Ecosistemul financiar, înainte și după implementarea cadrului TIBER-EU în România. Care sunt provocările?

Atacurile cibernetice reprezintă o amenințare pentru fiecare dintre noi, iar evenimentele din ultima perioadă ne-au demonstrat că perturbările produse pot fi considerabile. Riscurile provocate de aceste perturbări trebuie luate în considerare și de către bănci și alți actori ai domeniului financiar, deoarece pot avea un impact nu numai asupra fiecărei organizații în parte, ci și asupra stabilității întregului ecosistem financiar. Riscul atacurilor cibernetice este accentuat și de folosirea tehnologiilor digitale de către sistemul financiar și de provocările generate de viteza cu care evoluează amenințările cibernetice.

Banca Națională a României (BNR) a considerat, așadar, că este esențial ca băncile, alte instituții financiare sau infrastructurile pieței financiare aflate sub supravegherea sa să își asigure un nivel adecvat de rezistență cibernetică pentru a se proteja atât pe ele însele, cât și întregul ecosistem. În luna mai 2022, BNR a transpus la nivel local cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming), un standard de desfășurare a testelor pentru determinarea gradului de reziliență cibernetică elaborat de Banca Centrală Europeană și celelalte bănci centrale din Uniunea Europeană.

Cadrul TIBER-RO, publicat în Monitorul Oficial nr. 432/03.05.2022, se aplică instituțiilor financiare aflate sub supravegherea Băncii Naționale a României, care vor fi nevoite să-și testeze rezistența cibernetică la fiecare trei ani, spre deosebire de alți actori ai ecosistemului financiar, care nu vor avea obligativitatea aplicării acestui cadru.

Înainte de introducerea cadrului TIBER-RO, testarea rezistenței cibernetice se realiza fragmentat, prin verificări izolate sau separate asupra aplicațiilor folosite în cadrul organizațiilor, în medii controlate, demers care nu oferea o imagine de ansamblu a riscurilor la care băncile erau supuse din acest punct de vedere.

Derularea unui test care să evidențieze capacitatea de ansamblu a unei organizații de a se apăra de atacurile cibernetice este un exercițiu complex, care necesită coordonarea mai multor echipe, nu doar a celor dedicate securității cibernetice, ci și a celor de IT și management. În contextul implementării TIBER-RO, membrii consiliilor de administrație, directorii și responsabilii în domeniul cibernetic sau IT vor fi nevoiți să planifice din timp acest tip de exerciții, dar și să implementeze metode de management al riscului cibernetic, în vederea atingerii unui punct maxim de eficiență (…).

Materialul integral este disponibil aici.