de Andrei Ionescu, Partener, Consulting Market Leader și Central Europe Cyber Leader, și
Dragoș Ionică, Senior Manager Securitate cibernetică, Deloitte România
Regulamentul UE privind reziliența operațională digitală – DORA (Digital Operational Resilience Act) –, care a intrat în vigoare anul acesta, aduce un set de obligații clare pentru instituțiile financiare. Una dintre cele mai importante cerințe este efectuarea de către entitățile considerate semnificative a unor teste de penetrare bazate pe amenințări (Threat-Led Penetration Testing – TLPT) asupra tuturor sistemelor și aplicațiilor critice de tehnologie a informației și de comunicații și asupra funcțiilor importante, în mediul de producție. Aceste teste trebuie refăcute la fiecare trei ani.
Pentru a sprijini implementarea coerentă a acestor testări, Banca Centrală Europeană (BCE) a publicat recent ghidul „How to implement the TIBER-EU Framework for the DORA TLPT of significant institutions”, care explică pas cu pas modul în care cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming) este utilizat pentru a îndeplini cerințele prevăzute de DORA. Documentul oferă claritate asupra responsabilităților instituțiilor, etapelor testării și modului în care autoritățile de supraveghere coordonează întregul proces.
Ce stabilește ghidul Băncii Centrale Europene
Ghidul pornește de la premisa că TIBER-EU reprezintă metodologia de referință pentru testările de tip Threat-Led Penetration Testing, întrucât oferă o abordare realistă, bazată pe informații privind amenințările și scenarii sofisticate de tip „red team”. BCE definește clar criteriile de selecție a instituțiilor semnificative care intră sub incidența testărilor obligatorii și rolurile tuturor actorilor implicați, de la TLPT Authority (BCE), la Test Manager, Control Team, Threat Intelligence Provider (TIP) și Red Team Testers (RTT). De asemenea, stabilește o structură în trei faze a testării: pregătire, testare și închidere, fiecare conținând activități critice precum definirea funcțiilor esențiale, evaluarea riscurilor, crearea scenariilor, atacuri simulate asupra sistemelor live și etapa de „replay/purple teaming”. În plus, noul ghid impune cerințe stricte de confidențialitate, separare a echipelor, gestionare a riscurilor și menținere a realismului operațional pe durata întregului exercițiu.
Prin acest ghid, BCE face un pas esențial spre uniformizarea modului în care se realizează TLPT în toată zona euro, asigurându-se că testările sunt consecvente, sigure și orientate către rezultate reale în materie de reziliență operațională.
Importanța testărilor de tip Threat-Led Penetration Testing pentru sectorul financiar
TLPT este mai mult decât un simplu exercițiu tehnic. Reprezintă o simulare realistă a unui atac avansat asupra serviciilor critice ale instituției, cu scopul de a evalua capacitatea sistemelor de a detecta, întârzia și bloca atacuri sofisticate, maturitatea proceselor și colaborarea dintre echipele de securitate și cele operaționale, precum și nivelul real de reziliență a funcțiilor critice, cum ar fi plățile, serviciile de carduri, mobile banking-ul, infrastructura SWIFT, sistemele de bază bancare etc.
Rezultatul final nu este doar un raport, ci un plan de îmbunătățire cu impact direct în securitatea și continuitatea afacerii.
De ce aspecte trebuie să țină cont instituțiile financiare când implementează cerințele privind testările TLPT
Implementarea unei testări TLPT conform TIBER-EU necesită expertiză multidisciplinară, experiență practică în red teaming și o înțelegere profundă a cerințelor DORA. Instituțiile financiare au nevoie de echipe specializate, ideal cu experiență în proiecte complexe pentru bănci centrale, instituții sistemice și operatori de infrastructură critică, precum și cu expertiză în reglementările europene de profil, cum ar fi DORA, NIS2, TIBER-EU. Un alt aspect important este capacitatea operațională end-to-end – de la definirea funcțiilor critice, la execuția scenariilor de atac, coordonarea echipelor, până la analiza rezultatelor și elaborarea planurilor de remediere.
