Dodavatelé IT služeb jsou od ledna pod drobnohledem. V Česku začíná platit DORA

Evropské nařízení DORA (Digital Operational Resilience Act) si lze představit jako nový jízdní řád, který finančním institucím říká, jak fungovat bezpečně v kyberprostoru. Bankám, pojišťovnám nebo investičním společnostem stanovuje jednotné požadavky na bezpečnost sítí a informačních systémů. Týká se i jejich dodavatelů IT služeb, například cloudových platforem, analýzy dat a podobně. Cílem je, aby tyto instituce lépe odolávaly kybernetickým hrozbám. DORA platí od letošního ledna.

„Větší subjekty, jako například banky, se již minimálně rok připravují. U těch menších může být zavádění pozvolné,“ řekl Jan Šovar, partner advokátní kanceláře Finreg Partners, v diskusi věnované digitální bezpečnosti, která se konala v březnu v sídle HN.

Libor Šrám, odborník na kyberbezpečnost ze společnosti BDO, jako zajímavost poznamenal, že DORA se vztahuje také například na velké autosalony, protože ty společně s auty prodávají i pojištění, což je finanční služba. „Na trhu nastalo velké zděšení, když ČNB oslovila autosalony, že jsou na seznamu a mají být na zavedení připraveny. Vůbec to netušily,“ podotkl s úsměvem Šrám.

Jan Šitavanc, manažer kyberbezpečnosti v Moneta Money Bank, ujistil, že Moneta už je na DORA připravená. „Více než rok jsme se tomu intenzivně věnovali a řekl bych, že ostatní banky jsou na tom podobně. Až tak velký dopad to nás ale nemělo, protože banka byla již předtím regulovaná a spousta opatření, která DORA zavádí, jsme už měli. Tudíž z pohledu kyberbezpečnosti nešlo o zásadní investice, jako spíš o narovnání některých procesů. Ovšem velký dopad to mělo na řízení dodavatelů,“ vypíchl Šitavanc. Konkrétně šlo o úpravy smluv, dodatků a podobně.

DORA dopadá na malé i velké IT firmy

Zabezpečení dodavatelů IT služeb je v nařízení DORA velké téma. Požadavky se na ně uplatňují, ať už jsou velcí nebo malí. „Každý, kdo dodává finančním institucím třeba cloudové služby, spravuje infrastrukturu, radí v oblasti IT, dodává hardware nebo software na pravidelné bázi, což může být třeba i licence na Microsoft Office a jiné programy, na všechny tyto firmy DORA dopadá, protože finanční instituce musí plnit určité požadavky. Je to velká změna,“ podtrhl Jan Šovar. Požadavky DORA se promítnou nejen do smluv, ale musí se i fakticky plnit.

Libor Šrám připomenul, že finanční instituce by si měly dodavatele samy zkontrolovat, a když zjistí v parametrech neshodu, měly by se s ním domluvit, aby v přiměřeném čase nedostatky napravil. Pokud se tak neděje, nezbývá než se s takovým dodavatelem rozloučit. „Samozřejmě v bankovnictví se tohle lehko řekne, ale těžko provádí. Pokud dodavatel poskytuje nějakou zásadní službu, změna není úplně jednoduchá,“ připustil Šrám.

Jako příklad nařízení, která DORA zavádí, zmínil Šitavanc testování, kdy se etičtí hackeři snaží najít slabiny v systémech banky. „My jako cyber security nevíme, co budou dělat a kdy to budou dělat. Testujeme tím naše systémy, jestli jsme schopni útoky odhalit a technikám, které na nás zkouší, zabránit. Toto testování zavádí i DORA, detailně říká, jak má probíhat, kdo se ho má zúčastnit a podobně,“ vysvětlil Šitavanc. Banky mají takto testovat jednou za tři roky.

Příležitost dát si IT služby do pořádku

Petr Sýkora, spoluzakladatel a CEO softwarové společnosti Cybreg, podotkl, že DORA je příležitost pro IT firmy být se zásadami bezpečnosti v souladu, a tím získat konkurenční výhodu. „Ovšem řada firem, které poskytují bankám a dalším institucím cloudová řešení, s tím může mít problémy. Každá firma by se kybernetickou bezpečností měla zabývat, měla by řídit svá rizika, znát svá aktiva a své dodavatele. Tohle je příležitost to dát do pořádku,“ řekl Sýkora.

Libor Šrám upozornil, že může nastat situace, kdy například banka má dodavatele aplikace formou služby. Aplikaci dodává jedna firma, ale běží na datovém centru u jiné firmy. „I tato další společnost je pak součástí dodavatelského řetězce. Trpělivě to firmám vysvětlujeme,“ dodal Šrám.

Účastníci debaty také zmínili, že důležité instituce budou pro své klíčové systémy požadovat zkušené a velké dodavatele, kteří splňují všechny parametry DORA, a trh se tím zmenší. „Nějaká malá garážová firma takové požadavky obtížně naplní,“ je přesvědčen Jan Šovar.

Jak podotkl Petr Sýkora, finanční sektor je kritická služba a je potřeba, aby byl zabezpečený. Hlavní přínos nařízení DORA je standardizace ve všech státech EU. „Cílem je předejít slabým článkům, aby se nestávalo, že v některých státech nebude dozor nad kyberbezpečností tak silný. A zároveň také odkrýt dodavatelské řetězce napříč Evropou a zjistit, kdo jsou klíčoví dodavatelé,“ shrnul Sýkora.

Diskutující hovořili také o roli AI v online bezpečnosti. „Jedním z míst, kde se dá AI využít, je detekce incidentů a odhalování útoků. Když má člověk dostatek dat, je možné reagovat včas. AI může pomoci v prevenci a také v kontrole a verifikaci vnitřních předpisů a smluv,“ zmínil Sýkora.

Partnery debaty jsou společnosti BDO, cybreg a advokátní kancelář Finreg Partners.