-
DORA nie tylko dla instytucji finansowych
DORA – Digital Operational Resilience Act. By przetrwać, reagować i odzyskać sprawność. A być może również, by ujednolicić podejście. W tym tekście o tym, że DORA to nie tylko regulacja dla instytucji finasnowych. Zastanówmy się również wspólnie kto i jak może się przygotować. DORA będzie to rozporządzenie, a zatem podobnie jak RODO będzie obowiązywać bezpośrednio. Nie znaczy to jednak, że DORA nie zostanie nadpisana stanowiskami organami nadzoru lub rozporządzeniami technicznymi. Czy to punkt przełomowy w unijnych regulacjach dla sektora finansowego? Nie mam zielonego pojęcia, nie odważę się na taką tezę. Bezpieczniej za to można stwierdzić, że jest to rzeczywiście regulacja, kóra odpowiada na widoczne na rynku problemy bezpieczeństwa produktów, jak…
-
DORA, sektor finansowy oraz dostawcy IT.
Digital Operational Resilience Act (#DORA) By: przetrwać, reagować i odzyskać sprawność: Albo, jeśli ktoś woli, na kwestie cyfrowej odporności możemy spojrzeć także słowami przewodniczącej KE: Jeśli wszystko jest połączone, to wszystko może być podatne – na ataki. Na stronie Rady UE i Rady Europejskiej (consilium) 11 maja 2022 opublikowano informację, że Rada UE i Parlament Europejski osiągnęły porozumienie w sprawie DORA. 11 lipca 2022 w pierwszym czytaniu w Komisji zatwierdzono tekst aktu. Na 9 listopada 2022 zaś zaplanowano kolejne posiedzenie plenarne Parlamentu Europejskiego w tej sprawie. Po co w ogóle nam ten akt? DORA ma stanowić podstawy dla stworzenia przejrzystych podstaw dla unijnych organów nadzoru. Cel to utrzymanie stabilnej działalności…
-
Przetwarzanie danych w USA. RODO a Cloud Act.
Jakiś czas temu (w 2020 r.) pisałem o barierach związanych z przetwarzaniem danych w chmurze. W katalogu tych barier znalazły się także wątki prawne. Poszukując podstaw przetwarzania europejskich danych osobowych przez dostawców z USA rozważało się wówczas (i warto dalej rozważać) ryzyka związane z dostępem służb państw trzecich do transferowanych danych. Chodzi tutaj, między innymi o CLOUD ACT. US CLOUD ACT A RODO CLOUD Act (Clarifying Lawful Overseas Use of Data Act), nazwa bynajmniej nie pochodzi od chmury, niemniej dotyczy legalnego przetwarzania danych za granicą. Założeniem Cloud Act było rozwiązanie problemu w uzyskiwaniu danych przez administrację państwową, gdy amerykański dostawca przechowywał dane poza terenem USA. Przepisy miała także odpowiedzieć na…
-
Travel Rule w „niewidocznym” Rozporządzeniu WTR2
Dokładniej chodzi o Rozporządzenie 2015/847 z dnia 20 maja 2015 r. w sprawie informacji towarzyszącej transferom środków pieniężnych. Rozporządzenie to zwane bywa również WTR2 albo FTR2, co pochodzi od wyrażenia Wire Transfer Regulation i Funds Transfer Regulation. Szczegółów projektu tym razem Wam oszczędzę, bo są dużo ciekawsze rzeczy, a mianowicie cały kontekst zmian oraz reakcja rynku crypto na te zmiany. Ograniczymy się więc tylko do celu oraz istoty zmiany: 1. Cel, to oczywiście ochrona integralności, stabilności i wiarygodności sektora finansowego, „ponieważ pranie pieniędzy nadal stanowi poważny problem, którym Unia powinna się zająć”. 2. Istota polega na objęciu zakresem rozporządzenia informacji towarzyszących transferom kryptowalut. 3. W konsekwencji dostawcy usług polegających na transferze krypto, występujący…
-
Włamanie na Bitfinex, śledztwo i zablokowanie środków.
Słyszeliście o włamaniu na giełdę walut wirtualnych Bitfinex? To zdarzenie, które doczekało się własnego wpisu na Wikipedii, w której możemy przeczytać: „The Bitfinex cryptocurrency exchange was hacked in August 2016 in the second-largest breach of a Bitcoin exchange platform up to that time. 119,756 bitcoin, worth about US$72 million at the time, were stolen”. Odnotujmy jeszcze, że wartość skradzionej kryptowaluty na dzień 26 maja 2022 r. to ponad 3,5 miliarda dolarów. Mamy więc mocny przykład, który pozwala uznać, że hostowane portfele, czyli takie które są dostarczane i zarządzane przez strony trzecie aż do wydania dyspozycji przez użytkownika, są: niebezpieczne, podatne na ataki, a użytkownicy narażeni są na stratę. Jednak w…
-
Czy jesteśmy zdolni przygotować się na niespodziewane?
Tekst ten powstał na kanwie wątków związanych z: pandemią, neutralnym technologicznie podejściem prawodawcy, certyfikacji oraz tytułową możliwością przygotowania się na niespodziewane. Wiele dyscyplin w jednym Polityka bezpieczeństwa jest zagadnieniem interdyscyplinarnym, którym należy zarządzać przy współpracy: zarządzających procesami w organizacji, specjalistów od cyberbezpieczeństwa oraz prawników czy inspektorów ochrony danych osobowych. Nie sposób ograniczyć roli jednych kosztem innych. Poszukując ram prawnych dla tych zagadnień, należy brać pod uwagę przepisy dotyczące: • ochrony danych osobowych: RODO oraz regulacje poszczególnych państw członkowskich; • cyberbezpieczeństwa: Cybersecurity Act oraz Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. (UKSC); • przepisy sektorowe, takie jak: Ustawa o świadczeniu usług drogą elektroniczną czy Prawo telekomunikacyjne…
-
Pandemia COVID-19 a cyberprzestępcy [INTERPOL, EUROPOL]
W tym texcie na podstawie raportów globalnych agencji (INTERPOL, EUROPOL) opowiemy sobie o tym: jakimi wartościami kierują się cyber gangi? czy szpitale są wolne od ataków i czy przestępcy lubią firmy farmaceutyczne? jak przestępcy wykorzystują pandemię? jakie rodzaje ataków są najbardziej popularne? (zob. przykład z dywanem) jak reagują na to największe agencje na świecie? Czy cyber przestępcy atakują szpitale? Niektóre z ransomware’owych gangów ogłosiły, że w czasie pandemii nie będą atakować podmiotów zdrowotnych i medycznych. Co dokładnie cyber gangi mówią? Wczytajmy się więcej w to, co odpowiedział jeden z gangów (ładne słowo w tym kontekście) na zadane mu przez BleebingComputer pytania. CLOP Ransomware potwierdził, że nigdy nie atakował szpitali i…
Może Ci się spodobać
Czy najemca w Galerii handlowej musi płacić czynsz? [II]
-
CZY BANALNY CYBERATAK CIĘ NIE DOTYCZY?
Przywykliśmy do opowiadania w ramach dowcipów niejednokrotnie dramatycznych historii ofiar nigeryjskiego księcia. Taka postawa jedynie sprawia wrażenie, że uczymy się na cudzych błędach, a de facto tracimy czujność. Nie chodzi o nic innego jak socjotechnikę wykorzystywaną w popularnym scamie, który od dziesięcioleci przebija się przez filtry antyspamowe. A polega on na zaoferowaniu pracownikowi Twojej firmy niepowtarzalnej inwestycji (diamenty, pomoc w nabyciu spadku) za drobną opłatą lub podanie danych osobowych, w tym numeru karty kredytowej. Oczywiście to najbardziej popularne, w rzeczywistości biznesowej najczęściej będziemy mieć do czynienia z prośbą o uregulowanie faktury czy pilnym zleceniu przelewu w imieniu kogoś, kto w organizacji wzbudza szacunek… Czy wiedzieliście, że nigeryjski książę wciąż…
-
Co znaczą wytyczne FATF dla walut wirtualnych [AML / CRYPTO]
O czym? W tym texcie powiemy sobie o przeciwdziałaniu praniu pieniędzy w kontekście rynku walut wirtualnych. Bądź czujny, bo na marginesie zwracam uwagę na ciekawe ostatnio wykopanie z rynku niemieckiego dostawcy bitomatów… Globalne podejścia do zagadnienia nie opiera się jedynie o przepisy prawa, a niejednokrotnie o wypracowane praktyki oraz stanowiska organizacji takich jak nazywany na tym blogu światowy szeryf – FATF. Przypominamy pojęcia, które mają konsekwencje Powróćmy na chwilę do wytycznych FATF z czerwca 2019 r. traktujących o walutach wirtualnych i dostawców usług, usług z tymi walutami związanych (VASP). Zanim odeślę Was do mojego textu, gdzie już się tym zajmowałem (tak, muszę to zrobić), to dla porządku: przypominamy sobie teraz…
-
Bezpieczeństwo danych w chmurze i inne bariery #cloud
CHMURA W MODZIE Rozwój usług chmurowych widoczny jest na pierwszy rzut oka – aktywna na tym polu jest administracja państwowa oraz biznes (zob. liczne raporty oraz konferencje o migracji do chmury). Jak dotąd w Polsce nie możemy mówić o masowej adaptacji chmury. O niewielkim poziomie adaptacji chmury w polskim biznesie – w odniesieniu do państw członkowskich UE – mówią nam dane. Według Eurostatu w Polsce w 2018 r. 11,5 % biznesu (przedsiębiorstw zatrudniających ponad 9 pracowników) korzystało z rozwiązań chmurowych, gdzie, np. w Estonii (33,9 %), Danii (55,6 %), Szwecji (57,2 %) i wreszcie Finlandii (65,3 %). Więcej na ten temat pisałem tutaj. Co jest jeszcze ciekawe w tym kontekście…
