Wzmocnienie ciągłości działania dzięki ustawie o cyfrowej odporności operacyjnej (DORA)
Chociaż cyfryzacja przyniosła wiele korzyści, zwiększyła ona również zależność sektora finansowego od technologii informacyjno-komunikacyjnych (ICT), co prowadzi do pojawienia się nowych zagrożeń cyfrowych, takich jak cyberataki, awarie systemów ICT, uszkodzenia i utrata danych. Aby przeciwdziałać zagrożeniom bezpieczeństwa i poprawić odporność operacyjną w sektorze finansowym, Unia Europejska ratyfikowała DORA, czyli ustawę o cyfrowej odporności operacyjnej.
W tym wpisie na blogu omówiono, w jaki sposób nowe rozporządzenie UE może pomóc podmiotom finansowym w poprawie zarządzania ryzykiem związanym z ICT, przyczyniając się do zwiększenia bezpieczeństwa ekosystemu finansowego. Omówiono również, w jaki sposób NAKIVO może pomóc instytucjom finansowym w osiągnięciu zgodności z DORA.
Czym jest ustawa o cyfrowej odporności operacyjnej (DORA)?
Przegląd i cel ustawy DORA
Ustawa o cyfrowej odporności operacyjnej (DORA) to rozporządzenie UE nr 2022/2554, formalnie przyjęte przez Parlament Europejski i Radę Unii Europejskiej w listopadzie 2022 r. Pierwszy projekt DORA został zaproponowany w 2020 r. w ramach pakietu finansów cyfrowych (DFP), który określał strategię UE, zalecenia i wniosek legislacyjny w sprawie aktywów kryptograficznych, łańcucha bloków i odporności cyfrowej dla sektora finansowego.
Rozporządzenie ma na celu ustanowienie ujednoliconych ram prawnych dla instytucji finansowych UE i ich zewnętrznych dostawców usług informatycznych w celu wzmocnienia odporności operacyjnej i bezpieczeństwa systemów ICT. Innymi słowy, jednym z głównych celów DORA jest ograniczenie cyberzagrożeń, naruszeń bezpieczeństwa ICT i zakłóceń w sektorze finansowym.
Instytucje finansowe i ich zewnętrzni dostawcy usług ICT powinni wdrożyć ramy DORA i normy techniczne do 17 stycznia 2025 r.
Organy regulacyjne egzekwujące DORA
Mimo że UE oficjalnie przyjęła DORA w 2022 r., europejskie organy nadzoru (ESA) nadal opracowują regulacyjne standardy techniczne (RTS) na mocy tej ustawy. Trzy europejskie organy nadzoru – Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) – przeprowadzili pierwsze wydanie projektu w styczniu 2024 r. i oczekuje się, że sfinalizują RTS do końca roku. Po przedłożeniu przez europejskie organy nadzoru ostatecznej wersji RTS Komisji Europejskiej standardy te zostaną ratyfikowane przez Parlament i Radę.
Egzekwowanie RTS i nadzór nad zgodnością leżą w gestii odpowiednich krajowych organów właściwych, które nie zostały jeszcze ostatecznie wyznaczone. Egzekwowanie rozpocznie się po wyznaczeniu organów i upływie terminu wyznaczonego na styczeń 2025 r.
Kluczowe wymagania ustawy DORA
Rozporządzenie DORA określa wymagania bezpieczeństwa dotyczące sieci i systemów ICT instytucji finansowych oraz ich zewnętrznych dostawców. Wymagania te obejmują cztery główne aspekty bezpieczeństwa ICT:
- Zarządzanie ryzykiem ICT (rozdział II). Podkreślenie odpowiedzialności kierownictwa za zakłócenia w funkcjonowaniu systemów ICT oraz ustanowienie wspólnych ram wykrywania, identyfikacji, zarządzania i ograniczania zagrożeń ICT.
- Zarządzanie incydentami ICT, ich klasyfikacja i zgłaszanie (rozdział III). Ujednolicenie obowiązków w zakresie zgłaszania incydentów związanych z technologiami informacyjno-komunikacyjnymi (ICT) oraz rozszerzenie zakresu incydentów podlegających zgłoszeniu do organów nadzorczych.
- Testy odporności operacyjnej systemów cyfrowych (rozdział IV). Wprowadzenie obowiązku przeprowadzania co najmniej co trzy lata testów odporności krytycznych systemów ICT opartych na analizie ryzyka, z wykorzystaniem zaawansowanych testów penetracyjnych opartych na scenariuszach zagrożeń (TLPT).
- Zarządzanie ryzykiem związanym z podmiotami zewnętrznymi w obszarze ICT (rozdział V). Wymagania dotyczące ustanowienia przez instytucje finansowe zasad monitorowania ryzyka w odniesieniu do dostawców zewnętrznych, w tym uwzględnienia w umowach postanowień dotyczących ryzyka, oraz nakładanie kar za nieprzestrzeganie tych zasad.
- Wymiana informacji (rozdział VI). Wprowadzenie mechanizmów wymiany informacji, w ramach których podmioty finansowe mogą wymieniać się informacjami i danymi wywiadowczymi dotyczącymi cyberzagrożeń w celu podnoszenia świadomości na temat nowych zagrożeń oraz dzielenia się strategiami ograniczania zagrożeń.
Kto musi przestrzegać ustawy o cyfrowej odporności operacyjnej?
Organizacje objęte zakresem DORA
Instytucje finansowe oraz podmioty, których działalność ma kluczowe znaczenie dla infrastruktury sektora finansowego, wchodzą w zakres DORA:
- Instytucje kredytowe i płatnicze
- Instytucje pieniądza elektronicznego
- Dostawcy usług związanych z kryptowalutami
- Firmy inwestycyjne i zarządzający alternatywnymi funduszami inwestycyjnymi
- Towarzystwa ubezpieczeniowe i reasekuracyjne oraz pośrednicy
- Systemy obrotu i repozytoria transakcji
- Fundusze emerytalne
- Centralne depozyty papierów wartościowych, kontrahenci centralni i repozytoria sekurytyzacji
- Dostawcy usług, w tym usług takich jak informacje o rachunkach, raportowanie danych, zarządzanie, finansowanie społecznościowe
- Agencje ratingowe
- Administratorzy kluczowych wskaźników referencyjnych
- Zewnętrzni dostawcy usług ICT, w tym dostawcy usług w chmurze
Ryzyko związane z nieprzestrzeganiem przepisów DORA
DORA upoważnia państwa członkowskie do podejmowania decyzji w sprawie kar administracyjnych lub środków naprawczych w przypadku nieprzestrzegania przepisów. Ustawa pozwala również państwom członkowskim na stosowanie sankcji karnych w przypadku naruszeń podlegających krajowemu prawu karnemu.
W ten sposób DORA określa możliwe minimalne środki, które państwa członkowskie mogą zastosować w celu zapewnienia skutecznego wdrożenia wytycznych DORA, w tym wydawanie publicznych not oraz, w niektórych przypadkach, wezwań do zaprzestania wszelkiej działalności niezgodnej z przepisami, tymczasowo lub na stałe. Rozporządzenie DORA upoważnia również europejskie organy nadzoru (ESA) do wyznaczania zewnętrznych dostawców usług w zakresie technologii informacyjno-komunikacyjnych (ITC), mających kluczowe znaczenie dla sektora finansowego, oraz do wyznaczania głównego organu nadzorczego dla każdego z tych kluczowych dostawców. Główne organy nadzorcze posiadają takie same uprawnienia jak właściwe organy i mogą wymagać od dostawców ITC, którzy nie przestrzegają przepisów, podjęcia działań naprawczych oraz nałożenia kar. Rozporządzenie DORA upoważnia główne organy nadzorcze do nakładania grzywien w wysokości do 1% średniego dziennego obrotu dostawcy ITC na całym świecie w poprzednim roku. Grzywna ta może być nakładana codziennie przez okres do 6 miesięcy lub do momentu osiągnięcia zgodności.
Jak rozporządzenie DORA wpływa na podmioty finansowe i zewnętrznych dostawców
Mimo że rzeczywiste standardy nie zostały jeszcze sfinalizowane, rozporządzenie DORA określa ogólne wymagania i zalecenia dotyczące tego, w jaki sposób sektor finansowy powinien ujednolicić swoje praktyki w zakresie zarządzania ICT oraz środki bezpieczeństwa.
Jeśli jesteś zewnętrznym dostawcą ICT, takim jak dostawca usług w chmurze, pierwszym krokiem powinno być ustalenie, czy zgodnie z art. 31 (sekcja II) jesteś uznawany za podmiot o znaczeniu krytycznym. Dostawcy o znaczeniu krytycznym podlegają regulacjom DORA tak samo jak inne podmioty finansowe.
DORA wymaga od instytucji finansowych oceny ryzyka związanego z dostawcami zewnętrznymi oraz określenia zasad zarządzania incydentami w umowach o świadczenie usług. Tak więc jako dostawca o znaczeniu niekrytycznym współpracujący z organizacjami finansowymi będziesz zobowiązany do ograniczania ryzyka, które może potencjalnie wpłynąć na organizację finansową.
Dostosowania operacyjne wymagane przez DORA
DORA kładzie nacisk na odpowiedzialność kierownictwa za zakłócenia w działaniu systemów ICT i wymaga od instytucji finansowych opracowania oraz utrzymywania kompleksowych ram ograniczania ryzyka związanego z ICT. Ramy te powinny obejmować:
- Określone role i obowiązki kierownictwa oraz zaangażowanego personelu
- Regularną ocenę ryzyka ICT w celu identyfikacji i monitorowania ryzyka w systemach ICT, procesów i aktywów
- Bieżące monitorowanie systemów ICT pod kątem potencjalnych zagrożeń
- Ustrukturyzowane i szczegółowe procedury zapobiegania, zarządzania i reagowania na incydenty ICT, w tym plany reagowania na incydenty i plany ciągłości działania
- Ciągła aktualizacja i ulepszanie praktyk i środków w oparciu o analizę incydentów
- Protokoły komunikacji w przypadku incydentów dla klientów i innych interesariuszy, zarówno zewnętrznych, jak i wewnętrznych, w celu zapewnienia przejrzystości i zaufania podczas zakłóceń w działaniu systemów ICT
- Jasne protokoły zgłaszania incydentów organom regulacyjnym i innym odpowiednim podmiotom w zależności od ich powagi Incydent
Wzmocnione praktyki zarządzania ryzykiem
Oprócz ciągłego monitorowania ryzyka związanego z technologiami informacyjno-komunikacyjnymi (ICT) rozporządzenie DORA nakłada obowiązek regularnego testowania systemów i zasobów pod kątem narażenia na ryzyko ICT. Instytucje finansowe ponoszą odpowiedzialność za ryzyko związane z zewnętrznymi dostawcami usług ICT oraz za postępowanie wobec dostawców nieprzestrzegających przepisów. W szczególności rozporządzenie DORA wymaga od podmiotów finansowych uwzględnienia w umowach z dostawcami, z którymi współpracują, postanowień dotyczących zarządzania ryzykiem ICT.
Ustawa podkreśla znaczenie strategii prewencyjnych, które obejmują testowanie istniejących środków odporności i bezpieczeństwa w celu identyfikacji słabych punktów systemów i protokołów oraz analizę i raportowanie po incydentach. DORA zachęca również do uczenia się w całej branży oraz organizowania wydarzeń, podczas których instytucje finansowe mogą dzielić się swoim doświadczeniem i wiedzą.
Wzmocnione standardy cyberbezpieczeństwa i ochrony danych
DORA uznaje cyberbezpieczeństwo i ochronę danych za główne czynniki wpływające na odporność operacyjną organizacji i wymaga od podmiotów finansowych:
- wdrażanie środków bezpieczeństwa, takich jak kontrola dostępu i szyfrowanie
- opracowywanie planów ciągłości działania i odzyskiwania awaryjnego danych
- korzystanie z narzędzi do ciągłego monitorowania zagrożeń ICT i wykrywania złośliwego oprogramowania w czasie rzeczywistym
- zapewnienie terminowych aktualizacji oprogramowania i sprzętu w celu ograniczenia podatności na zagrożenia
- przeprowadzanie regularnych ocen podatności, obejmujących testy penetracyjne i scenariusze
W przypadku środowisk krytycznych i obszarów wysokiego ryzyka oczekuje się, że podmioty będą przeprowadzać okresowe zaawansowane testy, takie jak testy typu „red team”, a nawet będą zobowiązane do udziału w branżowych ćwiczeniach testowych.
- szybko zgłaszaj incydenty interesariuszom i organom w celu zapewnienia przejrzystości podczas incydentów oraz umożliwienia innym organizacjom wyciągania wniosków z incydentów
Opinie ekspertów na temat ustawy o cyfrowej odporności operacyjnej
Wnioski specjalistów ds. cyberbezpieczeństwa
„DORA wymaga od instytucji finansowych opracowania odpowiedniej polityki bezpieczeństwa danych oraz solidnej sieci opartej na podejściu opartym na ryzyku. Czy praktyki określone w DORA są nowością w branży? Nie, istnieją już od dziesięcioleci. Jednak pomimo stale rosnącego ryzyka cyberataków, takich jak oprogramowanie wymuszające okup, niektóre organizacje nie wdrożyły jeszcze lub wdrożyły tylko częściowo najbardziej podstawowe środki bezpieczeństwa” – mówi Sergei Serdyuk, wiceprezes w NAKIVO.
Prognozy dotyczące przyszłości DORA
„DORA toruje drogę do wzmocnienia cyberbezpieczeństwa w branży finansowej. Miejmy nadzieję, że z czasem regulacje te zostaną rozszerzone również na inne sektory. Wraz z postępującą cyfryzacją na skalę globalną i rozwojem sztucznej inteligencji coraz więcej branż i organizacji narażonych jest na zagrożenia związane z cyberbezpieczeństwem. W wielu przypadkach nie oznacza to indywidualnej straty organizacji, czy to finansowej, czy reputacyjnej, ale zwiększone ryzyko zakłóceń w branży i międzybranżowych z powodu współzależności między organizacjami”. —Sergei Serdyuk, wiceprezes w NAKIVO.
Kroki zapewniające zgodność z DORA dzięki NAKIVO
DORA zwraca szczególną uwagę na procedury wykonywania kopii zapasowych i replikacji (art. 11–12), ponieważ mają one bezpośredni wpływ na dostępność usług, ciągłość działania i bezpieczeństwo danych firmy. DORA zobowiązuje podmioty do zapewnienia bezpieczeństwa transferu danych oraz zminimalizowania ryzyka uszkodzenia i utraty danych, a także nieodpowiednich praktyk zarządzania danymi i błędów ludzkich.
NAKIVO Backup & Replication to kompleksowe rozwiązanie do ochrony danych, które umożliwia wykonanie kopii zapasowej, replikację, konfigurację i automatyzację procesów odzyskiwania awaryjnego oraz monitorowanie obciążeń z poziomu jednego interfejsu internetowego.
Rozwiązanie obsługuje środowiska wirtualne, chmurowe, fizyczne, NAS, SaaS i hybrydowe, co sprawia, że doskonale nadaje się do pomocy podmiotom finansowym różnej wielkości w zapewnieniu najwyższej klasy ochrony danych. Rozwiązanie płynnie współpracuje z różne rodzaje magazynów, w tym z urządzeniami do deduplikacji i urządzeniami NAS, chmurami publicznymi, platformami chmurowymi zgodnymi z S3 oraz taśmami, aby zapewnić poziom elastyczności wymagany dla różnych potrzeb biznesowych i zgodności z przepisami.
Przeprowadzenie wstępnej oceny zgodności
Przeprowadź analizę luk, aby zidentyfikować obszary, w których mogą być potrzebne ulepszenia w celu zapewnienia zgodności z rozporządzeniem DORA. Skoncentruj się na 4 kluczowych obszarach, o których wspomnieliśmy powyżej:
- Zarządzanie ryzykiem ICT
- Zarządzanie incydentami ICT, klasyfikacja i raportowanie
- Testowanie cyfrowej odporności operacyjnej
- Zarządzanie ryzykiem związanym z podmiotami zewnętrznymi w zakresie ICT
Opracowanie strategii zgodności z DORA
Opracowując strategię zgodności z DORA, należy stworzyć roczny plan działania z określonymi krokami, celami i priorytetami. Strategia będzie się różnić w zależności od złożoności infrastruktury IT organizacji oraz jej aktualnego poziomu odporności na zagrożenia cyfrowe. DORA wymaga od organizacji finansowych posiadania odpowiednich planów ciągłości działania, planów reagowania i odzyskiwania sprawności systemów informatycznych oraz przeprowadzenia ocena wpływu na działalność (BIA) oceny narażenia na poważne zakłócenia.
DORA wymaga również od organizacji posiadania co najmniej jednej zdalnej lokalizacji zapasowej (ośrodka odzyskiwania awaryjnego) w celu zapewnienia ciągłości kluczowych operacji biznesowych w przypadku awarii lokalizacji głównej. Aby zminimalizować przestoje oraz ograniczyć zakłócenia lub straty, organizacja powinna opracować plan odzyskiwania awaryjnego obejmujący następujące elementy:
- Zakres tworzenia kopii zapasowych i odzyskiwania awaryjnego danych w oparciu o znaczenie komponentów oprogramowania i sprzętu oraz przechowywanych danych;
- Zależności między komponentami IT a kolejnością odzyskiwania maszyn wirtualnych;
- Cele w zakresie odzyskiwania (czas odzyskiwania i punkt odzyskiwania) dla każdej funkcji w zależności od jej znaczenia i ogólnego wpływu na operacje biznesowe (oznacza to również, że należy posiadać schemat rotacji punktów odzyskiwania oparty na częstotliwości aktualizacji danych i ich znaczeniu);
- Przypisane role i obowiązki personelu;
- Ustalone wymagania sprzętowe dla dodatkowej lokalizacji DR w celu zapewnienia wystarczającej mocy procesora, pamięci, pojemności dyskowej i przepustowości sieciowej dla płynnego przejścia.
Poruszanie się po zgodności z DORA dzięki NAKIVO
Zaawansowane funkcje rozwiązania NAKIVO mogą pomóc zminimalizować wysiłki związane z zapewnieniem zgodności z DORA oraz zautomatyzować większość procesów związanych z cyberbezpieczeństwem. Aby pomóc w lepszym poruszaniu się po wszystkich przypadkach użycia, poniżej ilustrujemy, w jaki sposób można spełnić konkretne wymagania bezpieczeństwa DORA, korzystając z rozwiązania NAKIVO:
- Odporność danych (art. 9). Rozwiązanie NAKIVO pozwala w łatwy sposób spełnić zasadę tworzenia kopii zapasowych 3-2-1, zapewniającą lepszą odporność danych. Zgodnie z tą zasadą należy przechowywać co najmniej 3 kopie danych kopii zapasowej w 3 różnych lokalizacjach; 2 kopie powinny znajdować się zdalnie, a 1 w chmurze.
- Integralność danych (art. 12). Dzięki kopiom zapasowym spójnym z aplikacją i replikom dostosowanym do aplikacji możesz mieć pewność, że dane aplikacji są spójne, nawet jeśli kopia zapasowa jest wykonywana podczas działania aplikacji. Rozwiązanie obsługuje również kopie zapasowe bazy danych Oracle, aplikacji Microsoft, takich jak Active Directory i Exchange Server, a także aplikacji i usług Microsoft 365 (Teams, Exchange Online, SharePoint Online, OneDrive dla Firm).
- Odporność na oprogramowanie wymuszające okup i inne cyberzagrożenia (art. 9). Rozwiązanie NAKIVO pozwala tworzyć niezmienne kopie zapasowe lokalnie, w chmurze lub na urządzeniach HYDRAstor, co gwarantuje, że nikt nie będzie mógł zmienić ani usunąć Twoich danych. Możesz również skorzystać z funkcji „ izolacja fizyczna ”, wysyłając kopie zapasowe na taśmę lub dowolny inny wymienny nośnik, do którego cyberprzestępcy nie mają dostępu przez sieć. Rozwiązanie umożliwia również skanowanie kopii zapasowej w poszukiwaniu złośliwego oprogramowania przed odzyskiwaniem, dzięki czemu można mieć pewność, że dane kopii zapasowej nie są zainfekowane.
- Szyfrowanie typu end-to-end (art. 9). Dzięki rozwiązaniu NAKIVO można zaszyfrować dane kopii zapasowej, zanim opuszczą one maszynę źródłową, a także zaszyfrować sieć i repozytoria kopii zapasowych, aby zapewnić bezpieczeństwo danych zarówno podczas przesyłania, jak i przechowywania.
- Zapobieganie nieautoryzowanemu dostępowi i silne mechanizmy uwierzytelniania (art. 9). Można chronić wszystkie kopie zapasowe i procesy ochrony danych dzięki kontroli dostępu na podstawie ról oraz uwierzytelnianiu wieloskładnikowemu.
- Monitorowanie zagrożeń w czasie rzeczywistym (art. 10). Najlepszym sposobem na zapewnienie wykrywania anomalii w czasie rzeczywistym jest użycie kompleksowego oprogramowania antywirusowego. Jednak rozwiązanie NAKIVO posiada funkcje, które mogą pomóc w usprawnieniu monitorowania zagrożeń. Na przykład dzięki Funkcja monitorowania IT dla VMwaremożna wykrywać problemy i podejrzaną aktywność, zanim przerodzą się one w poważniejszy problem. Funkcja ta umożliwia monitorowanie w czasie rzeczywistym wszystkich wskaźników wydajności, w tym wykorzystania procesora, pamięci RAM i dysku, dzięki czemu można szybko zauważyć wszelkie nietypowe zużycie.
- Odporność operacyjna na ryzyko związane z ICT i minimalny czas przestoju w przypadku zakłóceń (art. 11–12). Zaawansowana funkcja Odzyskiwania lokacji firmy NAKIVO pozwala na zautomatyzować i przetestować procedury odzyskiwania lokacji. Można skonfigurować automatyczne sekwencje i uruchomić je jednym kliknięciem podczas awarii, aby natychmiast przełączyć się na repliki znajdujące się w lokalizacji zapasowej.
- Regularne testowanie procedur i protokołów odzyskiwania awaryjnego (art. 12). Aby zapewnić płynne odzyskiwanie sprawności i osiągnięcie celów podczas awarii, można zaplanować regularne testy procedur Trybu failover i powrotu po awarii w trybie testowym, który nie zakłóca działalności produkcyjnej. Testy umożliwiają sprawdzenie sekwencji działań i zweryfikowanie łączności sieciowej.
Podsumowanie
Ustawa o cyfrowej odporności operacyjnej stanowi strategiczny krok w kierunku bardziej odpornego sektora finansowego i bezpiecznych operacji finansowych. Poprzez egzekwowanie stosowania najlepszych rozwiązań w zakresie cyberbezpieczeństwa oraz promowanie edukacji i świadomości ustawa ta pomaga instytucjom finansowym stawić czoła obecnym zagrożeniom i przyszłym wyzwaniom, wyznaczając jednocześnie standardy dla innych branż.
Włącz NAKIVO do swojej drogi ku bardziej odpornemu systemowi ICT.
