DORA i odporność operacyjna: zarządzanie poświadczeniami jako kluczowa kontrola ryzyka w sektorze finansowym - Security Bez Tabu

DORA i odporność operacyjna: zarządzanie poświadczeniami jako kluczowa kontrola ryzyka w sektorze finansowym

Cybersecurity news

Wprowadzenie do problemu / definicja

Rozporządzenie DORA istotnie zmienia sposób, w jaki instytucje finansowe powinny patrzeć na bezpieczeństwo tożsamości oraz poświadczeń. Zarządzanie hasłami, kluczami, kontami uprzywilejowanymi i mechanizmami uwierzytelniania nie jest już wyłącznie domeną działów IT ani zbiorem dobrych praktyk cyberbezpieczeństwa. W realiach regulacyjnych Unii Europejskiej staje się formalnym elementem ograniczania ryzyka ICT, a tym samym ryzyka operacyjnego, biznesowego i zgodności.

W praktyce oznacza to, że kompromitacja poświadczeń może zostać potraktowana nie tylko jako incydent bezpieczeństwa, ale również jako zdarzenie wpływające na ciągłość działania podmiotu finansowego. To podnosi znaczenie kontroli dostępu do rangi mechanizmu nadzorczego.

W skrócie

DORA obowiązuje w Unii Europejskiej od 17 stycznia 2025 roku i nakłada na sektor finansowy obowiązki związane z ochroną, zapobieganiem oraz zarządzaniem ryzykiem ICT. Jednym z najważniejszych obszarów praktycznego wdrożenia pozostaje bezpieczeństwo poświadczeń, obejmujące silne uwierzytelnianie, zasadę najmniejszych uprawnień i ochronę zasobów kryptograficznych.

  • Przejęte konto może umożliwić atakującemu działanie pod wiarygodną tożsamością.
  • Ryzyko dotyczy nie tylko pracowników, ale także dostawców i partnerów zewnętrznych.
  • Zgodność z DORA wymaga nie tylko wdrożenia zabezpieczeń, ale też wykazania ich skuteczności.

Kontekst / historia

Atakujący od lat wykorzystują legalne konta użytkowników jako jeden z najprostszych sposobów wejścia do środowisk firmowych. W przeciwieństwie do klasycznych exploitów czy szkodliwego oprogramowania, skompromitowane dane logowania pozwalają poruszać się w infrastrukturze pod przykryciem poprawnej tożsamości. To utrudnia wykrycie incydentu, wydłuża czas obecności napastnika w sieci i zwiększa ryzyko eskalacji uprawnień.

DORA została zaprojektowana właśnie z myślą o odporności operacyjnej wobec takich zagrożeń. Regulacja wymaga od organizacji finansowych nie tylko tworzenia polityk, ale również praktycznej zdolności do ograniczania ryzyka związanego z dostępem logicznym do systemów, danych i procesów krytycznych.

Znaczenie tego problemu wzrosło wraz z popularnością kampanii phishingowych, infostealerów, brokerów initial access oraz nadużyć obejmujących środowiska dostawców zewnętrznych. Wspólnym mianownikiem wielu z tych scenariuszy pozostają właśnie poświadczenia.

Analiza techniczna

Z perspektywy technicznej i organizacyjnej kluczowe znaczenie ma osadzenie ochrony dostępu w szerszym modelu zarządzania ryzykiem ICT. W praktyce instytucje finansowe muszą ograniczać fizyczny i logiczny dostęp do zasobów wyłącznie do uzasadnionych i zatwierdzonych funkcji biznesowych. Oznacza to formalne wdrożenie zasady najmniejszych uprawnień, wraz z możliwością cyklicznej weryfikacji i odebrania dostępu.

Drugim filarem są silne mechanizmy uwierzytelniania. Samo hasło przestało być wystarczającą ochroną dla kont użytkowników i administratorów. Coraz większe znaczenie mają metody odporne na phishing pośredniczący, takie jak FIDO2, WebAuthn, passkeys czy klucze sprzętowe. Rozwiązania bazujące wyłącznie na SMS lub kodach TOTP nadal podnoszą bezpieczeństwo, jednak nie eliminują wszystkich współczesnych technik przejęcia sesji.

Typowy łańcuch kompromitacji poświadczeń wygląda podobnie w wielu incydentach. Najpierw dane logowania są pozyskiwane przez phishing, malware typu infostealer albo z wycieków danych. Następnie napastnik testuje je wobec usług zdalnego dostępu, poczty, VPN, paneli administracyjnych i aplikacji SaaS. Jeśli konto ma nadmierne uprawnienia, a organizacja nie stosuje segmentacji oraz kontroli sesji uprzywilejowanych, kolejnym krokiem może być ruch boczny, rozpoznanie środowiska i trwałe osadzenie się w infrastrukturze.

W tym kontekście szczególnego znaczenia nabierają systemy PAM, sejfy poświadczeń, rotacja haseł, konta JIT oraz pełne logi audytowe. Choć regulacje nie zawsze wskazują konkretne technologie z nazwy, właśnie takie rozwiązania najlepiej wspierają realizację wymagań dotyczących kontroli dostępu, rozliczalności i bezpieczeństwa uprzywilejowanych operacji.

Istotny pozostaje również aspekt dostawców zewnętrznych. Poświadczenia partnera, integratora lub operatora usługi mogą otworzyć drogę do systemów instytucji finansowej nawet wtedy, gdy jej własne środowisko jest relatywnie dobrze zabezpieczone. Dlatego kontrola tożsamości stron trzecich staje się częścią odporności operacyjnej, a nie wyłącznie klasycznym elementem zarządzania ryzykiem dostawców.

Konsekwencje / ryzyko

Największe zagrożenie związane z kompromitacją poświadczeń polega na tym, że incydent przez długi czas może wyglądać jak zwykła aktywność legalnego użytkownika. To przekłada się na późniejsze wykrycie, większą skalę naruszenia i wyższe koszty reakcji.

W sektorze finansowym skutki obejmują utratę poufności danych, ryzyko naruszenia integralności procesów biznesowych, zakłócenie działania usług oraz konieczność raportowania incydentów do właściwych organów. Z perspektywy DORA przejęte konto nie jest wyłącznie problemem IAM, ale potencjalnym naruszeniem odporności operacyjnej organizacji.

Jeżeli napastnik uzyska dostęp do systemów krytycznych, może wpływać na dostępność usług, procesy płatnicze, obsługę klientów, raportowanie lub zaplecze operacyjne. Im dłużej taki dostęp pozostaje niezauważony, tym większe prawdopodobieństwo równoczesnego kryzysu technicznego, zgodnościowego i reputacyjnego.

Dodatkowe ryzyko dotyczy łańcucha dostaw ICT. Słabe uwierzytelnianie po stronie dostawcy, brak MFA, niekontrolowane przechowywanie haseł czy opóźniony offboarding mogą przełożyć się bezpośrednio na ekspozycję danych oraz systemów instytucji finansowej.

Rekomendacje

Podmioty objęte DORA powinny traktować zarządzanie poświadczeniami jako odrębny program kontroli ryzyka, a nie jako zbiór rozproszonych ustawień w różnych systemach. Kluczowe działania obejmują zarówno warstwę techniczną, jak i organizacyjną.

  • Wymuszenie odpornych na phishing metod MFA, szczególnie dla administratorów, kont uprzywilejowanych, zdalnego dostępu i systemów krytycznych.
  • Wdrożenie zasady najmniejszych uprawnień w sposób mierzalny, z czasowymi dostępami uprzywilejowanymi i automatycznym wygaszaniem uprawnień.
  • Regularne przeglądy ról, eliminację kont osieroconych oraz natychmiastowe odbieranie dostępów po zakończeniu współpracy.
  • Przechowywanie haseł, kluczy API i sekretów aplikacyjnych w szyfrowanych repozytoriach z granularnym modelem uprawnień.
  • Całkowite wyeliminowanie przekazywania poświadczeń przez e-mail, komunikatory i pliki tekstowe.
  • Ciągłe monitorowanie użycia poświadczeń oraz integrację analityki logowań z SIEM, SOC lub innymi mechanizmami reagowania.
  • Budowanie warstwy dowodowej w postaci pełnych logów audytowych, historii zmian uprawnień i dokumentacji przeglądów dostępów.
  • Rozszerzenie tych samych standardów bezpieczeństwa na dostawców zewnętrznych i partnerów.

Podsumowanie

DORA podnosi zarządzanie poświadczeniami do rangi obowiązku z obszaru odporności operacyjnej. Dla sektora finansowego oznacza to konieczność traktowania haseł, MFA, kont uprzywilejowanych i sejfów poświadczeń jako mechanizmów kontroli ryzyka finansowego, operacyjnego i regulacyjnego jednocześnie.

Kompromitacja jednego konta może uruchomić łańcuch zdarzeń prowadzący do naruszenia danych, zakłócenia usług i obowiązków sprawozdawczych. Organizacje, które chcą ograniczyć to ryzyko, powinny połączyć silne uwierzytelnianie, zasadę najmniejszych uprawnień, centralne zarządzanie sekretami, monitoring i pełną ścieżkę audytową w jeden spójny model kontroli.

Źródła