Testy threat-led penetration testing (TLPT) – nowe podejście do testowania cyfrowej odporności podmiotów finansowych w Polsce w kontekście obowiązków wynikających z rozporządzenia Digital Operational Resilience Act (DORA)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (rozporządzenie DORA) wprowadziło do unijnego, a tym samym i krajowego, porządku prawnego nowy model testowania cyfrowej odporności podmiotów finansowych działających na polskim rynku finansowym. Zasadniczym celem artykułu jest omówienie i ocena modelu threat-led penetration testing (TLPT), czyli testów penetracyjnych opartych na zagrożeniach. Testy TLPT mogą obejmować zarówno techniczne, jak i socjotechniczne elementy. Hipotezą artykułu jest twierdzenie, że testy TLPT powinny wpłynąć pozytywnie na zwiększanie cyfrowej odporności podmiotów finansowych, gdyż są zaprojektowane tak, aby imitować rzeczywiste cyberataki, co umożliwia organizacjom zrozumienie swojej odporności na zagrożenia oraz podjęcie odpowiednich działań naprawczych. Uzyskane rezultaty analizy potwierdzają postawioną hipotezę badawczą. Wynika to z faktu, że głównym założeniem testów TLPT jest jak najwierniejsze odzwierciedlenie rzeczywistych scenariuszy ataków. Stwarza to możliwość bardziej rzetelnej i szczegółowej oceny poziomu bezpieczeństwa organizacji. Autorzy podkreślają, że takie podejście pozwala nie tylko na weryfikację skuteczności zabezpieczeń infrastruktury teleinformatycznej, lecz także na ocenę odporności procesów operacyjnych oraz poziomu świadomości pracowników w obszarze cyberzagrożeń.