Dr. Călin M. Rangu
Președinte Institutul de Studii Financiare

 
Context

În ultima vreme se discută mult de reglementarea securității cibernetice a infrastructurilor de interes național. Necesitatea și urgența sunt clare oricărui specialist care știe ce se intâmplă în acest domeniu. Analizele îmbracă forme diverse fiind realizate din perspective diferite.

Ca în orice subiect, apar semnificații pe care fiecare le înțelege conform experienței proprii și prin cutume mentale, sau profesionale uneori greu de depășit. Dacă în domeniul informaticii se discută despre evaluări care determină niveluri de maturitate, același lucru îl regăsim și în dezbateri. Diferite niveluri de maturitate care fac uneori discuțiile dificile, ramând prea mult timp la un nivel generalist, cu o atenție disprorționată la elemente a căror importanță nu este ponderată de alte elemente poate mai relevante, dar nespectaculoase. În plus, uneori lipsa de practică concretă, lipsa de know-how și de experiență reală, acumulate în activitatea concretă, își spun cuvântul.

La ce ne uităm?

De fapt securitatea cibernetică nu se rezumă la a lupta cu hackerii, a avea antiviruși, a proteja accesul, a monitoriza și a înregistra date de toate tipurile, ci pentru a preveni amenințări. De fapt trebuie evaluată vulnerabilitatea și nu amenințarea. În managementul riscurilor, riscul este dat de cumularea amenințării cu vulnerabilitatea și cu costul. Amenințarea este externă, vulnerabilitatea este internă și este cea care contează. Iar ea este dată de procesele interne, sau de lipsa structurării și bunei funcționări a acestora, de oameni care utilizează, sau administrează sistemele cibernetice, și de infrastructurile cibernetice în sine care sunt incluse pe lanțul unui proces și sunt accesate de oameni. Vulnerabilitățile majore de multe ori sunt la nivel de proces și oameni, nu la infrastructuri în sine.

Securitatea cibernetică este o problemă de management, de management al riscurilor, de management al proceselor, de management al informației, de management al acelor infrastructuri pe care le numim de interes național. Poate cuvântul infrastructuri ne duce cu gândul la hardware și software. De fapt vorbim de managementul riscurilor operaționale generate de utilizarea sistemelor informatice în cadrul unor structuri de interes național. Iar în acest context nu poți rupe sistemul informatic, de managementul proceselor, de managementul personalului și a activității oamenilor care utilizează aceste sisteme, nu îl poți separa de mediul extern.

Buna guvernanță se referă atât la adresarea deficiențelor, ca de exemplu fluxurile inadecvate de informații, comunicarea deficitară și o neînțelegere adecvată a riscurilor, cât și la aspecte comportamentale.

Riscul operational este tratat ca o categorie specială și importantă de risc. Însă identificarea și măsurarea riscului operațional se dovedește a fi o provocare deosebită. Managementul informatiei și a IT-ului sunt elemente cheie într-o strategie completă de management al riscurilor.

Cum abordăm?

Pentru a lua adecvat în considerare riscurile referitoare la IT este necesară o abordare determinată de business și nu de specialistii în IT. Procesele activității conduc definirea controalelor și metricilor, în timp ce setul de controale aferente IT-ului sunt suplimentate de un set de indicatori pentru măsurarea maturității și a compliance-ului. Când un risc referitor la informații sau IT are un impact asupra procesului unei activități, pașii spre reducerea și eliminarea riscului sunt parte integrantă din cadrul de guvernanță și control al organizației.

Controalele IT trebuie să fie legate de riscurile IT. Riscurile IT sunt un sub-set al riscurilor generale care sunt vizibile în procesele activităților. Gestiunea riscurilor include utilizarea de indicatori pentru a stabili țintele, nivelurile de performanță și de risc. Astfel se introduce conceptul de Indicator Cheie de Risc (Key Risk Indicator - KRI). Fiecare indicator susține procesul în derulare al analizei de risc și a managementului de risc în vederea îmbunătățirii riscului operațional în general. Trebuie descrise tipurile de indicatori, semnificația lor pentru procesul general de management al riscurilor, și definiția KRI potriviti pentru cadrul complet de management al riscurilor operaționale și informatice.

Dacă  în general reglementările se bazează pe principii, componentele acestora și standardele vor rămâne bazate pe reguli. Reglementările trebuie să includă asigurări bazate pe procese și pe ieșirile proceselor, pe definirea de puncte de control din care să se extragă indicatori de performanță (KPI) care să se transforme în indicatori de risc (KRI).

Întotdeauna trebuie să definim despre ce vorbim, pentru a nu vorbi fiecare gândindu-ne la altceva.

Ce este un obiectiv de control (informatic)?  Este scop și mijloc care se reflectă în punctele de control din care se extrag indicatori cheie de risc.Dar ce este riscul aferent tehnologiei informaţiei (IT). Este o subcomponentă a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă a beneficiilor activității, determinat de inadecvarea strategiei şi politicilor IT, a tehnologiei informaţiei şi a procesării acesteia, din punct de vedere a capacității de gestionare, integritate, controlabilitate şi continuitate, sau de utilizare necorespunzătoare a tehnologiei informaţiei.

Cum definim vulnerabilităţile? Acestea sunt stări de fapt, procese și fenomene care diminuează capacitatea de reacţie a infrastructurilor la riscurile existente ori potenţiale, sau care favorizează apariţia și dezvoltarea lor, cu consecinţe în planul funcţionalităţii și utilităţii.

Ce este important?

Se vorbește foarte mult despre auditările IT. Dar de fapt se încearcă mutarea responsabilității într-un mod formal. Un audit este un diagnostic la un moment, care poate fi corect sau nu în funcție de mulți factori. Importantă este însă propria evaluare, evaluarea internă a riscurilor operaţionale și existența unui registru al riscurilor, viu, cunoscut și înțeles.Toate instituțiile, companiile care au active de apărat (active de securitate națională sau sectorială), denumite în continuare entităţi, ar trebui să fie obligate să își evalueze intern riscurile operaţionale generate de utilizarea tehnologiei informaţiilor și comunicaţiilor și să constituie un Registru al riscurilor operaţionale generate de utilizarea sistemelor informatice de către oameni, procese, sisteme şi mediul extern.

Ar trebui identificate toate categoriile relevante de risc, menționate pe patru categorii: oameni, procese, sisteme/tehnologii și mediul extern, ținând cont de riscurile activităților externalizate către furnizorii de produse şi servicii informatice și de comunicaţii.Riscuri aferente oamenilor pot fi, fără a se limita la acestea: nerespectarea proceselor/procedurilor, erori de introducere manuală, cunoștințe, experiență și pregătire insuficientă, personal insuficient, angajați cheie, lipsă de comunicare și cooperare, neraportare, conflict de interese, automulțumire, fraudă, operațiuni suspecte de spălare a banilor și finanțarea actelor de terorism, nerespectarea regimului de sancțiuni internaționale.

Riscuri aferente proceselor pot fi, fără a se limita la acestea:

1. Riscuri de model: lipsa proceselor organizatorice (cel puţin referitoare la managementul schimbării, al incidentelor, al problemelor, al nivelurilor de servicii, al versionărilor, al capacităţii, al disponibilităţii, al proiectelor), erori de metodologie sau model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control inadecvat al proceselor, software neadecvate obiectivelor de activitate, insuficienţa guvernanţei corporative în acest domeniu;
2. Riscuri tranzacționale: erori de execuție, erori de înregistrare, managementul inadecvat al datelor și informațiilor, erori de matching, complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de confidențialitate, fraude;
3. Riscuri aferente controlului operațiunilor: lipsa separării drepturilor și atribuțiilor, depășirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri contabile, control inadecvat al activităților externalizate, întreruperea furnizării serviciilor, neidentificarea operațiunilor în speță în funcție de indicatorii de risc și variabile analitice prestabilite.
4. Riscuri aferente sistemelor/tehnologiei pot fi: sistem inadecvat de management al tehnologiei și securității, lipsa metodologiilor de dezvoltare și testare, capacitate insuficientă de procesare, întreruperi în funcționarea   sistemelor (hardware, software, stocare, telecomunicații), căderi de rețea, întreruperii în furnizarea serviciilor prestate de furnizorii externi, sisteme inadecvate, protecție inadecvată împotriva malware, riscuri de compatibilitate, riscuri generate de furnizori/vânzători, erori de programare, coruperea datelor, riscuri de recuperare după dezastre, testare necorespunzătoare a recuperării în caz de dezastru, sistem inadecvat de actualizare tehnologica, sisteme învechite, servicii necorespunzătoare de suport pentru sisteme.
5. Riscuri aferente mediului extern pot fi: pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de oameni, întreruperi în furnizarea serviciilor prestate de furnizori externi, fraude și activități criminale externe, expuneri externe ale securității sistemelor, atacuri teroriste clasice sau informatice, criminalitate economică și/sau informatică, căderi ale alimentării cu electricitate.

 Cum evaluăm?

Evaluarea de risc va identifica și evalua natura riscului operațional plecând de la, fără a se limita la:

1. categoriile de risc;
2. conectivități și interdependențe;
3. modificări în modelul de lucru, precum introducerea unui nou sistem informatic, complexitatea produselor, proceselor sau tehnologiilor și autosatisfacție, respectiv management ineficient;
4. frecvența și severitatea riscului;
5. riscul operațional după acțiunile de diminuare a riscurilor.

Riscurile cheie se identifică prin chestionare de evaluare internă.

Materialele și informațiile suport pentru evaluarea internă sunt, după caz:

• strategia și obiectivele afacerii
• apetitul la risc
• analiza proceselor şi identificarea riscurilor
• date despre evenimentele care au generat pierderi
• date despre indicatorii cheie de risc
• analiza cauzelor şi categoriile evenimentelor de risc
• evaluările/rapoartele interne anterioare de risc
• planurile de management a riscurilor
• audituri interne și/sau externe

Riscurile se colectează pe o structură de șablon, pe baza unor criterii standard și se evaluează luând în considerare riscurile inerente (înaintea aplicării controalelor) şi riscurile reziduale (după ce controalele au fost aplicate). Se alocă responsabilități de risc persoanelor cu atribuții în administrarea riscurilor.

Entitățile evaluează frecvenţa apariției riscurilor și severitatea eventualelor pierderi în cadrul registrului riscurilor. Evaluarea frecvenţei apariţiei riscurilor se bazează pe rapoartele interne și externe, precum, fără a se limita la: rapoarte de audit, solicitări ale autorității, deviaţii față planul de afaceri, planuri operaţionale, bugete, opinii ale experţilor și cele mai bune practici. Evaluarea severităţii pierderilor potențiale se poate stabili pe baza, fără a se limita la: interviurile cu angajați cheie, ex ante și ex post, variațiile bugetelor, sesizările externe, istoria pierderilor. Evaluarea de risc va ține cont de probabilitatea ca riscul să apară în următoarele 12 luni și de impactul, respectiv consecințele asupra îndeplinirii strategiei și obiectivelor de afaceri. Probabilitățile se împart în categorii exprimate în marje procentuale, iar impactul se împarte pe niveluri, precum: fără impact material, impact material fără risc major, risc semnificativ, risc major care afectează entitatea.

Evaluarea de risc se efectuează regulat, dar cel puţin anual. Funcția de administrare a riscului integrează toate riscurile semnificative pentru entitate pe o hartă ce reprezintă profilul de risc al entității. Profilul de risc este analizat şi discutat oricând au loc schimbări importante în entitate. În cazul unei expuneri la risc mai mare decât apetitul pentru oricare riscuri, se elaborează strategii și planuri de acțiune pentru reducerea riscurilor și implementarea de controale suplimentare.

Ce măsuri luăm?

Puncte de control și măsurare

Entitățile ar trebui să implementeze următoarele tipuri de controale, putând utiliza metodologiile COBIT ca punct de reper:

• Controale preventive care blochează încercările de încălcare a politicii de securitate informatică precum, dar fără a se limita la, controlului accesului la sisteme informatice, criptarea, autentificarea;
• Controale de avertizare care semnalizează asupra încălcărilor sau încercărilor de încălcare a politicii de securitate informatică precum, dar fără a se limita la, înregistrările cronologice ale evenimentelor de securitate care dovedesc evidența documentară a secvențelor de activități care pot afecta în orice moment operațiunile specifice, procesele și procedurile, sau metode pentru detectare a intruziunilor.

Entităţile care utilizează sisteme informatice de prelucrare automată a datelor trebuie să dispună de un sistem informatic evaluat intern, testat sau/și auditat intern sau/și extern, care este supus la teste de penetrare, după caz, în funcție de tipul entității, care să certifice adecvarea acestuia la specificul şi volumul activităţii, gradul de securitate a informaţiei, capacitatea de stocare/arhivare/replicare a datelor, îndeplinirea de către sistemele informatice a criteriilor pentru prelucrarea automată a datelor în domeniul financiar-contabil.

Entitățile:

• identifică riscurile operaţionale inerente și reziduale tuturor proceselor informatice și de comunicaţii care pot avea impact material asupra produselor, activităţilor, proceselor și sistemelor;
• selecționează și implementează controale, ca măsuri de reducere a riscurilor identificate în funcție de vulnerabilități;
• controlează eficient riscurile generate de utilizarea sistemelor informatice, prin obiective de control și implementarea de către entitate, sau de furnizorul extern de servicii, de puncte de control, prin monitorizarea acestora și a indicatorilor cheie de risc. În acest scop, se implementează atât controale generale la nivelul sistemului informatic, cât şi controale specifice la nivelul fiecărei componente a acestuia, după caz. Informaţiile din punctele de control vor fi colectate lunar sau trimestrial.

 Controale generale

Controalele generale, la nivelul entităţilor sau al furnizorilor de servicii externi, sunt proiectate astfel ca informaţiile financiare generate de sistemele informatice ale entității să fie de încredere, reale și corecte. Controalele generale includ:

1. controale referitoare la sincronizarea de timp la o unitate de timp recunoscută naţional sau internaţional;
2. controale asupra operării centrului de date (precum dar fără a se limita la programări activităţi, acţiuni operatori, procedurile de salvare date și recuperare după dezastru);
3. controale asupra sistemelor de aplicaţii (precum dar fără a se limita la achiziţie, implementare și întreţinere software, managementului bazelor de date, software de telecomunicaţii, de securitate şi utilităţi);
4. controale asupra securităţii accesului (precum dar fără a se limita la prevenirea accesului necorespunzător sau neautorizat la sistemele informatice);
5. controale asupra dezvoltării, administrării și întreţinerii programelor informatice (precum dar fără a se limita la metodologiile de proiectare, dezvoltare, versionare, testare, implementare, cerinţelor de documentare, managementul schimbării, evoluţia activităţilor de proiect).

Entitățile adoptă măsuri pentru identificarea şi gestionarea evenimentelor care pot prejudicia continuitatea activităţii, precum ar fi, dar fără a se limita la incendii, defecţiuni la sistemele hardware sau software, erori operaţionale din partea utilizatorilor, introducere involuntară de componente străine care să creeze daune sistemului informatic sau reţelei. Entitățile asigură condiţii de securitate pentru zonele în care sunt accesate informaţii cu caracter confidenţial.

Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a politicilor de aprobare și efectuare a achiziţiilor, a externalizărilor serviciilor informatice, inclusiv prevenirea riscului sistemic datorat criminalităţii informatice.

Controale programe informatice

Entitățile implementează controale la nivelul programelor informatice prin proceduri de validare şi control incluse în codul software utilizat, prin includerea punctelor de control în codul software pentru prevenirea și detectarea tranzacţiilor neautorizate, precum și proceduri manuale de verificare a modului de procesare a tranzacţiilor şi a efectuării operaţiunilor.

Entitățile:

• implementează controale aferente separării mediului de dezvoltare a programelor informatice de mediul de testare a programelor informatice și de mediul de operare a programelor informatice. Accesul la diversele medii trebuie reglementat şi controlat prin întocmirea de proceduri, ţinând cont de exigenţa limitării riscurilor şi a fraudei. Aceste proceduri susțin siguranţa datelor și a informațiilor,  separarea de atribuții în funcție de cele trei tipuri de medii, limitând accesul persoanelor neautorizate la informații și în mediul de operare şi înregistrând toate tentativele de acces neautorizate;
• elaborează proceduri pentru asigurarea siguranţei fizice a sistemelor hardware, software şi a bazelor de date, pentru prevenirea utilizării necorespunzătoare a informaţiei de către personalul entității în vederea obţinerii unor beneficii personale sau prejudicierea reputaţiei societăţii;
• se asigură că furnizorii de programe informatice dezvoltate la cerere de către entități utilizează obiectivele de control recomandate de cadrul COBIT pentru controalele aferente programelor informatice.

Controlul programelor informatice urmărește:

• Autorizarea și pregătirea datelor sursă: documentele sursă sunt pregătite de personal calificat și autorizat urmărind proceduri specifice, luând în considerarea segragarea atribuțiilor. Erorile și omisiunile pot fi reduse prin proiectarea inițială corespunzătoare, acestea trebuind a fi raportate și colectate;
• Colectarea și introducerea datelor sursă. Datele de intrarea să fie introduse corespunzător și în timp de personal autorizat și calificat;
• Verificarea acurateții, completitudinii și autenticității. Se asigură că tranzacțiile sunt corecte, complete și valide. Validarea datelor trebuie realizată cat mai aproape de momentul generării lor;
• Validarea și integritatea procesării. Se menține integritatea și validitatea datelor în timpul ciclului de procesare;
• Revederea rezultatelor, operarea reconcilierilor și a erorilor. Se stabilesc proceduri și responsabilități pentru asigurarea operării rezultatelor procesării în mod autorizat, livrarea către primitorul corespunzător și transmisiunea protejată. Se verifică acuratețea ieșirilor, verificarea, detectarea și eventuala corectare;
• Integritatea și autentificarea tranzacției. Înainte de transferarea datelor tranzacției dintre programele informatice interne și funcțiile de afaceri/operaționale (sau în exteriorul entității), se verifică datele referitor la adresarea corectă, autenticitatea originii și integritatea conținutului. Se menține autenticitatea și integritatea tranzacției pe timpul transmisiei sau a transportului.

Securitatea cibernetică este un cumul de cunoștințe, experiențe care trebuie coborâte de la nivelul principiilor la nivelul practic și ridicate din nou la nivelul înțelegerii generale pentru a putea fi înțelese corect de către toți actorii implicați.