Aplikacja PayPal jest bezpieczniejsza niż Venmo, ponieważ obejmuje zaawansowane wykrywanie oszustw, obsługuje klucze dostępu, stosuje zaawansowane programy ochrony kupujących oraz sprzedających i ma lepszą historię w zak...
Ustawa o operacyjnej odporności cyfrowej (DORA) to rozporządzenie zwiększające odporność cyfrową instytucji finansowych w Unii Europejskiej (UE). Mimo że rozporządzenie DORA weszło w życie w 2023 r., zostanie ono w pełni przyjęte przez wszystkie instytucje finansowe UE oraz zewnętrznych dostawców usług technologii informacyjnych i komunikacyjnych (ICT) od stycznia 2025 r. w celu poprawy ochrony przed potencjalnymi cyberzagrożeniami.
Czytaj dalej, aby poznać cele DORA, główne filary zgodności oraz sposoby przygotowania organizacji do wdrożenia DORA.
Cel DORA
Dwa główne cele DORA to poprawa zarządzania ryzykiem związanym z ICT przez podmioty finansowe oraz ujednolicenie przepisów w zakresie zarządzania ryzykiem związanym z ICT w poszczególnych państwach członkowskich UE.
Zarządzanie ryzykiem związanym z ICT w sektorze finansowym
Przepisy dotyczące zarządzania ryzykiem w instytucjach finansowych UE koncentrują się na zapewnieniu organizacjom środków finansowych na zarządzanie ryzykiem związanym z ich działalnością. Problemem jest stosowanie wytycznych dotyczących ICT jedynie przez niektóre organizacje. Bez jednolitego zestawu norm bezpieczeństwa lub zasad zarządzania ryzykiem ICT każde państwo członkowskie UE musi opracować własne wymogi. Standaryzacja tych wymogów przez DORA zwiększy bezpieczeństwo sektora finansowego oraz zdolność do zarządzania ryzykiem związanym z systemami online i lukami w zabezpieczeniach technologii.
Ustanowienie ram dotyczących przepisów w zakresie zarządzania ryzykiem
Wykorzystanie DORA umożliwia UE zastosowanie spójnych ram bezpieczeństwa na potrzeby zarządzania ryzykiem związanym z ICT, głównie w sektorze usług finansowych. Wyeliminuje to niespójności pomiędzy normami w poszczególnych krajach UE oraz ułatwi instytucjom finansowym przestrzeganie przepisów. DORA ułatwi określenie odpowiednich działań w przypadku zagrożenia bezpieczeństwa organizacji.
Pięć podstawowych elementów zgodności DORA
Organizacje UE, których dotyczy DORA, będą musiały wdrożyć pięć podstawowych elementów zgodności do 17 stycznia 2025 r.
1. Zarządzanie ryzykiem związanym z ICT
Zarządzanie ryzykiem związanym z ICT jest podstawą DORA, ponieważ obejmuje wykrywanie oraz analizę ryzyka związanego z wykorzystaniem technologii w organizacji. Instytucje finansowe muszą stosować ramy zarządzania ryzykiem związanym z ICT z udziałem najważniejszych interesariuszy oraz członków kierownictwa wyższego szczebla, aby zapewnić ścisłą komunikację dotyczącą potencjalnych zagrożeń dla bezpieczeństwa. Zarządzanie ryzykiem związanym z ICT powinno zawierać szczegółowe informacje dotyczące właściwych narzędzi, dokumentów oraz procesów na potrzeby ochrony organizacji przed ryzykiem operacyjnym i cyberzagrożeniami. Brak odpowiedniego zarządzania ryzykiem związanym z ICT zwiększa ryzyko naruszenia danych oraz innych problemów związanych z bezpieczeństwem, które mogą mieć negatywny wpływ na działalność oraz reputację organizacji.
2. Zgłaszanie incydentów związanych z ICT
Po opracowaniu struktury zarządzania ryzykiem związanym z ICT wymagane jest określenie procedury zgłaszania incydentów po ich wystąpieniu w organizacji. DORA ułatwia proces zgłaszania incydentów związanych z ICT za pośrednictwem usprawnionych kanałów. Zgodnie z nowymi zasadami zgłaszania w UE organizacje finansowe muszą przesłać raport dotyczący podstawowych przyczyn incydentu do unijnego węzła informacyjnego. Po przesłaniu przez organizację raportu dotyczącego podstawowych przyczyn incydentu unijny węzeł informacyjny analizuje wszystkie raporty tego typu oraz gromadzi odpowiednie dane w celu określenia, czy istnieją typowe luki w zabezpieczeniach instytucji finansowych.
3. Testowanie operacyjnej odporności cyfrowej
Niektóre instytucje finansowe wykorzystują obecnie niezależne podmioty do regularnego testów operacyjnej odporności cyfrowej, które obejmują sprawdzenie metodologii, procedur, narzędzi oraz systemów odzyskiwania danych w celu przygotowania na wypadek zagrożeń związanych z ICT. Mimo że w niektórych organizacjach finansowych istnieją obecnie ramy dotyczące testów operacyjnej odporności cyfrowej, DORA spowoduje upowszechnienie wymogów w zakresie takich testów w sektorze usług finansowych. Wpłynie to na zwiększenie liczby organizacji zobowiązanych do przeprowadzania testów operacyjnej odporności cyfrowej, co spowoduje zmniejszenie kosztu wynajmowania podmiotów zewnętrznych oraz ograniczenie ryzyka cyberataków w organizacjach.
4. Wymiana informacji oraz analiz
Po pełnym wdrożeniu DORA organizacje będą zobowiązane do wymiany informacji o cyberprzestępstwach za pośrednictwem wiarygodnych społeczności finansowych. Głównym celem jest informowanie innych organizacji o potencjalnych cyberzagrożeniach, aby umożliwić im opracowanie własnych rozwiązań w zakresie ochrony prywatnych informacji. Organizacje opracują oraz udostępnią strategie wykorzystywane do przeciwdziałania cyberprzestępstwom w celu poprawy ogólnego bezpieczeństwa społeczności usług finansowych.
5. Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
Podmioty finansowe muszą zawierać z kluczowymi dostawcami usług ICT umowy obejmujące takie zagadnienia, jak ochrona danych oraz zarządzanie incydentami. Kluczowi dostawcy dostarczają usługi ICT niezbędne do codziennej działalności organizacji. Umowy z kluczowymi dostawcami zewnętrznymi gwarantują udzielenie wsparcia powiązanym organizacjom finansowym w przypadku naruszenia danych lub innego cyberataku. Po podpisaniu umowy dostawca zewnętrzny będzie na przykład zobowiązany do udostępnienia odpowiednich informacji oraz przestrzegania najwyższych standardów bezpieczeństwa usług świadczonych na rzecz organizacji finansowej zgodnej z DORA ze względu na kluczowy charakter.
Jak przygotować się do zgodności z DORA
Organizacja może przygotować się do spełnienia wymagań DORA poprzez szereg działań takich jak analiza braków w zakresie ustawy DORA, określenie kluczowych dostawców zewnętrznych oraz ocena aktualnego planu reagowania na incydenty.
Przeprowadź analizę braków w zakresie ustawy DORA
Należy przeprowadzić w organizacji analizę braków w zakresie ustawy DORA, aby określić wszystkie braki dotyczące systemów ICT. Można to zrobić, porównując aktualne praktyki z wymogami DORA, co ułatwi lepsze określenie obszarów w organizacji, które wymagają ulepszeń w celu spełnienia nowych wymogów. W zależności od wyników analizy braków w zakresie ustawy DORA może być konieczne opracowanie planu działań na potrzeby usuwania wykrytych braków w organizacji. Na przykład, jeśli analiza braków wykazała, że organizacja nie uczestniczy w udostępnianiu informacji, konieczne będzie określenie odpowiednich działań wraz z harmonogramem, aby zapewnić zgodność organizacji z ustawą DORA.
Zidentyfikuj kluczowych dostawców ICT
Wymagane jest ustalenie, czy organizacja współpracuje z kluczowymi dostawcami zewnętrznymi usług ICT poprzez określenie wszystkich cech charakterystycznych dla tej kategorii. W przypadku korzystania z zewnętrznych dostawców usług w chmurze zespół ds. bezpieczeństwa musi potwierdzić, że dostawcy zapewniają zgodność z DORA oraz zawrzeć niezbędne umowy. Należy określić, którzy z dostawców usług zewnętrznych należą do kategorii kluczowych dostawców, ponieważ może wystąpić konieczność utworzenia zespołów oraz zmiany oprogramowania w celu zapewnienia zgodności z ustawą DORA.
Przeprowadź ocenę aktualnego planu reagowania na incydenty
Plan reagowania na incydenty określa obowiązki oraz procedury postępowania pracowników w przypadku naruszenia danych lub cyberataku. Wdrożenie planu reagowania na incydenty eliminuje chaotyczne działania w przypadku sytuacji awaryjnych, zapewniając odpowiednie przygotowanie do identyfikacji, oceny skutków oraz ich usunięcia i zapobiegania kolejnym atakom. Jeśli w organizacji został już wdrożony plan reagowania na incydenty, należy ponownie ocenić, czy aktualny plan jest zgodny z DORA. Oceń obecny plan pod kątem wymagań ustawy DORA, aby określić, czy organizacja jest w stanie przestrzegać określonych wymogów. W przypadku przetestowania planu reagowania na incydenty poprzez symulację naruszenia danych zakończoną wykryciem luk w zabezpieczeniach należy dostosować wewnętrzne procedury raportowania do standardów DORA.
Jakie są konsekwencje braku zgodności firmy z ustawą DORA?
Jeśli podmiot finansowy nie zastosuje się do wymogów DORA, odpowiednie organy mogą nałożyć grzywnę w wysokości do 2% rocznego globalnego przychodu organizacji. Oprócz negatywnych skutków nieprzestrzegania przepisów ustawy DORA dla organizacji jako całości, poszczególni menedżerowie mogą zostać ukarani grzywną w wysokości miliona euro. W przypadku kluczowych zewnętrznych dostawców ICT, którzy nie zastosują się do wymogów DORA, kara może wynosić nawet pięć milionów euro.
Jak można wykorzystać rozwiązanie KeeperPAM® do spełnienia wymogów ustawy DORA
Rozwiązanie do zarządzania uprzywilejowanym dostępem (PAM) takie jak KeeperPAM, może zwiększyć bezpieczeństwo organizacji oraz zapewnić spełnienie określonych wymogów zgodności z przepisami ustawy DORA. Wykorzystanie rozwiązania KeeperPAM umożliwia ścisłe monitorowanie pracowników oraz systemów przetwarzających dane poufne i krytycznych kont, a także zarządzanie nimi, co znacząco ogranicza występowanie błędów lub luk w zabezpieczeniach, które mogą prowadzić do naruszenia danych lub cyberataków. Rozwiązanie KeeperPAM może ułatwić organizacjom sektora finansowego spełnienie wymogów zgodności z przepisami ustawy DORA, ograniczając powierzchnię ataku, zapewniając bezpieczny dostęp upoważnionym użytkownikom oraz umożliwiając kompleksowe raportowanie dla poszczególnych kont uprzywilejowanych.
Już dziś poproś o demo rozwiązania KeeperPAM, aby zagwarantować przygotowanie organizacji do zgodności z wymogami ustawy DORA oraz zapewnienie najwyższego poziomu ochrony danych poufnych.