H Keeper Security αναλύει τους σκοπούς και τους 5 πυλώνες συμμόρφωσης 

Η «Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα» (Digital Operational Resilience Act ή DORA) είναι ένας Κανονισμός που ενισχύει την ψηφιακή ασφάλεια μεταξύ των χρηματοπιστωτικών ιδρυμάτων στην Ευρωπαϊκή Ένωση (ΕΕ). Αν και η Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα τέθηκε σε ισχύ το 2023, θα υϊοθετηθεί πλήρως από όλες τις Ευρωπαϊκές χρηματοπιστωτικές οντότητες και τους τρίτους παρόχους υπηρεσιών Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) από τον Ιανουάριο του 2025 προκειμένου να βελτιώσουν τις άμυνες τους έναντι πιθανών κυβερνοαπειλών.

Συνεχίστε το διάβασμα για να μάθετε για τους στόχους της νομοθετικής πράξης DORA, τους βασικούς πυλώνες συμμόρφωσης και πως μπορεί ο οργανισμός σας να προετοιμαστεί για αυτή.   

Ο σκοπός του κανονισμού DORA 

Οι δύο βασικοί στόχοι της Πράξης για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα είναι η βελτίωση του τρόπου διαχείρισης των κινδύνων ΤΠΕ από τις χρηματοπιστωτικές υπηρεσίες και η ενοποίηση των υφιστάμενων κανονισμών διαχείρισης των κινδύνων ΤΠΕ στα κράτη μέλη της Ευρωπαϊκής Ένωσης. 

Αντιμετώπιση της διαχείρισης κινδύνων ΤΠΕ στον χρηματοπιστωτικό τομέα 

Σε ότι αφορά τα Ευρωπαϊκά χρηματοπιστωτικά ιδρύματα, οι κανονισμοί διαχείρισης κινδύνου επικεντρώνονται στη διασφάλιση ότι οι οργανισμοί διαθέτουν τα απαραίτητα χρήματα για να αντιμετωπίσουν τις όποιες απειλές για την επιχειρησιακή λειτουργία και τις δραστηριότητές τους. Το πρόβλημα ωστόσο με το παραπάνω είναι ότι ορισμένοι οργανισμοί διαθέτουν κατευθυντήριες γραμμές για την αντιμετώπιση κινδύνων ΤΠΕ ενώ άλλοι όχι. Χωρίς ένα ενιαίο σύνολο προτύπων ασφαλείας ή κανόνων για τη διαχείριση κινδύνων ΤΠΕ κάθε κράτος μέλος της Ευρωπαϊκής Ένωσης έχει αφεθεί να αναπτύξει τις δικές του απαιτήσεις. Ο κανονισμός DORA θα καταστήσει τον χρηματοπιστωτικό τομέα πιο ασφαλή και ικανότερο στη διαχείριση των κινδύνων που σχετίζονται με τα διαδικτυακά του συστήματα και τις τεχνολογικές ευπάθειες, τυποποιώντας αυτές τις απαιτήσεις. 

Εναρμόνιση των κανονισμών διαχείρισης κινδύνων υπό κοινό πλαίσιο 

Με τον κανονισμό DORA, η Ευρωπαϊκή Ένωση μπορεί να βασιστεί σε ένα συνεκτικό και σταθερό πλαίσιο ασφάλειας για τη διαχείριση των κινδύνων ΤΠΕ, κυρίως στον τομέα των χρηματοπιστωτικών υπηρεσιών. Αυτό θα εξαλείψει τις ασυνέπειες μεταξύ των διαφόρων χωρών της Ευρωπαϊκής Ένωσης όσον αφορά τα πρότυπα και τις απαιτήσεις τους και θα καταστήσει ευκολότερη τη διαδικασία συμμόρφωσης για τα χρηματοπιστωτικά ιδρύματα. Ο κανονισμός DORA θα βοηθήσει τους οργανισμούς να κατανοήσουν καλύτερα τι πρέπει να κάνουν σε περίπτωση κινδύνου για την ασφάλεια.

Οι 5 πυλώνες της συμμόρφωσης με τον κανονισμό DORA 

Οι οργανισμοί της Ευρωπαϊκής Ένωσης που επηρεάζονται από τον κανονισμό DORA θα πρέπει να ακολουθήσουν τους πέντε πυλώνες συμμόρφωσης μέχρι τις 17 Ιανουαρίου 2025.

 1. Διαχείριση κινδύνων ΤΠΕ 

Η διαχείριση κινδύνων ΤΠΕ αποτελεί τον ακρογωνιαίο λίθο του κανονισμού DORA, διότι εντοπίζει και αναλύει τους κινδύνους που συνδέονται με τη χρήση της τεχνολογίας από έναν οργανισμό. Τα χρηματοπιστωτικά ιδρύματα πρέπει να ακολουθήσουν ένα πλαίσιο διαχείρισης κινδύνων ΤΠΕ με τη βοήθεια κρίσιμων ενδιαφερόμενων μερών και μελών της ανώτερης διοίκησης για να καθιερώσουν ισχυρές επικοινωνίες σχετικά με τους πιθανούς κινδύνους ασφάλειας. Η διαχείριση κινδύνων ΤΠΕ θα πρέπει να περιγράφει λεπτομερώς τα κατάλληλα εργαλεία, έγγραφα και διαδικασίες για την υπεράσπιση ενός οργανισμού από λειτουργικούς κινδύνους και κυβερνοαπειλές. Χωρίς την κατάλληλη διαχείριση κινδύνων ΤΠΕ, οι οργανισμοί έχουν περισσότερες πιθανότητες να υποστούν παραβιάσεις δεδομένων και άλλα ζητήματα ασφάλειας που θα μπορούσαν να βλάψουν τις επιχειρήσεις και τη φήμη τους.

 2. Αναφορά περιστατικών ΤΠΕ 

Αφού καθιερωθεί το πλαίσιο διαχείρισης κινδύνων ΤΠΕ, ένας οργανισμός οφείλει να γνωρίζει πως να αναφέρει περιστατικά, εφόσον αυτά συμβούν. Με τον κανονισμό DORA, η αναφορά περιστατικών ΤΠΕ θα γίνει απλούστερη διαδικασία με την ενοποίηση των σχετικών αναφορών σε ένα περισσότερο εξορθολογισμένο και απλοποιημένο κανάλι. Οι χρηματοπιστωτικοί οργανισμοί πρέπει να υποβάλλουν μία έκθεση για τη βασική αιτία σε έναν ενιαίο Ευρωπαϊκό φορέα εντός ενός μηνός από ένα σοβαρό περιστατικό που σχετίζεται με ΤΠΕ με βάση τους νέους κανόνες αναφορών της Ευρωπαϊκής Ένωσης. Μόλις ένας οργανισμός υποβάλει έκθεση αιτίας, ο φορέας της Ευρωπαϊκής Ένωσης θα επανεξετάσει όλες τις σημαντικές αναφορές που σχετίζονται με ΤΠΕ και θα συγκεντρώσει όλα τα δεδομένα για να διαπιστώσει αν υπάρχουν κοινά τρωτά σημεία ασφαλείας μεταξύ των χρηματοπιστωτικών ιδρυμάτων.

 3. Δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας 

Επί του παρόντος, κάποιες χρηματοπιστωτικές οντότητες προσλαμβάνουν ανεξάρτητα μέρη για να διεξαγάγουν δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, κατά τις οποίες δοκιμάζουν τις μεθοδολογίες, τις διαδικασίες, τα εργαλεία και τα συστήματα αποκατάστασης/ ανάκαμψης προληπτικά για τυχόν κινδύνους για τις ΤΠΕ. Αν και υπάρχουν υφιστάμενα πλαίσια που καλύπτουν τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας για ορισμένους χρηματοπιστωτικούς οργανισμούς, ο κανονισμός DORA θα καταστήσει τις απαιτήσεις δοκιμών ευρέως διαδεδομένες σε ολόκληρο τον τομέα των χρηματοπιστωτικών υπηρεσιών. Το αποτέλεσμα θα είναι να αυξηθεί ο αριθμός των οργανισμών που απαιτείται να διεξαγάγουν δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, γεγονός που θα ελαχιστοποιήσει το κόστος πρόσληψης ανεξάρτητων φορέων και θα μειώσει τις πιθανότητες να υποστούν οι οργανισμοί κυβερνοεπιθέσεις.

 4. Ανταλλαγή πληροφοριών και «ευφυίας»

Μετά την πλήρη εφαρμογή του κανονισμού DORA, οι οργανισμοί θα πρέπει να μοιράζονται πληροφορίες σχετικά με τις κυβερνοαπειλές εντός αξιόπιστων χρηματοπιστωτικών κοινοτήτων. Ο κύριος στόχος είναι η παροχή βοήθειας σε άλλους οργανισμούς ώστε να γνωρίζουν τις πιθανές κυβερνοαπειλές και να καταφέρουν εγκαίρως να αναπτύξουν τις δικές τους λύσεις για την προστασία των ιδιωτικών πληροφοριών. Οι οργανισμοί θα περιγράφουν και θα μοιράζονται τις στρατηγικές που χρησιμοποιούν για την καταπολέμηση των κυβερνοαπειλών, ώστε να βελτιωθεί συνολικά η ασφάλεια της κοινότητας των χρηματοπιστωτικών υπηρεσιών.

 5. Διαχείριση κινδύνων ΤΠΕ από τρίτους

Οι χρηματοπιστωτικές οντότητες είναι απαραίτητο να έχουν συνάψει συμβάσεις με κάθε «κρίσιμο» πάροχο υπηρεσιών ΤΠΕ, επισημαίνοντας και υπογραμμίζοντας θέματα όπως η προστασία των δεδομένων και η διαχείριση περιστατικών. Αυτό που διακρίνει ορισμένους παρόχους υπηρεσιών ΤΠΕ ως «κρίσιμης σημασίας» από άλλους περιλαμβάνει την παροχή υπηρεσιών που είναι ζωτικής σημασίας για την καθημερινή λειτουργία ενός οργανισμού. Οι συμβάσεις με κρίσιμης σημασίας τρίτους παρόχους αποτελούν εγγύηση ότι οφείλουν να υποστηρίζουν τους συνδεδεμένους χρηματοπιστωτικούς οργανισμούς σε περίπτωση παραβίασης δεδομένων ή άλλης κυβερνοεπίθεσης. Για παράδειγμα, όταν υπογράφεται μία σύμβαση, θα απαιτείται από τον τρίτο πάροχος να μοιράζεται σχετική πληροφόρηση και να τηρεί το υψηλότερο επίπεδο προτύπων ασφαλείας για τις υπηρεσίες που παρέχει σε έναν χρηματοπιστωτικό οργανισμό που συμμορφώνεται με τον DORA λόγω της κρισιμότητας της ιδιότητας του. 

Πως να προετοιμαστείτε για τη συμμόρφωση με τον κανονισμό DORA 

Μπορείτε να προετοιμάσετε τον οργανισμός σας για να ανταποκρίνεται στις απαιτήσεις του κανονισμού DORA με διάφορους τρόπους, όπως η διενέργεια ανάλυσης κενών του DORA, ο εντοπισμός κρίσιμης σημασίας τρίτων παρόχων και η αξιολόγηση του τρέχοντος σχεδίου σας όσον αφορά την αντιμετώπιση περιστατικών. 

Διεξαγωγή ανάλυσης κενών DORA 

Για να προσδιορίσετε όλα τα κενά σε όλα τα συστήματα ΤΠΕ, καλό είναι ο οργανισμός σας να εκτελέσει μία ανάλυση κενών σε συνάρτηση με τον κανονισμό DORA. Μπορείτε να αξιολογήσετε τις τρέχουσες πρακτικές σας και να τις φέρετε σε αντιπαράθεση με τις απαιτήσεις του DORA για να εντοπίσετε αποτελεσματικότερα τυχόν τομείς που ο οργανισμός σας πρέπει να παρουσιάσει βελτίωση για να αποδείξει τη συμμόρφωση του με τις νέες απαιτήσεις. Με βάση τα αποτελέσματα της ανάλυσης κενών DORA, ενδέχεται να χρειαστεί να δημιουργήσετε ένα σχέδιο δράσης και αποκατάστασης για την αντιμετώπιση τυχόν κενών στον οργανισμό σας. Για παράδειγμα, αν η ανάλυση κενών δείξει ότι ο οργανισμός σας δεν συμμετέχει στην ανταλλαγή πληροφοριών, θα πρέπει να προσδιορίσετε δράσεις και να καταρτίσετε ένα χρονοδιάγραμμα για να διασφαλίσετε ότι ο οργανισμός σας συμμορφώνεται με τον κανονισμό DORA. 

Προσδιορισμός κρίσιμων τρίτων παρόχων ΤΠΕ  

Ο οργανισμός σας πρέπει να προσδιορίσει αν συνεργάζεται με «κρίσιμους» τρίτους παρόχους ΤΠΕ, προσδιορίζοντας όλα τα χαρακτηριστικά που καθορίζουν αυτή την κατηγοριοποίηση. Αν χρησιμοποιείτε οποιουσδήποτε τρίτους παρόχους υπηρεσιών cloud (CSP), η ομάδα ασφαλείας σας πρέπει να βεβαιωθεί ότι οι εν λόγω προμηθευτές συμμορφώνονται επίσης με τις απαιτήσεις του κανονισμού DORA και ότι υπάρχουν οι σχετικές συμβάσεις. Είναι σημαντικό να προσδιορίσετε ποιοι από τους τρίτους παρόχους υπηρεσιών που συνεργάζεστε εμπίπτουν στην κατηγορία των «κρίσιμης σημασίας», διότι ενδέχεται να χρειαστεί να δημιουργήσετε ομάδες και να τροποποιήσετε το λογισμικό για να διασφαλίσετε τη συμμόρφωση με τον κανονισμό DORA. 

Αξιολογήστε το τρέχον σχέδιο αντιμετώπισης συμβάντων 

Ένα σχέδιο αντιμετώπισης περιστατικών αναθέτει αρμοδιότητες και παρέχει διαδικασίες που πρέπει να ακολουθήσουν οι υπάλληλοι ενός οργανισμού σε περίπτωση παραβίασης δεδομένων ή κυβερνοεπίθεσης. Έχοντας καθιερώσει ένα σχέδιο αντιμετώπισης περιστατικών, ο οργανισμός σας θα αποφύγει καταστάσεις πανικού αν κάτι πάει στραβά και θα είναι προετοιμασμένος να εντοπίσει, να αξιολογήσει, να αποκαταστήσει και να αποτρέψει επιθέσεις από το να επαναληφθούν. Αν από την άλλη υποθέσουμε ότι οργανισμός σας έχει ήδη καταστρώσει κάποιο τρέχον σχέδιο αντιμετώπισης περιστατικών, θα πρέπει να το επανεκτιμήσετε και να το επαναξιολογήσετε ώστε να είναι συμβατό με τον κανονισμό DORA. Κάντε έναν έλεγχο του τρέχοντος σχεδίου σας σε συνάρτηση με τις απαιτήσεις του DORA για να προσδιορίσετε κατά πόσον ο οργανισμός σας ακολουθεί συγκεκριμένες εντολές. Αν τεστάρετε το σχέδιο αντιμετώπισης περιστατικών σας προσομοιώνοντας μια παραβίαση δεδομένων και ανακαλύψετε ευπάθειες, θα πρέπει επίσης να τροποποιήσετε την εσωτερική διαδικασία δημιουργίας αναφορών ώστε να πληροίτε τα πρότυπα του κανονισμού DORA. 

Τι συμβαίνει όταν οι επιχειρήσεις δεν συμμορφώνονται με τον DORA; 

Αν μια χρηματοπιστωτική οντότητα δεν συμμορφώνεται με τον κανονισμό DORA, οι αρχές μπορούν να επιβάλουν πρόστιμα που φτάνουν έως και το 2% των ετήσιων παγκόσμιων εσόδων του οργανισμού. Και την ώρα που ο οργανισμός θα υποφέρει στο σύνολό του ως αποτέλεσμα της μη συμμόρφωσης με τον κανονισμό DORA, μεμονωμένα στελέχη ενδέχεται επίσης να λάβουν χρηματικό πρόστιμο που ενδέχεται να φτάσει έως και το ένα εκατομμύριο ευρώ. Για τυχόν «κρίσιμης σημασίας» τρίτους παρόχους ΤΠΕ που δεν συμμορφώνονται με τον κανονισμό DORA, το πρόστιμο μπορεί να φτάσει ακόμα και τα πέντε εκατομμύρια ευρώ. 

Πως το KeeperPAM® μπορεί να σας βοηθήσει να τηρήσετε τη συμμόρφωση με τον κανονισμό DORA 

Ο οργανισμός σας μπορεί να ενισχύσει την ασφάλεια του και να ανταποκριθεί σε ορισμένες σημαντικές απαιτήσεις συμμόρφωσης του κανονισμού DORA επενδύοντας σε μια λύση διαχείρισης προνομιακής πρόσβασης (Privileged Access Management – PAM) όπως το KeeperPAM®. Χρησιμοποιώντας το KeeperPAM®, ο οργανισμός σας θα είναι σε θέση να παρακολουθεί στενά και να διαχειρίζεται υπαλλήλους και συστήματα που χειρίζονται ευαίσθητα δεδομένα και κρίσιμους λογαριασμούς μειώνοντας σημαντικά τυχόν σφάλματα ή ευπάθειες που θα μπορούσαν να οδηγήσουν σε παραβιάσεις δεδομένων ή κυβερνοεπιθέσεις. Το KeeperPAM® μπορεί επίσης να βοηθήσει τους χρηματοπιστωτικούς οργανισμούς να ανταποκριθούν στην πρόκλησης της συμμόρφωσης με τον κανονισμό DORA, μειώνοντας την επιφάνεια επίθεσης, εξασφαλίζοντας ασφαλή πρόσβαση για εξουσιοδοτημένους χρήστες και επιτυγχάνοντας ολοκληρωμένο reporting για κάθε προνομιακό λογαριασμό.

Ζητήστε μία δοκιμαστική έκδοση του KeeperPAM® σήμερα για να διασφαλίσετε ότι ο οργανισμός σας είναι προετοιμασμένος για τις απαιτήσεις συμμόρφωσης του κανονισμού DORA και προστατευμένος με τα υψηλότερα επίπεδα προστασίας ευαίσθητων και κρίσιμης σημασίας δεδομένων. 

Πηγή: NSSKeeper Security