透過《數位營運韌性法案》(DORA)強化業務連續性
雖然數位化帶來了許多好處,但也增加了金融業對資訊與通訊科技(ICT)的依賴,進而導致更多數位風險,例如網路攻擊、ICT 中斷、資料損毀及遺失。 為應對安全威脅並提升金融業的營運韌性,歐盟已通過《數位營運韌性法案》(DORA)。
本文將探討這項新的歐盟法規如何協助金融機構改善 ICT 風險管理,以建構更安全的金融生態系統。此外,本文亦將說明 NAKIVO 如何協助金融機構達成 DORA 合規要求。
何謂《數位營運韌性法案》(DORA)?
DORA 的概述與宗旨
《數位營運韌性法》(DORA) 即歐盟法規 2022/2554,該法規已於 2022 年 11 月由歐洲議會及歐盟理事會正式批准。首份《數位韌性條例》(DORA)草案於 2020 年提出,作為《數位金融方案》(DFP)的一部分,該方案闡述了歐盟針對金融部門的加密資產、區塊鏈及數位韌性所制定的策略、建議與立法提案。
該法規旨在為歐盟金融機構及其第三方資訊科技供應商建立標準化的法律框架,以強化資訊與通訊科技(ICT)系統的營運韌性與安全性。換言之,DORA的主要目標之一是減輕金融部門面臨的網路威脅、ICT系統漏洞及營運中斷。
金融機構及其第三方ICT供應商應於2025年1月17日前實施DORA框架及相關技術標準。
負責執行《DORA》的監管機構
儘管歐盟已於 2022 年正式通過《數位權利與權限法》(DORA),但歐盟監管機構(ESAs)仍在依據該法案制定監管技術標準(RTS)。 三大監管機構——歐洲銀行業管理局(EBA)、歐洲保險與職業養老金管理局(EIOPA)及歐洲證券與市場管理局(ESMA)——已於2024年1月發布首份草案,預計將於年底前完成RTS的制定。待監管機構向歐盟委員會提交最終版RTS後,相關標準將由歐洲議會及理事會予以批准。
RTS 的執行與合規監督權責歸屬各國主管機關,目前相關機關尚未確定。待主管機關指定完成且 2025 年 1 月的截止期限過後,即開始執行。
《DORA 法案》的主要需求
《DORA 法規》針對金融機構及其第三方供應商的網路與資訊與通訊科技(ICT)系統,訂定了相關安全需求。這些需求涵蓋資訊與通訊科技安全的四大主要面向:
- 資訊與通訊科技風險管理(第二章)。 強調管理層對資訊與通訊科技中斷事件的責任,並建立一套用於偵測、識別、管理及緩解資訊與通訊科技威脅的共同框架。
- 資訊與通訊科技事件管理、分類及通報(第三章)。 規範資訊與通訊科技(ICT)事件通報義務,並擴大須向主管機關通報之事件範圍。
- 數位營運韌性測試(第四章). 規定必須對關鍵資訊與通訊科技系統進行基於風險的韌性測試,並至少每三年進行一次以先進威脅為導向的滲透測試(TLPT)。
- 資訊與通訊科技第三方風險管理(第五章)。 要求金融機構針對其第三方供應商制定風險監控規則,包括在合約中納入相關風險條款,並對未遵守規定者處以罰則。
- 資訊共享(第六章). 建立資訊共享機制,讓金融機構能夠交換網路威脅資訊與情資,以提升對新威脅的認知,並分享威脅緩解策略。
哪些主體必須遵守《數位營運韌性法》?
《數據開放法》(DORA)涵蓋的組織
其活動對金融業基礎設施至關重要的金融機構及實體,均屬《數位營運規則》(DORA)的適用範圍:
- 信貸及支付機構
- 電子貨幣機構
- 加密資產服務提供者
- 投資公司及另類投資基金管理人
- 保險及再保險公司與中介機構
- 交易場所與交易儲存庫
- 退休基金
- 中央證券存管機構、中央對手方及證券化儲存庫
- 服務供應商,包括帳戶資訊、數據報告、管理及群眾募資等服務
- 信用評等機構
- 關鍵基準測試的管理員
- 第三方資訊與通訊科技服務供應商,包括雲端供應商
不遵守《數據保護法》(DORA)的風險
《數位權利與責任法》(DORA)授權成員國針對違規行為決定行政處罰或補救措施。該法案亦允許成員國對符合國家刑法規定的違規行為適用刑事處罰。
因此,DORA 訂定了成員國可用以確保有效落實 DORA 指導方針的最低限度措施,包括發布公開聲明,以及在某些情況下,要求暫時或永久停止任何違規活動。
《DORA》法規亦賦予歐洲證券及市場管理局(ESAs)權限,可指定對金融部門至關重要的 ITC 第三方服務供應商,並為每家關鍵供應商指派一名主導監管機構。 主要監管機構享有與主管機關同等的權限,可要求不合規的 ITC 服務提供者採取補救措施並處以罰款。DORA 授權主要監管機構可處以最高達該 ITC 服務提供者前一年全球平均每日營業額 1% 的罰款。此項罰款可每日處以,為期最長 6 個月,或直至達成合規為止。
《DORA》對金融機構及第三方供應商的影響
儘管實際標準尚未最終定案,但《德國數位營運法》(DORA)已針對金融業應如何標準化其資訊與通訊科技(ICT)管理實務及安全措施,提出了概括性需求與建議。
若您是第三方 ICT 供應商(例如雲端供應商),您的第一步應是確認根據第 31 條(第二節)的規定,您是否被視為關鍵供應商。 關鍵供應商與其他金融實體一樣,同樣受 DORA 規範。
DORA 要求金融機構評估第三方供應商的風險,並在服務協議中明定事件管理規範。因此,身為與金融機構合作的非關鍵供應商,您將被要求減輕可能影響金融機構的風險。
《DORA》規定的營運調整需求
《DORA》強調管理層對資訊與通訊科技中斷事件的責任,並要求金融機構建立並維持一套全面的框架,以減輕資訊與通訊科技風險。該框架應包含以下內容:
- 明確界定管理層及相關人員的角色與職責
- 定期進行資訊與通訊科技(ICT)風險評估,以識別及監控涵蓋各ICT系統、流程及資產的風險
- 持續監控資訊與通訊科技系統,以防範潛在威脅
- 針對資訊與通訊科技(ICT)事件的預防、管理及應對所制定的系統化且詳盡程序,包括事件應變計畫與業務連續性計畫
- 根據事件分析,持續更新與完善相關做法及措施
- 針對客戶及其他內部與外部利害關係人的事件通報流程,旨在確保資訊與通訊科技(ICT)中斷期間的透明度與信任
- 根據事件的嚴重程度,制定向監管機構及其他相關單位通報事件的明確程序
強化風險管理措施
除了持續監控資訊與通訊科技(ICT)風險外,《DORA》還要求定期對系統和資產進行測試,以評估其面臨的ICT風險。金融機構須對第三方ICT服務供應商相關的風險負責,並處理不符合規範的供應商。具體而言,《DORA》要求金融機構在其與合作供應商的合約中,納入管理ICT風險的條款。
該法案強調預防策略的重要性,其中包括測試現有的韌性與安全措施以識別系統及通訊協定漏洞,以及事件發生後的分析與通報。DORA 亦鼓勵全行業的學習交流與活動安排,讓金融機構得以分享經驗與知識。
強化網路安全與資料保護標準
DORA 將網路安全與資料保護視為影響組織營運韌性的主要因素,並要求金融機構:
- 實施安全措施,例如存取控制和加密
- 制定業務連續性與災難還原計畫
- 使用工具進行持續性的資訊與通訊科技威脅監控及即時惡意軟體偵測
- 確保及時更新軟體和硬體,以減輕安全漏洞的風險
- 定期進行漏洞評估,內容應包含滲透測試及情境模擬測試
對於關鍵環境和高風險區域,相關單位應定期進行進階測試(例如紅隊測試),甚至可能被要求參與全行業的測試演習。
- 應迅速向利害關係人及主管機關通報事件,以確保事件處理過程的透明度,並讓其他組織能從中汲取教訓
專家對《數位營運韌性法》的看法
資安專家的見解
"《DORA》要求金融機構依據風險導向的方法,制定適當的資料安全政策並建置穩健的網路架構。DORA 所規定的做法對業界來說是嶄新的嗎?不,這些做法早已存在數十年之久。然而,儘管勒索軟體等網路攻擊的風險與日俱增,部分組織卻尚未實施,或僅部分實施了最基本的安全措施," 該公司副總裁謝爾蓋·塞爾迪烏克表示: NAKIVO.
對 DORA 未來的展望
"DORA 正為金融業的網路安全奠定更堅實的基礎。希望隨著時間推移,這項法規也能擴及至其他領域。隨著全球數位化進程及人工智慧的進步,越來越多的產業與組織正面臨網路安全風險。在許多情況下,這不僅意味著組織自身可能遭受財務或聲譽上的損失,更意味著由於組織間的相互依存關係,導致產業內及跨產業中斷的風險將隨之增加。" —Sergei Serdyuk,NAKIVO 副總裁。
使用 NAKIVO 確保符合 DORA 規範的步驟
《DORA》特別重視備份與複製程序(第11至12條),因為這些程序直接影響公司的服務可用性、業務連續性及資料安全性。《DORA》要求各實體確保資料傳輸的安全性,並盡可能降低資料損毀與遺失的風險,以及因資料管理不當與人為疏失所造成的風險。
NAKIVO Backup & Replication 這是一套全面的資料保護解決方案,讓您能夠透過單一的網頁介面,執行備份、複製、設定及自動化災難還原工作流程,並監控工作負載。
該解決方案支援虛擬、雲、實體、NAS、SaaS 及混合環境,因此非常適合協助各規模的金融機構確保頂級的資料保護。該解決方案可無縫整合 各種儲存類型,包括去重裝置與 NAS設備、公有雲、相容於 S3 的雲端平台,以及磁帶,以確保能滿足不同業務與合規需求所需的靈活性。
進行初步合規評估
進行差距分析,以找出為符合 DORA 法規而可能需要改進的領域。請著重於我們上述提到的 4 個關鍵領域:
- 資訊與通訊科技風險管理
- 資訊與通訊科技事件管理、分類與通報
- 數位營運韌性測試
- 資訊與通訊科技(ICT)第三方風險管理
制定 DORA 合規策略
在制定 DORA 合規策略時,應擬定一份包含明確步驟、目標及優先順序的年度路線圖。該策略將視組織的 IT 基礎架構複雜程度及其當前抵禦數位威脅的韌性水平而有所不同。
DORA 要求金融機構制定適當的業務連續性計畫、資訊與通訊科技(ICT)應變及還原計畫,並進行 業務影響評估 (BIA) 其面臨嚴重中斷的風險。
DORA 還要求組織至少設有一個遠端備援站點(即災難還原站點),以確保主站點停機時關鍵業務運作的連續性。為將停機時間降至最低並限制中斷或損失,組織應制定一套 災難還原計畫 其中包括以下內容:
- 備份與災難還原的範圍,取決於軟體與硬體元件的重要性,以及所儲存資料的重要性;
- IT 元件之間的依賴關係與虛擬機器還原順序;
- 還原目標 (還原時間與還原點) 應根據各功能的的重要性及其對業務運作的整體影響而定(這也意味著您需要根據資料更新的頻率及其重要性,制定還原點輪替方案);
- 人員的職責分工;
- 已制定次要災難復原站點的硬體需求,以確保具備充足的 CPU、記憶體、磁碟容量及網路頻寬,以利順利進行系統遷移。
透過 NAKIVO 實現 DORA 合規
NAKIVO 解決方案的進階功能性可協助您將 DORA 合規工作量降至最低,並自動化多數與網路安全相關的流程。為協助您更全面地掌握各項使用情境,我們在此說明如何透過 NAKIVO 解決方案來滿足 DORA 的特定安全需求:
- 資料韌性(第9條)。 NAKIVO 解決方案讓您能輕鬆遵循"3-2-1 備份法則",以提升資料韌性。根據此法則,您需將備份資料儲存至少 3 份副本於 3 個不同位置;其中 2 份應存放於異地,1 份則存放於雲端。
- 資料完整性(第12條)。 透過支援應用程式感知備份與複本功能,即使在應用程式執行期間進行備份,您也能確保應用程式資料的一致性。此解決方案亦支援 Oracle 資料庫、Microsoft 應用程式(如 Active Directory 和 Exchange Server)以及 Microsoft 365 應用程式與服務(Teams、Exchange Online、SharePoint Online、OneDrive for Business)的備份。
- 韌性抵禦勒索軟體及其他網路威脅(第 9 條)。 NAKIVO 的解決方案讓您能夠在本地端、雲端或 HYDRAstor 裝置上建立不可變備份,以確保無人能篡改或刪除您的資料。您亦可善用 空氣間隙 透過將備份複製儲存至磁帶或任何其他可拆卸儲存裝置,確保網路犯罪分子無法透過網路存取這些資料。此解決方案還允許您在還原前對備份進行惡意軟體掃描,讓您能確信備份資料未受感染。
- 端對端加密(第 9 條)。 透過 NAKIVO 的解決方案,您可以在備份資料離開來源機器之前進行加密,並對網路及備份儲存庫進行加密,以確保您的資料在傳輸過程中及靜止狀態下皆受到妥善保護。
- 防止未經授權的存取及強認證機制(第 9 條)。 您可以透過基於角色的存取控制和多重驗證,來保護所有備份及資料保護工作流程。
- 即時威脅監控(第 10 條). 確保即時偵測異常情況的最佳方式,是使用功能全面的防惡意軟體。然而,NAKIVO 的解決方案具備一些可協助您強化威脅監控的特點。例如,透過 VMware 的 IT 監控特點, 您可以在問題惡化之前及早發現問題與可疑活動。此特點可即時監控所有效能指標,包括 CPU、記憶體及磁碟使用率,讓您能迅速察覺任何異常的資源消耗。
- 針對資訊與通訊科技風險的營運韌性,以及發生中斷時將停機時間降至最低(第11至12條). NAKIVO 的進階站點還原功能性讓您能夠 自動化並測試站點還原工作流程. 您可以設定自動化流程,並在發生災難時透過單一點擊觸發,立即切換至備援站點的複本,其位置與主站點不同。
- 定期測試數位放射影像(DR)工作流程及作業規範(第 12 條)。 為確保在災難發生時能順利還原運作並達成目標,您可以安排定期測試故障移轉與故障恢復的工作流程,並採用不會中斷生產運作的測試模式進行。透過此測試,您可以檢查操作順序並驗證網路連線狀況。
摘要
《數位營運韌性法案》是邁向更具韌性的金融部門與更安全的金融營運的重要戰略性飛躍。透過強制執行最佳網路安全實踐,並鼓勵學習與提升意識,該法案不僅協助金融機構應對當前的威脅與未來的挑戰,同時也為其他產業樹立了標竿。
讓 NAKIVO 成為您邁向更具韌性 ICT 系統旅程中的一環。
