ארגוני שירות פיננסי יאתגרו לשפר את החוסן התפעולי שלהם עם מערך תקנות נכנס שהשפעתם תתרחב הרבה מעבר למגזר.
חוק החוסן התפעולי הדיגיטלי (DORA) מגבש ומרחיב כללי אבטחת סייבר וחוסן תפעולי עבור חברות שירותים פיננסיים הפועלות באיחוד האירופי.
ליתר דיוק, DORA מציגה דרישות ספציפיות ותקניות לגבי ניהול סיכונים בטכנולוגיית מידע ותקשורת (ICT) ודיווח על אירועים. התקנות אושרו על ידי מועצת האיחוד האירופי בינואר 2023, והחל את השעון על תקופת יישום של 24 חודשים.
הן לחברות במגזר הפיננסי והן לספקי טכנולוגיית ה-ICT שלהן (כגון פלטפורמות ענן וספקי ניתוח נתונים) יש עד ה-17 בינואר 2025 לעמוד בתקנות החדשות.
וויל ריצ'מונד-קוגן, שותף במשרד עורכי הדין בבריטניה Freeths ומומחה ב הגנה על נתונים וליטיגציה בתחום הסייבר, הגיב: "הצורך ברגולציה זו הונע מהתלות הגוברת של מוסדות פיננסיים במערכות הדיגיטליות שלהם והקישוריות ההדדית של מערכות אלו בכל המגזר הפיננסי.
הבנקים נדרשו זה מכבר לנהל סיכונים תפעוליים באמצעות ביקורת, בקרה וגישה להון מספק. האמצעים להבטחת חוסן תפעולי מול הבעיה ההולכת וגוברת של התקפות תוכנות זדוניות ופריצה פלילית פחות בשלים, חיסרון שתקנות DORA מבקשות לטפל בהן.
"ברור שהמניע המרכזי מאחורי החקיקה הוא יצירת עקביות וודאות לגבי החוסן הטכנולוגי של כל ישות במגזר הפיננסי האירופי, יחד עם המתווכים, החברות הבנות והספקים של צדדים שלישיים שלהם", אמרה ריצ'מונד-קוגן ל-ISMS.com. . "מטרת החקיקה היא להוביל לשיפור בשקיפות האירועים ובחוסן המערכת על ידי העלאת ציפיות המינימום לעסקים בשירותים פיננסיים."
חמישה עמודים
חמשת העמודים המרכזיים במסגרת החקיקה מכסים נושאים כגון ניהול סיכונים, דיווח על אירועים, בדיקות חוסן סטנדרטיות, שיתוף מודיעין וניהול סיכונים של צד שלישי.
הרגולציה מציעה הזדמנות לשפר את חוסנו של המגזר בכללותו, אך רק אם "ארגונים יאמצו את ההזדמנויות לאסוף מידע ו איום מודיעיני לסייע זה לזה לזהות ולטפל בנקודות חולשה", סיכמה ריצ'מונד-קוגן.
לוק דאש, מנכ"ל ISMS.online, הגיב: "אחד העקרונות הקריטיים של DORA הוא שארגונים חייבים לאמץ גישה פרואקטיבית הכוללת זיהוי סיכונים מתמשך והקמת אמצעי הגנה ומניעה חזקים".
דש המשיך: "זה יאפשר לארגונים לזהות ולחסל באופן מיידי כל חולשה, ליקויים או פערים בפעילות הדיגיטלית שלהם, תוך שמירה על שלמות ואבטחת המערכות שלהם".
ג'ון אליוט, יועץ אבטחה בספק כלי אבטחת האינטרנט Jscrambler, אמר שהכנסת DORA תביא לכך שבמקום פשוט לבסס בקרות מניעה, ארגונים יחויבו לנקוט "בראייה הוליסטית יותר הכוללת זיהוי, תגובה והתאוששות".
"זה גם דורש מגופים לא רק שיהיו להם מערכות גמישות אלא לבדוק ולהוכיח את חוסנם", הוסיף אליוט.
הנחת היסודות
תקנים כמו ISO 27001 יכול למלא תפקיד מכריע בסיוע לארגונים לקראת עמידה בחוק החוסן התפעולי הדיגיטלי (DORA).
ISO 27001 מכסה תחומים שונים הרלוונטיים לתאימות DORA, כולל הערכת סיכונים, תגובה לאירועים, המשכיות עסקית וחוסן תפעולי. "לארגונים שכבר השיגו את הסמכת ISO 27001 או שיישמו את עקרונותיו, יהיה בסיס איתן כדי לטפל ברבים מהיבטי האבטחה והחוסן הנדרשים על ידי DORA", ISMS. הדש של מקוון הסביר.
"יתר על כן, הדגש של ISO 27001 על גישה מבוססת סיכונים ושיפור מתמיד עולה בקנה אחד עם הרוח של DORA, שכן שני התקנים מקדמים ניהול סיכונים פרואקטיבי ושיפור מתמשך של החוסן התפעולי", הוסיף.
דש המשיך: "יישום ISO 27001 יכול לעזור לארגונים לזהות ולטפל בפרצות פוטנציאליות, לחזק את עמדת האבטחה שלהם ולבסס את התהליכים והבקרות הדרושים כדי לעמוד בדרישות DORA."
מומחים אחרים הסכימו כי יישום ISO 27001 מניח את הבסיס למטרה השאפתנית יותר להתקדם לעבר ציות ל-DORA.
אליוט של Jscrambler הסביר: "כפי שסעיף 5(4) [של DORA] מחייב ארגונים ליישם מערכת ניהול אבטחת מידע או ISMS, מעקב אחר תקנים כמו 27001 תהיה הבחירה הטבעית עבור רוב הארגונים לתת להם מבנה לאבטחת המידע שלהם וגם כדי להיות מסוגלים להוכיח לרגולטור שיש להם ISMS במקום".
Dash של ISMS.online הוסיף כי על ידי שימוש ב-27001 כאבן דרך, "ארגונים יכולים לייעל את מאמצי הציות שלהם ולהפגין מחויבות יזומה לאבטחת מידע וחוסן תפעולי", היבט חיוני של המעבר לקראת ציות ל-DORA.
"ISO 27001 יכול גם לאפשר לארגונים לשכב תקנים אחרים על גבי הזמן, ולפשט את התאימות באופן כללי יותר לארגונים ככל שנוף הסיכונים מסתגל", סיכם דאש.
אנגלו-קובץ
DORA היא תקנה של האיחוד האירופי, ומכיוון שבריטניה אינה באיחוד האירופי, אין השפעה ישירה - לפחות על החוק הבריטי. עם זאת, גופים בבריטניה המציעים את שירותיהם ללקוחות באיחוד האירופי חייבים לציית ל-DORA.
"הממשלה ציינה שהיא תחוקק חקיקה לגבי החוסן התפעולי של צדדים שלישיים, וה-BOE [בנק אוף אנגליה]/PRA ו-FCA [רשות ההתנהלות הפיננסית] התייעצו במשותף בנושא זה למרות שטרם הופיעה רגולציה רשמית". לפי אליוט של Jscrambler. "לבנק יש תוכניות אחרות שמתאימות לכמה היבטים של DORA, למשל, הדרישה לבדיקת חדירת איומים ב-CBEST."
ISMS.online הזמין את משרד נציב המידע (ICO) להגיב באיזו מהירות DORA עשויה להיות מאומצת על ידי ארגונים בבריטניה והאם ל-ICO יהיה תפקיד בקידום או באכיפת הרגולציה. זה סירב להגיב.
מכשולים
השגת תאימות עם DORA צפויה להיות פרויקט גדול.
אליוט של Jscrambler הגיב: "הבעיה הגדולה ביותר שאני צופה היא עבור מוסדות פיננסיים בינוניים שהם גדולים מכדי לנצל את הפטורים עבור חברות קטנות ומיקרו-ארגונים, אבל שלא נאלצו בעבר לקבל גישה כה מתוחכמת לאבטחת סייבר. אין להם הרבה זמן לבצע את השינויים הטכניים והפילוסופיים הנדרשים על פי הרגולציה".
המהירות שבה ארגונים מושפעים יכולים לציית ל-DORA תושפע מגורמים רבים, כולל "גודל החברה, מורכבות התשתית, ומוכנות ארגונית לאמץ דרכי עבודה חדשות" ISMS. הדש של מקוון הסביר.
"לתקנת DORA יש דרישות רבות, כולל ביצוע הערכות סיכונים, חיזוק החוסן התפעולי וקביעת נהלי תגובה חזקים לאירועים", סיכם דאש. "העבודה למען מטרות אלה והטמעת תהליכים אלה במידה מספקת עשויה להימשך מספר חודשים עד מספר שנים."
אנשי מקצוע ופלטפורמות ציות יכולים "לעזור לייעל את תהליך ההטמעה ולהבטיח ציות מתמשך", סיכם דש.
רשימת 15 שלבים של DORA
הורד את רשימת הבדיקה השימושית הזו בת 15 השלבים כדי לעזור לך להתחיל במסע שלך לעמידה בדרישות. נותרו 18 חודשים בלבד לפני כניסת חוק החוסן התפעולי הדיגיטלי לתוקף, מעולם לא היה זמן טוב יותר להתחיל!
