צוותי האבטחה והתאימות פתחו את שנת 2025 בעיצומה. בין המועד האחרון עבור המדינות החברות ליישם את NIS 2 בחוק המקומי לבין תחילת משטר PCI DSS 4.0 החדש, הגיע DORA: חוק החוסן הדיגיטלי והתפעוליהחל מ-17 בינואר, היה צפוי כי התוכנית תכלול למעלה מ-22,000 חברות שירותים פיננסיים וספקי טכנולוגיות מידע ותקשורת (ICT) הפועלים באיחוד האירופי.
יש רק בעיה אחת. על פי מחקר חדש, 96% מחברות השירותים הפיננסיים האירופיות עדיין אינן מאמינות שהחוסן הדיגיטלי שלהן מספיק כדי לעמוד בדרישות המחמירות של DORA. וצוותי IT ואבטחה רבים חשים מוצפים מעומס העבודה הנוסף. כאן תאימות לתקן ISO 27001 יכולה להיות שימושית.
עידן חדש של חוסן פיננסי
אירועי סייבר בשני העשורים האחרונים גרמו להפסדים ישירים של 12 מיליארד דולר לחברות פיננסיות גלובליות, על פי קרן המטבע הבינלאומיתזה לא רק סיכון פיננסי; זה עלול להוות סיכון מערכתי לכלל מה שמשמש כתשתית לאומית קריטית. DORA היא התשובה של הנציבות האירופית: תקנה חדשה שנועדה להבטיח שלחברות פיננסיות - ובעיקר לספקים שלהן - תהיה החוסן להמשיך לפעול גם בתקופות של שיבושים חמורים.
היא עושה זאת על ידי הרמוניזציה מיידית של התקנות והעלאת הרף עבור צוותי אבטחה ותאימות בתחום. ישנם חמישה עמודי תווך מרכזיים:
- ניהול סיכוני ICT: מדיניות איתנה לזיהוי, הערכה ומיתון של סיכוני טכנולוגיית מידע ותקשורת.
- דיווח על תקריות: דיווח בזמן ובסטנדרט על אירועים משמעותיים הקשורים לטכנולוגיית מידע ותקשורת לרשויות הרלוונטיות.
- בדיקת חוסן דיגיטלי: בדיקות שוטפות להערכת מוכנות הארגון לשיבושים.
- ניהול סיכונים של צד שלישי: הבטחת ניטור וניהול של סיכונים הקשורים לשרשרת האספקה של מוסדות פיננסיים.
- שיתוף מידע: עידוד שיתוף מודיעין איומים בתוך התעשייה כדי לשפר את החוסן הקולקטיבי.
עוד דרך ארוכה
למרבה הצער, הדברים לא הולכים בדיוק לפי התוכנית, אם התוצאות של סקר חדש של Veeam אין ספק בכך. החברה ערכה סקר בקרב למעלה מ-400 מקבלי החלטות בתחום ה-IT/תאימות בבריטניה, צרפת, גרמניה והולנד. הדו"ח שנאסף מגלה כי 94% מדרגים כעת את DORA בעדיפות גבוהה יותר מאשר חודש לפני המועד האחרון, ואותו שיעור ברור לגבי הצעדים שעליהם לנקוט. עם זאת, הרוב המכריע עדיין לא עומד בתקני החוסן של DORA.
Veeam טוענת שלחברות רבות אין את התקציב (20%) לעמידה בתקנות DORA, ובמקרים מסוימים הן מתמודדות עם עלויות גבוהות יותר של ספקים (37%) שמועברים על ידי שותפי ה-ICT שלהן. שתי חמישיות (41%) מדווחות גם על לחץ ומתח מוגברים על צוותי ה-IT והאבטחה שלהן.
רק מחצית שילבו את דרישות DORA בתוכניות החוסן הרחבות יותר שלהם. סגן נשיא אזורי של Veeam לבריטניה ואירלנד, דרו גרדנר, מאמין שרבים מפערי הציות והעיכובים הללו עשויים להיות קשורים לחובות של צד שלישי.
"עם כל כך הרבה פונקציות המכוסות על ידי צדדים שלישיים אלה, ארגונים רבים היו מניחים שהמוצרים שלהם עומדים ב-DORA, אבל זה פשוט לא המקרה", הוא אומר ל-ISMS.online. "עם כל כך הרבה הסכמים חסרי מודלים של אחריות משותפת, ארגון היה יכול להניח שתאימות נופלת תחת חסותו של הספק שלו, בעוד שהספק האמין ההפך."
היכן הם נכשלים
נתונים מהדו"ח תומכים בעמדתו של גרדנר. שליש (34%) מהנשאלים טוענים שהחלק הקשה ביותר בתאימות הוא פיקוח על סיכונים על ידי צד שלישי. חמישית טרם ניסו זאת אפילו.
"המספר העצום של ספקי צד שלישי שאיתם עובד ארגון שירותים פיננסיים ממוצע הוא ככל הנראה עשרות, ורובם יפעלו תחת מודל הקופסה השחורה - מה שנותן מעט מאוד תובנות לגבי אמצעי האבטחה שלהם", אומר גרדנר.
"עבור אלו שעדיין לא ביססו את הפיקוח של צד שלישי, לא תהיה זו משימה קלה לפענח זאת, וארגונים לא יכולים להרשות לעצמם להתעכב."
תחומים נוספים שארגונים רבים טרם החלו לטפל בהם כוללים:
- בדיקות שחזור והמשכיות (24%)
- דיווח על אירועים (24%)
- בחירת מוביל יישום DORA (24%)
- בדיקות חוסן תפעולי דיגיטלי (23%)
- שלמות גיבוי ושחזור נתונים מאובטח (21%)
לחזור למסלול
עם כל כך הרבה מה לעשות, בנוסף לניהול סדרי עדיפויות אחרים, עמידה בתקנות DORA יכולה להיראות כמשימה מרתיעה. עם זאת, גרדנר טוען כי יישום סטנדרטים ומסגרות של שיטות עבודה מומלצות יכול "להקל משמעותית" על נטל הציות.
"במיוחד בעזרת תקן ISO 27001, ארגונים יכולים להפחית כפילויות במאמץ ולייעל את הציות למגוון תקנות, ובכך לחסוך זמן ומשאבים כאחד", הוא מסביר.
"הגישה המובנית של החברה לניהול סיכונים מאפשרת לארגונים לזהות ולמתן סיכוני אבטחה פוטנציאליים באופן שיטתי, במקום להילחם בשריפות במספר חזיתות בו זמנית. זה משפר את מצב האבטחה הכולל ומספק תהליך ברור ומתועד להוכחת תאימות למבקרים ולרגולטורים."
ג'יימס יוז, מנהל טכנולוגיות ראשי ב-Rubrik, קורא לארגונים לשלב את תאימות DORA בתהליכים היומיומיים במקום להתייחס אליה כאל פרויקט חד פעמי.
"שישה חודשים לאחר תחילת פעילותה, DORA עושה יותר מאשר רק להוסיף לנטל הציות; היא כופה שינוי תפעולי אמיתי. אבל יש סכנה שזה יהפוך לעוד תרגיל של סימון תיבות אם מנהלי מערכות מידע לא ישנו את גישתם", הוא אומר ל-ISMS.online. "זה לא עניין של לעבור ביקורות, זה עניין של להיות מסוגל לעמוד ולהתאושש מהתקפות אמיתיות, עם זמן השבתה עסקי מינימלי."
למעלה מחמישית (22%) מהארגונים שנשאלו על ידי Veeam טוענים כי ניתן היה לשפר את עיצוב DORA כדי להגביר את שיעורי הציות. הם קראו לפישוט, הבהרה והנחיות מפורטות יותר כיצד לנהל סיכוני צד שלישי. ייתכן שזה יקרה או לא יקרה מהרגולטורים. בינתיים, טוען יוז כי עדיין לא מאוחר מדי להתחיל לסגור את הפערים שהועלו במחקר.
"התחילו במיפוי נכסי ה-IT הקריטיים שלכם, תרגול תגובה לאירועים והערכת סיכוני הספקים", הוא מסכם. "אבל בסופו של דבר, הגיע הזמן להגביר את הקצב - תוקפים לא יחכו שהניירת שלכם תגיע לפער."
