Cyberbezpieczeństwo staje się coraz istotniejszym obszarem zainteresowania nadzorcy, m.in. z uwagi na rosnące ryzyka związane z operowaniem przez podmioty nadzorowane w przestrzeni wirtualnej. W związku z tym, Urząd Komisji Nadzoru Finansowego (dalej: „UKNF”) wydał w lutym 2022 r. „Dobre praktyki w zakresie przeciwdziałania atakom DDoS”.
Przedmiotowy dokument skupia się przede wszystkim na aspekcie mechanizmów zarządzania ryzykiem związanym z atakami typu DDoS. W tym zakresie UKNF wskazuje na mechanizmy o charakterze technologicznym jak i organizacyjnym. W aspekcie organizacyjnym akcentuje się między innymi konieczność posiadania stosownych procedur:
- kontaktu z operatorami telekomunikacyjnymi,
- priorytetyzacji usług, które w sytuacji wystąpienia ataków DDoS umożliwią zarządzanie tymi usługami;
- komunikacji kryzysowej;
- wskazania osób kluczowych w podejmowaniu decyzji w przypadku ataku;
- komunikacji z zespołem CSIRT.
Nadzorca oczekuje również, że instytucje obowiązane będą przeprowadzać stosowne testy w zakresie odporności infrastruktury oraz testować procedury wewnętrzne. Nadzorca zwraca jednocześnie uwagę, że samo wykupienie gotowego produktu do zapobiegania atakom DDoS może być niewystarczające, a projektowanie odporności w tym zakresie powinno mieć charakter systemowy, tworzący wielowarstwową ochronę organizacji.
- Reasumując, UKNF wskazuje, że cyberataki mogą prowadzić do znacznych strat majątkowych, strat wizerunkowych, czy naruszenia przepisów prawa. W tym zakresie szczególną uwagę zwraca się na rosnącą popularność cyberataków typu DDoS powodujących czasową niedostępność systemów teleinformatycznych i usług świadczonych drogą elektroniczną. Nadzorca oczekuje w tym zakresie, że podmioty nadzorowane będą stosować mechanizmy (technologiczne i organizacyjne) zarządzania takim ryzykiem, co wiąże się ze zwiększonym zaangażowaniem środków w tym obszarze.
Przemysław Janczak
radca prawny