Penetrační testování podle DORA: Nové výzvy pro finanční sektor

DORA vyžaduje komplexní přístup k penetračnímu testování

Nařízení DORA je účinné již od 17. ledna 2025. DORA zavádí dva přístupy k penetračnímu testování, které reflektují různou míru rizika a komplexitu finančních institucí. První přístup, Threat-Led Penetration Testing (TLPT, penetrační testování založené na hrozbách), představuje nejvyšší standard v oblasti bezpečnostního testování. TLPT simuluje reálné techniky, taktiky a postupy známých hackerských skupin, přičemž využívá metodiku TIBER-EU.

Proces TLPT začíná důkladnou fází Threat Intelligence, během které analytici zkoumají aktuální hrozby a vytvářejí relevantní útočné scénáře založené na reálných incidentech. V následující fázi Red Teaming specializovaný tým simuluje sofistikované útoky podle připravených scénářů, přičemž využívá stejné nástroje a postupy jako skuteční útočníci. Během Purple Teamingu dochází k úzké spolupráci mezi útočným a obranným týmem, což umožňuje maximalizovat efektivitu testování a zároveň minimalizovat rizika pro produkční prostředí. Celý proces uzavírá detailní reporting, který obsahuje nejen popis nalezených zranitelností, ale i konkrétní doporučení pro zvýšení odolnosti systémů.

Druhý přístup definovaný v DORA představuje standardní penetrační testování. To se zaměřuje na systematické odhalování technických zranitelností prostřednictvím kombinace automatizovaných a manuálních technik. Testování začíná komplexním skenováním systémů podle uznávaných standardů jako například OWASP, PTES(Penetration Testing Execution Standard) nebo NIST SP 800-115. Následuje hloubková manuální analýza webových aplikací, rozhraní API a síťové infrastruktury penetračními testery. Součástí procesu je rovněž důkladné prověření konfigurace bezpečnostních prvků a posouzení rizik spojených se sociálním inženýrstvím.

Frekvence testování

Pravidelnost testování hraje klíčovou roli. DORA jasně stanovuje minimální intervaly testování – všechny povinné finanční instituce, kromě mikropodniků by měly provádět testování zásadních či kritických systémů každoročně, systémově významné finanční subjekty pak penetrační testování založené na hrozbách v intervalu minimálně každé tři roky. Dodržování těchto harmonogramů vyžaduje efektivní plánování a alokaci zdrojů, aby bylo zajištěno, že testování nezasáhne do běžných operací organizace.

Technické aspekty penetračního testování

Při testování webových aplikací se odborníci zaměřují na několik kritických oblastí zabezpečení. Základem je důkladné prověření ochrany proti injekčním útokům, které zahrnují SQL injection, NoSQL injection a command injection. Testeři následně analyzují možnosti Cross-Site Scripting (XSS) a Cross-Site Request Forgery (CSRF), které představují významné riziko pro webové aplikace. Významnou součástí je také kontrola mechanismů autentizace a správy uživatelských sessions, společně s ověřením správného zabezpečení přímých referencí na objekty.

V oblasti síťové infrastruktury probíhá komplexní analýza zabezpečení síťových protokolů a konfigurace bezpečnostních prvků. Testeři prověřují nastavení firewallů a systémů IPS/IDS, aby odhalili případné mezery v ochraně. Důkladnému testování podléhá také zabezpečení VPN připojení a schopnost systémů odolávat DDoS útokům.

Procesní rámec a implementace DORA

Implementace požadavků DORA v oblasti penetračního testování vyžaduje systematický přístup rozdělený do několika fází. 

• Přípravná fáze začíná důkladnou analýzou rizik a stanovením přesného rozsahu testování. Následuje identifikace kritických systémů a definice testovacích scénářů. Součástí je také pečlivý výběr kvalifikovaného poskytovatele testování s odpovídajícími certifikacemi a zkušenostmi.

• Během realizační fáze probíhá kontinuální monitoring dopadu testů na testované systémy. Klíčová je pravidelná komunikace mezi testovacím týmem a správci systémů. Každá nalezená zranitelnost je pečlivě zdokumentována a průběžně se vyhodnocují související rizika.

• Vyhodnocovací fáze zahrnuje podrobnou kategorizaci nalezených zranitelnostípodle jejich závažnosti a potenciálního dopadu. Na základě této analýzy se stanovují priority pro implementaci nápravných opatření. Výstupem je detailní plán implementace bezpečnostních opatření podpořený komplexní reportingovou dokumentací.

Systematický přístup k nápravě bezpečnostních slabin

Efektivní implementace nápravných opatření vyžaduje kontinuální přístup k bezpečnosti. Organizace musí pravidelně přehodnocovat svoje postupy a politiky v oblasti kybernetické bezpečnosti a digitální odolnosti a přizpůsobovat je novým hrozbám. Významnou roli hraje automatizace bezpečnostních testů v oblastech, kde je to možné a efektivní. Nezbytnou součástí je také průběžné vzdělávání bezpečnostních týmů a pravidelná aktualizace bezpečnostních politik podle nejnovějších poznatků a trendů.

I podle odborných studií, např.  „Zmírňování interních hrozeb: Role penetračního testování“ je penetrační testování sice pro zmírnění interních hrozeb klíčové, avšak musí být součástí komplexní bezpečnostní strategie. Ta zahrnuje průběžné monitorování, pravidelné bezpečnostní audity a adaptivní mechanismy reakce. Autoři studie docházejí k závěru, že organizace musí zaujmout aktivní, vícevrstvý přístup k účinnému boji proti rostoucí výzvě bezpečnostních hrozeb a zranitelností.

Začněte chránit svoji firmu, dokud je čas!

Úspěšná implementace požadavků DORA a zajištění digitální provozní odolnosti finanční instituce vyžadují pečlivé plánování, strategické rozhodování a proaktivní přístup. Klíčovým prvním krokem je důkladná analýza specifických potřeb organizace, která zohlední její velikost, komplexitu provozu a rizikový profil. Tato analýza by měla zahrnovat nejen posouzení současného stavu kybernetické bezpečnosti, ale také identifikaci konkrétních oblastí, které je třeba zlepšit.

Pro úspěšnou implementaci DORA je kromě počáteční analýzy nezbytné vytvořit i jasně definovaný harmonogram penetračního testování s dostatečnou kapacitou interních zdrojů a kvalifikovaných externích partnerů. Organizace by měly implementovat efektivní systém řízení zranitelností, který umožní rychlou nápravu zjištěných nedostatků a poskytne přehledný reporting pro management i dohledové úřady. Pravidelné přehodnocování bezpečnostních postupů, aktivní sledování nových hrozeb a kontinuální vzdělávání bezpečnostních týmů jsou základními předpoklady pro dlouhodobé udržení požadované úrovně digitální odolnosti. DORA tak představuje nejen regulatorní povinnost, ale především příležitost pro systematické posílení kybernetické bezpečnosti finančních institucí.

Článek je publikován také na doméně GDPR.cz