The Ustawa o cyfrowej odporności operacyjnej (DORA) weszło w życie 16 stycznia 2023 r. Po dwuletnim okresie wdrażania, rozpoczynającym się 17 stycznia 2025 r., organizacje finansowe muszą w pełni przestrzegać nowego rozporządzenia, którego celem jest zapewnienie im odporności na poważne zakłócenia w funkcjonowaniu cyfrowym.
Ustawa obejmuje szereg aspektów odporności cybernetycznej, możliwości audytu oraz obowiązków dzielonych pomiędzy instytutami finansowymi a zewnętrznymi dostawcami systemu i usług IT, gdy te produkty i usługi są wykorzystywane do wspomagania operacji biznesowych.
Chociaż jest to rozporządzenie europejskie mające wpływ na firmy działające w Unii Europejskiej (UE), inne regiony również wdrażają cyberodporność. Należą do nich australijski Urząd Regulacji Ostrożnościowych i Bank Anglii w Wielkiej Brytanii. W USA Komisja Papierów Wartościowych i Giełd (SEC) również rozważa kwestię cyberodporności.
Odporność w całym łańcuchu dostaw IT
Odporność na wady i luki w produktach i usługach stron trzecich cieszy się coraz większym zainteresowaniem na całym świecie. Jednym z przykładów jest usterka CrowdStrike, która spowodowała poważne zakłócenia w systemach Windows. Jak zauważyła wówczas firma Juniper Research, banki znalazły się wśród ofiar światowych przestojów technologicznych, w wyniku których niektórzy klienci nie mogli uzyskać dostępu do swojej bankowości internetowej. Ucierpiały także bankomaty i systemy płatności kartami.
Celem DORA jest ograniczenie potencjalnych zakłóceń w systemach bankowych spowodowanych problemami IT, jednak istnieje bezpośrednia korelacja pomiędzy jej efektywnością a dojrzałością organizacji w zakresie cyberbezpieczeństwa.
W okresie od sierpnia 2023 r. do sierpnia 2024 r. w ramach SecurityScorecard dokonano oceny wyników w zakresie bezpieczeństwa cybernetycznego 100 największych firm w Europie, biorąc pod uwagę takie czynniki, jak bezpieczeństwo sieci, infekcje złośliwym oprogramowaniem, bezpieczeństwo punktów końcowych, częstotliwość instalowania poprawek, bezpieczeństwo aplikacji i system nazw domen (DNS).
Ponieważ regulacje takie jak DORA mają zmienić standardy bezpieczeństwa cybernetycznego, europejskie firmy muszą nadać priorytet systemom zarządzania ryzykiem stron trzecich i systemom oceny dźwigni, aby chronić swoje ekosystemy
Badanie wykazało, iż 98% ze 100 największych europejskich firm doświadczyło w tym okresie 12 miesięcy naruszenia z udziałem zewnętrznych dostawców. DORA wymaga instytucji finansowych identyfikować i oceniać istotność zewnętrznych dostawców usług, z których korzystają, w oparciu o wpływ na działalność biznesową i poziom stwarzanego przez nich ryzyka.
Produkty i usługi informatyczne i komunikacyjne innych firm są objęte Artykuł 28 DORAktóre stanowi, iż podmioty finansowe muszą zarządzać ryzykiem osób trzecich w zakresie ICT jako integralnym elementem ryzyka ICT w ramach własnych ram zarządzania ryzykiem ICT. Instytucje finansowe, które korzystają z usług stron trzecich jako integralnej części swojej działalności, ponoszą odpowiedzialność za ogólne bezpieczeństwo cybernetyczne przedsiębiorstwa i muszą również przeprowadzać pełną ocenę ryzyka dostawców.
Analizując narażenie na ryzyko cybernetyczne wynikające z luk w zabezpieczeniach i słabościach bezpieczeństwa produktów i usług dostarczanych przez strony trzecie, Ryan Sherstobitoff, starszy wiceprezes ds. badań zagrożeń i wywiadu w SecurityScorecard, mówi: „Luki w zabezpieczeniach łańcucha dostaw pozostają krytycznym zagrożeniem, ponieważ przeciwnicy je wykorzystują słabe łącza umożliwiające infiltrację globalnych sieci. Ponieważ regulacje takie jak DORA mają zmienić standardy bezpieczeństwa cybernetycznego, europejskie firmy muszą nadać priorytet zarządzaniu ryzykiem stron trzecich i systemom oceny dźwigni, aby chronić swoje ekosystemy”.
Karta SecurityScorecard Globalny raport dotyczący naruszeń cyberbezpieczeństwa stron trzecich pokazuje, iż 75% naruszeń stron trzecich ma na celu łańcuch dostaw systemu i technologii – tę tendencję wzmocniły niedawne głośne naruszenia z udziałem SolarWinds, Log4j i MOVEit.
„DORA sprawia, iż zarządzanie bezpieczeństwem informacji jest zadaniem prawnym” – mówi Romain Deslorieux, dyrektor ds. partnerstw strategicznych na rzecz ochrony chmury w firmie Thales. „Aby zapewnić zgodność, organizacje będą musiały popracować nad uproszczeniem i automatyzacją swoich usług w zakresie cyberbezpieczeństwa, aby mieć pewność, iż ich aplikacje, dane i tożsamość są odpowiednio chronione. Obejmuje to wszystko, począwszy od interfejsu API [application programming interface] bezpieczeństwo; klasyfikacja, monitorowanie i ochrona danych wrażliwych; aż po zapewnienie bezpiecznego i zaufanego dostępu klientom, pracownikom i partnerom.”
Audyt IT
Martin Thompson, analityk i założyciel firmy Forum ITAMzaleca, aby organizacje przeprowadziły proces wykrywania, który pomoże im sklasyfikować ryzyko związane z używanymi przez nie produktami i usługami IT.
Na blogu z września 2024 r. Shane O’Neill, partner w biurze Grant Thornton w Dublinie, zasugerował, iż instytucje finansowe inwestować w platformy, które mogą scentralizować katalogi zasobów ICT. To, jego zdaniem, powinno zapewnić całościowe spojrzenie na zewnętrznych dostawców, co umożliwi firmom zrozumienie potencjalnego ryzyka, jakie stwarzają dla swojej działalności, i umożliwienie im podjęcia działań w celu ograniczenia takiego ryzyka.
O’Neill zwrócił uwagę, iż większość platform do zarządzania zasobami IT zapewnia funkcje automatyzacji, które można wykorzystać do uproszczenia procesu przeglądu. „DORA wymaga co najmniej rocznego przeglądu aktywów ICT i towarzyszącej im dokumentacji, a w przypadku stron trzecich uznawanych za osoby wysokiego ryzyka cykl przeglądu odbywa się częściej” – napisał.
„Automatyzacja zmniejsza obciążenie administracyjne związane z koordynacją przeglądu i zmniejsza liczbę ręcznych elementów w cyklu przeglądu, zmniejszając w ten sposób ryzyko błędu ludzkiego lub potencjalnego pominięcia cyklu przeglądu”.
Jak zauważył O’Neill, platformy zarządzania zasobami IT mogą automatycznie uruchamiać proces przeglądu, generując wiadomość e-mail przypominającą interesariuszom o przejrzeniu inwentarza zasobów, a ponieważ interesariusz dokonuje przeglądu w systemie, platforma automatycznie rejestruje jego aktywność, zapewniając w ten sposób wszystkie aspekty procesu można łatwo kontrolować z punktu widzenia regulacyjnego.
Chociaż organizacje, których to dotyczy, powinny już być na dużym poziomie zaawansowania we wdrażaniu programów zgodności, starsza analityk firmy Forrester Madelein van der Hout twierdzi, iż jeszcze w listopadzie 2024 r. przez cały czas odbierała telefony od klientów firmy Forrester z pytaniami, co muszą zrobić. „Jeśli zacząłeś w listopadzie, nie ma wystarczająco dużo czasu” – mówi.
Choć większość organizacji finansowych ma już dobry poziom bezpieczeństwa, zdaniem van der Houta wszystkie instytucje finansowe przez cały czas będą musiały uwzględniać strony trzecie, dywersyfikację swojej infrastruktury informatycznej i współzależności.
Według Alaina Trailla, radcy prawnego w globalnej firmie prawniczej Latham & Watkins, wiele osób ma trudności z osiągnięciem zgodności. Nalega, aby organizacje, które wciąż dogadują się z DORA, przeprowadziły analizę luk w celu ustalenia, gdzie nie spełniają one wymogów.
„W przypadku podmiotów finansowych objętych zakresem, do których zaliczają się instytucje pieniądza elektronicznego i dostawcy aktywów kryptograficznych, a także firmy tradycyjnie podlegające regulacjom, takie jak instytucje kredytowe, zgodność obejmuje analizę luk w istniejących środkach odporności na rygorystyczne wymagania DORA, aktualizację łańcuchów zarządzania, polityk i procedur – zwracając szczególną uwagę na najważniejsze obszary zainteresowania DORA, takie jak reagowanie na incydenty i testowanie odporności – oraz dokończenie szczegółowej inwentaryzacji umów i działań zaradczych” – mówi.
Wpływ IT
Ponieważ DORA stanowi, iż organizacje muszą ocenić odporność swojego łańcucha dostaw IT, strony trzecie – w tym dostawcy IT – również muszą zrozumieć swoje obowiązki w ramach DORA. Traill twierdzi, iż firmy informatyczne powinny zaktualizować warunki umów i potencjalnie utworzyć podmiot w UE.
„Wszyscy dostawcy usług ICT, których nie określono jako „krytyczne”, ale których klientami są podmioty finansowe objęte zakresem – w tym szeroka gama dostawców systemu i powiązanych produktów, często mających siedzibę poza UE – muszą podjąć kroki, aby umożliwić aby klienci przestrzegali zasad, w tym poprzez przegląd i aktualizację procesów i zasad oraz aktualizację warunków umów” – mówi.
„Środki proaktywne mają najważniejsze znaczenie, jeżeli chodzi o dostosowanie się do wymagań DORA i uniknięcie znaczących konsekwencji, w tym – w przypadku podmiotów finansowych i „krytycznych” dostawców ICT – znacznych kar pieniężnych”.
Środki proaktywne mają najważniejsze znaczenie dla dostosowania się do wymagań DORA i uniknięcia znaczących konsekwencji, w tym znacznych kar finansowych
Van der Hout z firmy Forrester zaleca liderom IT w organizacjach finansowych, które muszą przestrzegać postanowień DORA, sprawdzić, jakie rozwiązania IT wdrażają.
„Jeśli dostawcy IT, z których korzystasz, nie przestrzegają w wystarczającym stopniu wymagań DORA, mogą wystąpić pewne konsekwencje” – mówi. Choć liderzy IT mają możliwość rozwiązania takich niezgodnych z przepisami umów, van der Hout ostrzega, iż „oddzielenie ich IT od infrastruktury IT jest trudne”.
Oprócz prac niezbędnych do zapewnienia odporności zewnętrznych dostawców IT na cyberbezpieczeństwo, Deslorieux z Thales zauważa, iż DORA wyraźnie upoważnia organizacje do definiowania i egzekwowania zasad szyfrowania danych przechowywanych, przesyłanych i używanych, a także dokładnego zarządzania kluczami kryptograficznymi tego szyfrowania opiera się. „Usługi finansowe muszą również zapewniać aktualizację lub zmianę technologii kryptograficznej w oparciu o rozwój kryptoanalizy” – mówi.
Eksperci, z którymi rozmawiał „Computer Weekly”, przyznali, iż konieczne są prace, aby wdrożyć zgodność z DORA i zapewnić ciągłą konserwację w celu zapewnienia ciągłej zgodności. To są dodatkowe koszty.
Według Forrestera wdrożenie będzie zależeć wyłącznie od dojrzałości firmy w zakresie cyberbezpieczeństwa, ale DORA opiera się na istniejących ramach bezpieczeństwa IT, co oznacza, iż wiele osób prawdopodobnie wykonało większość pracy niezbędnej do osiągnięcia zgodności z nowym rozporządzeniem.
Van der Hout wskazuje, iż większy wpływ będą miały koszty bieżące długoterminowy wpływ na budżety IT. Szacuje, iż utrzymanie zgodności z DORA może zwiększyć koszty bezpieczeństwa cybernetycznego organizacji o 10%.
