Cyberodporność
Prelegenci
Maciej Wiśniewski Senior Consultant
Deloitte, Risk Advisory - Cyber
Adam Rafajeński Director
Deloitte, Risk Advisory - Cyber
Pytanie 1
Co to jest Cyberodporność?
Cyberodporność w kontekście
zarządzania ciągłością usług
Obiekty cyberodporności
03
05
01 Goals
Approaches Objectives
Techniques
Strategic Design Principles
Structural Design Principles
04
06
02
Powiązania pomiędzy obiektami Cyberodporności
Risk Management
Strategy
Goals Objectives
Techniques Approaches
Structural Design Principles
Strategic
Design
Principles
Goals
Anticipate
Withstand
Recover
Evolve / Adapt
03 02 01
04
Objectives
Understand
Prepare
Transform
Continue Prevent / Avoid
Constrain
Reconstitute
Re-Architect
05 03 01
07
06 04 02
08
Strategic Design Principles
03 01
04 02
Focus on common
critical assests Support agility and
architect for adaptability
Assume Compromised resources
Reduce attack Surface
05 Expect adversaries
to evolve
Structural Design Principles
Limit the need for trust
Control visibility and use
Contain and exclude
behaviors
Layer and partition defenses Plan and
manager diversity
Maintain redundancy
Make resources location-
versatile
Leverage health and status data Maintain
situational awareness
Manage
resources risk - adaptively
Maximize transience;
Minimize persistence
Determine ongoing
trustworthiness Change or
disrupt attack surface
Make unpredictability and deception user-transparent
09 05 01
13
10 06 02
14
12 08 04
11
07
03
Techniques
Adaptive Response
Analytic Monitoring
Coordinated
Defense Deception
Diversity Dynamic
Positioning
Dynamic
Representation
Non-
Persistence
Privilage
Restriction Realignment Redundancy Segmentation
Substantiated
Integrity Unpredictability
12 08 04
09 05 01
13
10 06 02
14
11
07
03
Pytanie 2
Zarządzanie ryzykiem w cyberodporności
Projektowane akty ustawodawcze
§Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa
§Potencjalne uznanie dostawcy usług Banku za dostawcę wysokiego ryzyka
§Nowe instrumenty reagowania na incydenty – ostrzeżenie i polecenie zabezpieczające
§rekomendacje pełnomocnika do spraw Cyberbezpieczeństwa
§DORA (Digital Operational Resilience Act)
§Przypisanie odpowiedzialności za cyberbezpieczeństwo Zarządowi
§Wymóg testowania cyfrowej odporności operacyjnej (regularnych i pełnych testów penetracyjnych w przypadku podmiotów kluczowych)
§Weryfikacja poddostawców i unikanie potencjalnego uzależnienia się od usług jednego podmiotu.
Legislacja dotycząca cyberodporności
Projektowane akty ustawodawcze cd.
§NIS 2.0.
§Rozszerzony zakres raportowania m.in. o zidentyfikowanych zagrożeniach mogących doprowadzić do incydentu
§Aktualizacja procesu raportowania poprzez ustanowienie nowych terminów do składania wstępnych i aktualizujących informacji o incydentach
§Nowe środki nadzorcze, w tym w szczególności wyższe kary nadzorcze, a także możliwość cofnięcia zezwolenia na prowadzenia określonego rodzaju działalności
Legislacja dotycząca cyberodporności
Podsumowanie
Q&A
Nazwa Deloitte odnosi się do jednego lub kilku podmiotów Deloitte Touche Tohmatsu Limited („DTTL”), jej firm członkowskich oraz ich podmiotów powiązanych (zwanych łącznie „organizacją Deloitte”).
DTTL (zwana również „Deloitte Global”), każda z jej firm członkowskich i podmiotów z nimi powiązanych są prawnie odrębnymi, niezależnymi podmiotami, które nie mogą podejmować decyzji ani
zobowiązań za inne podmioty wobec osób trzecich. DTTL, każda z jej firm członkowskich i podmiotów powiązanych ponoszą odpowiedzialność wyłącznie za własne działania i zaniechania, a nie za działania i zaniechania innych firm członkowskich i podmiotów powiązanych. DTTL nie świadczy usług na rzecz klientów. Zapraszamy na stronę www.deloitte.com/pl/onas w celu uzyskania dalszych informacji.
Deloitte to wiodąca, międzynarodowa firma świadcząca klientom usługi obejmujące m.in. audyt, konsulting, doradztwo finansowe, zarządzanie ryzykiem, doradztwo podatkowe. Nasza globalna sieć firm członkowskich i podmiotów powiązanych (zwana łącznie „organizacją Deloitte”) obejmuje ponad 150 krajów i terytoriów i świadczy usługi na rzecz czterech z pięciu spółek z rankingu Fortune Global 500®.
Aby dowiedzieć się, w jaki sposób około 312 000 pracowników Deloitte realizuje misję firmy, zachęcamy do odwiedzenia strony: www.deloitte.com.
W Polsce usługi na rzecz klientów świadczą: Deloitte Advisory spółka z ograniczoną odpowiedzialnością sp.k., Deloitte Poland sp. z o.o., Deloitte Audyt spółka z ograniczoną odpowiedzialnością sp.k., Deloitte Doradztwo Podatkowe Dąbrowski i Wspólnicy sp.k., Deloitte PP sp. z o.o., Deloitte Advisory sp. z o.o., Deloitte Consulting S.A., Deloitte Legal, Ostrowski, Gizicki i Wspólnicy sp. k., Deloitte Digital sp. z o.o.
(wspólnie określane mianem „Deloitte Polska”), będące jednostkami powiązanymi z Deloitte Central Europe Holdings Limited. Deloitte Polska jest jedną z wiodących firm doradczych w kraju, świadczącą usługi profesjonalne w obszarach: audytu, doradztwa podatkowego, konsultingu, zarządzania ryzykiem, doradztwa finansowego oraz prawnego za pośrednictwem ponad 2300 profesjonalistów z Polski i