Testy threat-led penetration testing (TLPT) – nowe podejście do testowania cyfrowej odporności podmiotów finansowych w Polsce w kontekście obowiązków wynikających z rozporządzenia Digital Operational Resilience Act (DORA)
Threat-led penetration testing (TLPT) – a new approach to testing digital resilience of financial entities in Poland in the perspective of requirements under the Digital Operational Resilience Act (DORA)

Summary/Abstract: Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector (Digital Operational Resilience Act, DORA) launched a new model for testing the digital resilience of financial services operating in the Polish financial market into the EU and thus into the domestic legal framework. The primary purpose of this article is to discuss and evaluate the Threat-Led Penetration Testing (TLPT) model. TLPT tests can include both technical and sociotechnical components. The hypothesis of the article is that TLPT testing will have a positive impact on enhancing the digital resilience of financial stakeholders because these tests are designed to simulate real-world cyber attacks, enabling organisations to understand their resilience to threats and initiate relevant countermeasures. The results obtained from the analysis confirm the validity of the proposed research hypothesis. This follows from the fact that the fundamental premise of TLPT testing is to replicate real-world attack scenarios as accurately as possible, thereby enabling a more reliable and detailed assessment of organisation’s security posture. The authors emphasise that such an approach allows not only for the verification of the effectiveness of information system safeguards, but also for the evaluation of the resilience of operational processes and the level of employee awareness regarding cyber threats.Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (rozporządzenie DORA) wprowadziło do unijnego, a tym samym i krajowego, porządku prawnego nowy model testowania cyfrowej odporności podmiotów finansowych działających na polskim rynku finansowym. Zasadniczym celem artykułu jest omówienie i ocena modelu threat-led penetration testing (TLPT), czyli testów penetracyjnych opartych na zagrożeniach. Testy TLPT mogą obejmować zarówno techniczne, jak i socjotechniczne elementy. Hipotezą artykułu jest twierdzenie, że testy TLPT powinny wpłynąć pozytywnie na zwiększanie cyfrowej odporności podmiotów finansowych, gdyż są zaprojektowane tak, aby imitować rzeczywiste cyberataki, co umożliwia organizacjom zrozumienie swojej odporności na zagrożenia oraz podjęcie odpowiednich działań naprawczych. Uzyskane rezultaty analizy potwierdzają postawioną hipotezę badawczą. Wynika to z faktu, że głównym założeniem testów TLPT jest jak najwierniejsze odzwierciedlenie rzeczywistych scenariuszy ataków. Stwarza to możliwość bardziej rzetelnej i szczegółowej oceny poziomu bezpieczeństwa organizacji. Autorzy podkreślają, że takie podejście pozwala nie tylko na weryfikację skuteczności zabezpieczeń infrastruktury teleinformatycznej, lecz także na ocenę odporności procesów operacyjnych oraz poziomu świadomości pracowników w obszarze cyberzagrożeń.

• Details
• Contents