoleń warto również skorzystać z innych źródeł wiedzy dostępnych w Internecie - artykułów branżowych, webinarów czy konferencji, a także aktywnie śledzić pojawiające się nowe informacje i aktualizacje.
Podsumowanie
Rozporządzenie weszło w życie 16 stycznia 2023, a wszystkie rozwiązania w nim zawarte zostaną wdrożone 17 stycznia 2025. Co grozi za niewdrożenie procedur lub wdrożenie ich po czasie? W takim wypadku Komisja Nadzoru Finansowego może nałożyć na firmę karę finansową, której wysokość jest uzależniona od rodzaju naruszenia i jego wpływu na konkretną instytucję, a także na cały sektor finansowy. Dodatkowo zewnętrzni dostawcy usług ICT mogą otrzymać karę finansową do 1% średniego dziennego światowego obrotu za każdy dzień trwania naruszenia przepisów DORA.
DORA postawiła przed testerami nowe wyzwania i stworzyła nowe możliwości rozwoju, wymagając jednak od nich solidnej wiedzy technicznej i głębokiego zrozumienia ryzyka związanego z technologiami informacyjnymi, a także umiejętności współpracy z różnymi członkami zespołu.
Wszystkim chętnym polecamy zapoznanie się z pełną treścią rozporządzenia i wdrożenia jego wymogów w swojej codziennej pracy. Choć DORA to zbiór wytycznych dla instytucji finansowych, to zapoznanie się z nimi może pomóc również w analizie zagrożeń w dowolnym sektorze. Warto je poznać i wdrażać, bo może się okazać, że UE rozszerzy zakres stosowania również na Twój obszar zawodowy.