Cybersecurity is everyone’s business, especially in the financial markets. The European Commission has now introduced a comprehensive security framework for these with the DORA Regulation (Digital Operational Resilience Act). This article shows what DORA means and how companies can prepare for it.
Háttér
A DORA-rendelet többletmunkát jelent a pénzügyi ágazatban működő vállalatok számára, de egyben fontos lehetőséget is. Esélyt ad arra, hogy növeljék kiberbiztonságukat, hatékonyan reagáljanak az incidensekre, és következetesen magas szintű biztonságot érjenek el.
Az egyre több incidens és kifinomult támadás szükségessé teszi a hatékony védelem kialakítását és a kiberfenyegetések hatékonyabb elhárítását.
Mi az a DORA?
A digitális működési rezilienciáról szóló rendelet (DORA) egy uniós rendelet, amelynek célja a pénzügyi vállalatok és infrastruktúráik digitális rezilienciájának megerősítése. A DORA egységes szabályokat állapít meg annak biztosítására, hogy a szervezetek fel legyenek vértezve a kibertámadásokkal és egyéb informatikai kockázatokkal szemben.
A rendelet más uniós rendeletek és irányelvek szabályait foglalja össze és harmonizálja. Előírja, hogy az informatikai és kockázatkezelési rendszerek átfogó elfogadása szükséges. A rendelet 2025. január 17-én lépett hatályba.
Mit ír elő a DORA?
A digitális működési reziliencia rendelet célja a teljes európai pénzügyi szektor digitális rezilienciájának megerősítése.
Fő tartalma a következő:
- Kockázatmenedzsment: a pénzügyi vállalatoknak megbízható rendszereket és folyamatokat kell bevezetniük az informatikai kockázatok azonosítása, kezelése és nyomon követése érdekében.
- Jelentési kötelezettségek: a vállalatoknak dokumentálniuk és jelenteniük kell az informatikai zavarokat és kibertámadásokat.
- Harmadik fél szolgáltatók kezelése: szigorú szabályok vonatkoznak a kritikus informatikai szolgáltatásokat nyújtó harmadik fél, például kritikus IKT (információs és kommunikációs technológia) harmadik fél kezelésére. A vállalatoknak információmegosztási megállapodásokat kell létrehozniuk, és értékelniük kell az IKT harmadik féllel kapcsolatos kockázatokat.
- Rendszeres IT-tesztek: a potenciális sebezhetőségek azonosítása érdekében a vállalatoknak rendszeresen tesztelniük kell digitális rendszereiket a gyenge pontok feltárására.
- Egységes keretrendszer: a széttagoltság elkerülése érdekében az EU-n belül harmonizálják a követelményeket.
Kit érint a DORA?
A DORA európai rendeletként elsősorban a pénzügyi vállalatokat érinti. Emellett a következőkre is kiterjed:
- bankok
- biztosítók
- befektetési társaságok
- Európai Értékpapír-piaci Hatóság
- európai felügyeleti hatóságok
- pénzforgalmi szolgáltatók
- kritikus IKT-szolgáltatók
Ezenkívül magában foglalja a felügyeleti és szabályozó hatóságokat, például az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóságot. A kiberkockázatok által közvetve érintett kisebb pénzügyi szereplőknek és szolgáltatóiknak is meg kell felelniük a DORA szabványoknak.
Ezenkívül magában foglalja a felügyeleti és szabályozó hatóságokat, például az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóságot. A kiberkockázatok által közvetve érintett kisebb pénzügyi szereplőknek és szolgáltatóiknak is meg kell felelniük a DORA szabványoknak.
Mi a DORA hatása?
Nagyjából két lehetőség van: a vállalatok és szervezetek vagy kihívásként, vagy lehetőségként tekintenek a DORA-ra.
A DORA mint kihívás
A rendelet kihívást jelent, mivel általában hosszú időt vesz igénybe a rendelkezéseknek való megfelelés. A 2023. január 17-i hatálybalépése és a 2025. január 17-i alkalmazása között két év telt el, ezt mostanra kellett befejezni. Ennek ellenére problémák merülhetnek fel. A pénzügyi vállalatoknak következetesen magas szintű érettséget kell biztosítaniuk a kiberbiztonság és a működési rugalmasság tekintetében.
A DORA új követelményeket támaszt, például penetrációs teszteket (szimulált hackertámadások) és egyéb szigorúbb biztonsági intézkedéseket. Emellett a vállalatoknak és szolgáltatóiknak pontosan tisztázniuk és ellenőrizniük kell a kölcsönös függőségeket. Például a vállalatok felelősek azért, hogy a harmadik fél szolgáltatók és az IKT harmadik fél szolgáltatók rugalmasak legyenek, különösen a kritikus üzleti folyamatok esetében. Ez csak akkor működik, ha szorosan együttműködnek az IT-szolgáltatókkal.
Röviden, ahhoz hogy a vállalatok hosszú távon megfeleljenek a DORA elvárásainak, nagy erőfeszítéseket kell tenniük – és folyamatosan figyelemmel kell kísérniük az általuk használt rendszerek biztonságát.
A DORA mint lehetőség
A pozitív oldalról a DORA biztonságosabbá teszi a vállalatokat. Végül is a reziliencia nemcsak fontos, hanem kulcsfontosságú versenyelőny is.
Más szóval, sosem árt, ha átfogóan védekezünk – különösen akkor, amikor a fenyegetettség szintje folyamatosan növekszik. Túl gyorsan történnek olyan kritikus támadások, amelyek nemcsak az érzékeny adatokat fenyegetik, hanem jelentős gazdasági károkat is okozhatnak.
Azok a vállalatok, amelyek már megfelelnek más szabályozási követelményeknek, általában jobb helyzetben vannak ahhoz, hogy könnyebben végrehajtsák a DORA-t, mint azok, amelyek nem.
Kiaknázásra váró lehetőségek:
1. A reziliencia és a biztonság javítása. A DORA-rendelet végrehajtásával a vállalatok hatékonyan növelik kiberbiztonságukat és ellenálló képességüket a támadásokkal szemben. Kisebb az informatikai leállások, kibertámadások és egyéb incidensek kockázata. Biztonságban tartják magukat az IKT-vel kapcsolatos incidensek esetén is.
2. Harmonizáció és méretgazdaságosság. Az EU-szintű egységes keretrendszer lehetővé teszi a határokon átnyúlóan működő vállalatok számára, hogy optimalizálják és szabványosítsák folyamataikat. Előnyükre válik a kevesebb adminisztratív akadály és a méretgazdaságosság.
3. Versenyelőnyök. A magas szintű digitális reziliencia minőségi jellemzőként és bizalmi tényezőként jelentkezik az ügyfelek, partnerek vagy befektetők számára. Azok, akik jól megbirkóznak az esetleges támadásokkal és kiesésekkel, kiemelkednek a versenytársak közül.
4. Holisztikus ellenőrzés. A harmadik féltől származó szolgáltatók kezelése lehetővé teszi a vállalatok számára, hogy jobban megértsék a függőségeiket, és már korai szakaszban megfelelő intézkedéseket tegyenek a külső szolgáltatóktól eredő kockázatok minimalizálása érdekében.
5. Innovációs ösztönzők. Mivel az érintett vállalatoknak esetenként új technológiákba és folyamatokba kell beruházniuk, lehetőséget kapnak arra, hogy hatékony és jövőbiztos IT-infrastruktúrát építsenek ki.
Legjobb gyakorlatok a kiberbiztonság fokozásához
A digitális működési rezilienciáról szóló rendelet arra kényszeríti az érintett vállalatokat, hogy növeljék saját informatikai biztonságukat. Ugyanakkor a kiberbiztonságba való befektetésnek a szabályozástól függetlenül is sok értelme van. Ezzel felvértezi magát a támadások és incidensek ellen. Emellett stabilitást, erősebb versenyhelyzetet és nagyobb bizalmat biztosít.
Érdemes tehát – még a pénzügyi szektoron kívüli vállalatoknak is – átfogóan felülvizsgálni az IT-biztonságot, átvenni a digitális működési reziliencia tesztelését és elvégezni a kapcsolódó beruházásokat.
A következő legjobb gyakorlatok segíthetnek.
1. legjobb gyakorlat: strukturált kibervédelem megvalósítása
Vészhelyzetben az informatikai, biztonsági és vezetői csapatoknak biztonságos és strukturált módon kell kommunikálniuk egymással. Az előre meghatározott és bevált folyamatok időt takarítanak meg és elkerülhetők a hibák. Egy megfelelő kibervédelmi megoldás nemcsak gyors áttekintést biztosít minden érintett számára és automatizálja a munkafolyamatokat, hanem abszolút biztonságos titkosítást és kiterjesztett megfelelőségi funkciókat is ígér.
2. legjobb gyakorlat: megfelelő informatikai szolgáltatásokra támaszkodás
Az informatikai szolgáltatások külső szolgáltatótól történő megrendelése növeli a vállalatok mozgásterét, és ezáltal azt is, hogy rugalmasan tudnak reagálni a biztonsági eseményekre. A jó skálázhatóság, a szaktudáshoz való könnyű hozzáférés, a kisebb munkaterhelés és a professzionális IT-menedzsment csak néhány az előnyök közül. Ez különösen fontos, ha kritikus fontosságú IKT harmadik féllel dolgoznak együtt.
3. legjobb gyakorlat: IT-eszközgazdálkodás biztosítása
Az IT-eszközgazdálkodás az IT-eszközök – például számítógépek, szoftverek, hálózatok és fontos információk – szisztematikus kezelését írja le. Ezek központi kezelésével elkerülhetők az információs silók és a kockázatok.
4. legjobb gyakorlat: incidensreagálási terv létrehozása
Egy kifinomult vészhelyzeti tervvel gyorsan és megfelelően lehet reagálni a biztonsági eseményekre. A lehetséges fenyegetésekre való felkészülés kulcsfontosságú a magas szintű kiberbiztonság szempontjából. Az incidensreagálási terv (Incident Response Plan, IPR) jellemzően szerepeket, felelősségi köröket, eszkalációs utakat, kommunikációs protokollokat és technikai lépéseket tartalmaz a biztonsági incidensek kezelésére.
5. legjobb gyakorlat: fenyegetések elemzése és nyomon követése
A legjobb védekezés az, ha eleve megakadályozzuk a fenyegetés kialakulását. Ezért célszerű a hálózatokat illetéktelen tevékenységeit megfigyelni, és megfelelő rendszereket bevezetni. Azok, akik a fenyegetésekkel kapcsolatos adatok gyűjtésére, elemzésére és terjesztésére fenyegetettségi információkat használnak, gyorsan reagálhatnak és semlegesíthetik azokat, mielőtt akuttá válnának.
6. legjobb gyakorlat: biztonságos IoT-eszközök
A dolgok internete (IoT) nagyon fontossá vált – és egyre inkább terjed. Ugyanakkor számos biztonsági kockázatot is magában hordoz. A lehető legnagyobb védelem érdekében az érintett eszközökhöz nem szabad alapértelmezett jelszavakat használni, és a szoftvereket rendszeresen frissíteni kell. Célszerű továbbá a felesleges funkciókat és szolgáltatásokat kikapcsolni.
7. legjobb gyakorlat: együttműködés az etikus hackerekkel
Senki sem tud olyan jól meghiúsítani egy sikeres hackertámadást, mint maguk a hackerek. Az etikus hackerek alkalmazása saját rendszereiben a legjobb módja a lehető legjobb biztonsági szint biztosításának.
Alapvetően két lehetséges eredményre számíthatunk:
Az etikus hackerek nem találnak releváns sebezhetőségeket, ami optimális biztosíték arra, hogy a rendszer biztonságos.
A releváns sebezhetőségek napvilágra kerülnek, hogy az érintett szervezetek még a vészhelyzet bekövetkezése előtt kiküszöbölhessék azokat.
Ezenkívül számos más lépést is tehetnek a vállalkozások, amelyekkel megóvhatják alkalmazottaikat, eljárásaikat és eszközeiket, többek között:
- többfaktoros hitelesítés
- rendszeres szoftverfrissítések
- a hozzáférési jogok rendszeres felülvizsgálata
- a kritikus adatok rendszeres biztonsági mentése
- az e-mailek biztonságos kezelése
A megfelelő szoftver segíthet
Ha kiberbiztonságról van szó, minden a megfelelő szoftverről szól, két szempontból is:
A használt szoftvernek biztonságosnak és a jogszabályoknak megfelelőnek kell lennie.
Különleges biztonsági megoldásokra van szükség – különösen a DORA szektorban és a kritikus infrastruktúrák (KRITIS) esetében – az átfogó védelem biztosítása, valamint az esetleges incidensekre való gyors és megfelelő reagálás érdekében.
Hogyan fokozzák a szoftvermegoldások a védelmet
A biztonság és a megfelelőség a szoftvermegoldásokkal szemben támasztott alapvető követelmények közé tartozik. A megfelelő védelem azonban nem magától értetődő. Az általános adatvédelmi rendeletnek (GDPR) való megfelelés, a biztonságos európai kiszolgálók használata, az átfogó hitelesítés lehetővé tétele és a fejlett biztonsági módszerek alkalmazása jó szabványt jelent.
A rendszereknek auditálhatónak kell lenniük a kockázatcsökkentési tevékenységekről szóló, nem szerkeszthető dokumentációval. Ez eszközként szolgálhat ahhoz, hogy az összes intézkedési lépést és kommunikációt a hivatalos szaklapban közzétegyék. A rendszereket automatikus biztonsági mentésekkel is fel kell szerelni.
Összességében egy erősen védett, megfelelőségi kockázatok nélküli felhőmegoldás például gyorsan a helyes útra terelheti a szervezeteket. Akik egy szakszerűen kezelt és átfogóan felügyelt megoldásra támaszkodnak, általában sokkal hatékonyabban növelik a védelmet, mint a belső biztonsági intézkedésekkel. Ez jó alapot teremt az olyan szabályozásoknak való megfeleléshez, mint a DORA, és jelentősen minimalizálja a támadások és incidensek kockázatát.
Miért olyan fontosak a különleges kibervédelmi megoldások
Kiberkockázatokból és biztonsági sebezhetőségekből nincs hiány. A szervezeteknek fel kell készülniük a legrosszabbra, függetlenül attól, hogy informatikai rendszereik és biztonsági intézkedéseik mennyire biztonságosak. A fenyegetések szintje egyre nő, és a DORA rendelet világosan mutatja, hogy a robusztus kibervédelmi megoldás erősen ajánlott.
Ez nem csak arról szól, hogy a biztonsági incidenseket a lehető leghatékonyabban kezeljük, és képesek legyünk strukturált módon kommunikálni az érintett csapatok között, hanem arról is, hogy a biztonságot a lehető legmagasabb szintre emeljük – egészen a katonai szabványoknak való megfelelésig.
A megfelelő szoftvertámogatás megnyugtatja a szervezeteket, hatékonyan segíti őket az előírások betartásában, és felbecsülhetetlen értékűnek bizonyul, amikor tényleges incidensek történnek.
Következtetés: a DORA-t lehetőségnek kell tekinteni
Az olyan rendeletek, mint a DORA, sok időbe, pénzbe és felkészülési időbe kerülnek a szervezeteknek. Nem mindig könnyű minden tekintetben megfelelni nekik. A szabályozásoknak gyakran nincs pozitív felhangjuk, és sokan kételkednek a hasznosságukban.
Most azonban a DORA egyesíti a meglévő szabályozásokat, és így csökkenti a „szabályozási őrületet”, amelynek sok szervezet ki van téve. Ráadásul a pénzügyi szektor – beleértve a vele kölcsönhatásban álló területeket is – már most is magas biztonsági előírásokkal rendelkezik. A DORA egyszerűen jó ösztönzést ad ezek teljesítéséhez. Más szóval, a szabályozás kihívás, de még inkább lehetőség olyan lépések végrehajtására, amelyek a magas fenyegetettségi szint miatt gyakorlati szempontból felbecsülhetetlen értékűek lehetnek.
A mai üzleti világban a biztonság és a megfelelőség nagymértékben függ a használt szoftvermegoldásoktól. Így az e téren való helyes választás, az átfogó védelmi funkciók bevezetése és a naprakészen tartás kiváló alapot biztosít az olyan előírásoknak való következetes megfeleléshez, mint a DORA.
