Sektor finansowy w Unii Europejskiej stoi w obliczu fundamentalnej zmiany paradygmatu testowania bezpieczeństwa, wymuszonej przez pełne wejście w życie rozporządzenia DORA (Digital Operational Resilience Act), które nakłada na kluczowe podmioty obowiązek przeprowadzania zaawansowanych testów penetracyjnych sterowanych analizą zagrożeń (TLPT).
Nowe przepisy, mające na celu ujednolicenie zasad zarządzania ryzykiem ICT, wymagają od banków, ubezpieczycieli i firm inwestycyjnych przejścia od teoretycznej weryfikacji zabezpieczeń do symulacji realnych ataków w środowisku produkcyjnym.
W skrócie: Kluczowe fakty o testach penetracyjnych w DORA
- TLPT co 3 lata: Kluczowe podmioty finansowe muszą przeprowadzać zaawansowane testy Threat-Led Penetration Testing przynajmniej raz na 3 lata.
- Środowisko produkcyjne: W przeciwieństwie do standardowych testów, TLPT muszą odbywać się na „żywych” systemach produkcyjnych.
- Red Teaming: Testy opierają się na symulacji działań konkretnych grup hakerskich (Threat Intelligence) i wykorzystują taktyki Red Team.
- Zarządzanie ryzykiem: DORA wymaga regularnego testowania systemów ICT (skanowanie podatności, pentesty) jako elementu ciągłego zarządzania ryzykiem.
- Nadzór: Przebieg testów TLPT jest monitorowany przez wyznaczone organy nadzorcze (TLPT Authority).
Czym są testy penetracyjne TLPT wymagane przez DORA?
Testy TLPT (Threat-Led Penetration Testing) to zaawansowane symulacje cyberataków przeprowadzane w środowisku produkcyjnym, oparte na spersonalizowanej analizie zagrożeń (Threat Intelligence) właściwych dla danej organizacji.
W przeciwieństwie do tradycyjnych audytów, TLPT nie skupia się na znalezieniu wszystkich technicznych luk, lecz na sprawdzeniu operacyjnej odporności cyfrowej organizacji w starciu z realnym przeciwnikiem. Proces ten angażuje trzy kluczowe zespoły: Red Team (atakujący, np. zewnętrzni specjaliści z firm takich jak Pentestica), Blue Team (obrońcy organizacji, którzy zazwyczaj nie są informowani o teście) oraz White/Control Team (wewnętrzny zespół nadzorujący bezpieczeństwo testu). Całość procesu jest ściśle nadzorowana przez organy regulacyjne.
Testy penetracyjne DORA – infografika
Jakie są różnice między klasycznym pentestem a testem TLPT?
Klasyczny test penetracyjny koncentruje się na identyfikacji podatności technicznych w określonym zakresie i czasie, podczas gdy TLPT weryfikuje całościową zdolność organizacji (ludzi, procesów i technologii) do obrony przed zaawansowanym atakiem ukierunkowanym.
Poniższa tabela przedstawia kluczowe różnice wpływające na strategię bezpieczeństwa:
| Cecha | Klasyczny Test Penetracyjny | Test TLPT (wg DORA) |
|---|---|---|
| Cel | Wykrycie luk w zabezpieczeniach (podatności). | Ocena odporności na realny scenariusz ataku. |
| Środowisko | Często testowe lub deweloperskie. | Obowiązkowo środowisko produkcyjne. |
| Wiedza obrońców | Zazwyczaj wiedzą o teście. | Działają bez wiedzy o ataku (test reakcji). |
| Podstawa scenariusza | Metodyki ogólne (np. OWASP). | Threat Intelligence (analiza realnych zagrożeń). |
| Zakres | Skupiony na technologii (aplikacja, sieć). | Holistyczny: technologia, ludzie (socjotechnika), procesy. |
| Źródło: | Pentestica.pl | Pentesica.pl |
Jak przebiega proces realizacji testu TLPT?
Proces TLPT jest wieloetapowy i obejmuje fazę przygotowawczą, fazę aktywnych testów (Red Teaming) oraz fazę zamknięcia, w której kluczową rolę odgrywa analiza Purple Teaming.
Zgodnie z wytycznymi, proces ten dzieli się na trzy główne etapy:
- Przygotowanie: Określenie zakresu, zaangażowanie dostawców (Threat Intelligence Provider i Red Team) oraz uzyskanie zgód od organu nadzorczego (TLPT Authority).
- Testowanie: Opracowanie raportu o zagrożeniach (TTI) i realizacja scenariuszy ataku przez Red Team w oparciu o taktyki, techniki i procedury (TTPs) rzeczywistych przestępców.
- Zamknięcie: Wspólna analiza wyników przez atakujących i obrońców (Purple Teaming), opracowanie raportu końcowego i planu naprawczego.
Kto musi przeprowadzać testy penetracyjne pod rządami DORA?
DORA nakłada obowiązek regularnego testowania systemów ICT na wszystkie podmioty finansowe, jednak wymóg zaawansowanych testów TLPT dotyczy tylko podmiotów uznanych za kluczowe przez organy nadzoru.
Wszystkie instytucje finansowe muszą wdrożyć program testowania odporności operacyjnej, obejmujący m.in. skanowanie podatności, testy penetracyjne czy analizy kodu źródłowego. Natomiast obowiązek przeprowadzania TLPT co 3 lata dotyczy podmiotów o istotnym znaczeniu systemowym (np. duże banki, ubezpieczyciele), które zostaną wskazane przez właściwe organy. Co istotne, DORA dopuszcza w pewnych przypadkach realizację testów przez testerów wewnętrznych, pod warunkiem zachowania ich pełnej niezależności i odpowiednich kompetencji, co jest różnicą względem frameworku TIBER-EU.
FAQ – Najczęściej Zadawane Pytania
1. Czy DORA zastępuje framework TIBER-EU? Nie bezpośrednio, ale bazuje na nim. DORA wprowadza obowiązek prawny testów TLPT, który czerpie z metodyki TIBER-EU. Główne różnice to obligatoryjność w DORA (TIBER był dobrowolny) oraz możliwość wykorzystania w DORA testerów wewnętrznych w określonych sytuacjach.
2. Czy testy TLPT są bezpieczne dla systemów produkcyjnych? Tak, pod warunkiem ścisłego nadzoru. Testy te są realizowane przez wysoce wykwalifikowane zespoły (Red Team) pod nadzorem Control Teamu (White Team) wewnątrz organizacji, który posiada uprawnienia do przerwania testu w przypadku ryzyka dla ciągłości działania.
3. Jakie inne testy wymaga DORA poza TLPT? Oprócz TLPT, DORA wymaga od wszystkich podmiotów finansowych regularnego (np. raz w roku) przeprowadzania standardowych testów penetracyjnych, skanowania podatności, analizy bezpieczeństwa aplikacji oraz ocen konfiguracji sieci.
Redakcja Pentestica.pl zespół ekspertów ds. cyberbezpieczeństwa, którzy dzielą się swoją wiedzą i praktycznym doświadczeniem w zakresie testów penetracyjnych, audytów it, regulacji NIS2, MiCA, DORA i nowych technologii. Nasi autorzy to doświadczeni pentesterzy, specjaliści bezpieczeństwa IT oraz konsultanci, którzy z pasją tworzą profesjonalne artykuły, aby przybliżyć Państwu tematykę cyberbezpieczeństwa w praktyce. Znajdą tu Państwo dogłębne analizy zagrożeń, omówienia technik ataków, porady dotyczące ochrony systemów oraz praktyczne wskazówki z zakresu testów penetracyjnych i wdrożeń regulacji. Naszym celem jest dostarczanie rzetelnej i aktualnej wiedzy, która pomoże Państwu lepiej zrozumieć świat cyberbezpieczeństwa i skutecznie chronić swoje zasoby cyfrowe.