Η πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) θεσπίστηκε τον Ιανουάριο του 2023 και θα τεθεί σε πλήρη ισχύ τον Ιανουάριο του 2025. Ακόμα κι αν οι ρυθμιστικές αρχές παράσχουν μία περίοδο χάριτος (όπως συνέβη και στην περίπτωση του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας των Δεδομένων ή GDPR) και η ημερομηνία (Ιανουάριος 2025) μοιάζει μακρινή, ο χρόνος περνά γρήγορα. Ως εκ τούτου, είναι σημαντικό για τα χρηματοπιστωτικά ιδρύματα που υπόκεινται στην νομοθεσία DORA να αρχίσουν από τώρα να σχεδιάζουν τη συμμόρφωσή τους.
Για να αντιμετωπίσει τους κινδύνους των κυβερνοεπιθέσεων που αυξάνονται διαρκώς, η ΕΕ ενισχύει την ασφάλεια των ΤΠ των χρηματοπιστωτικών οντοτήτων όπως οι τράπεζες, οι ασφαλιστικές εταιρείες και οι επιχειρήσεις επενδύσεων. Σήμερα το Συμβούλιο εξέδωσε την πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA), με την οποία θα διασφαλίζεται η ανθεκτικότητα του χρηματοπιστωτικού τομέα της Ευρώπης σε περίπτωση σοβαρής διαταραχής των επιχειρησιακών λειτουργιών του.
Η πράξη DORA με μία ματιά
Το Δελτίο Τύπου από το Ευρωπαϊκό Συμβούλιο παρέχει μια συνοπτική περιγραφή του σκοπού της DORA:
«Η πράξη DORA καθορίζει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των εταιρειών και οργανισμών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, καθώς και των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ (τεχνολογίες πληροφοριών και επικοινωνιών), όπως πλατφόρμες υπολογιστικού νέφους ή υπηρεσίες ανάλυσης δεδομένων. Η πράξη DORA δημιουργεί ένα κανονιστικό πλαίσιο για την ψηφιακή επιχειρησιακή ανθεκτικότητα, βάσει του οποίου όλες οι επιχειρήσεις οφείλουν να διασφαλίζουν ότι είναι ικανές να ανθίστανται σε κάθε είδους διαταραχές και απειλές που σχετίζονται με τις ΤΠΕ, να τις αντιμετωπίζουν και να ανακάμπτουν από αυτές. Οι απαιτήσεις αυτές είναι ενιαίες σε όλα τα κράτη μέλη της ΕΕ. Βασικός στόχος είναι η πρόληψη και ο μετριασμός των κυβερνοαπειλών».
Η κατανόηση της αλληλεπίδρασης των DORA, GDPR και NIS2 είναι ζωτικής σημασίας
Οι εποπτευόμενοι από τη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) οργανισμοί και εταιρείες εξακολουθούν να υπόκεινται στις απαιτήσεις συμμόρφωσης και του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας των Δεδομένων (GDPR). Είναι σημαντικό λοιπόν για τους παρόχους υπηρεσιών πληροφορικής (IT) να κατανοήσουν ότι η νομοθετική πράξη DORA έρχεται με το δικό της σύνολο προκλήσεων, που είναι ξέχωρο από εκείνο του κανονισμού GDPR. Αν μία εταιρεία παραβιάζει την Ευρωπαϊκή νομοθεσία περί απορρήτου, μπορεί επίσης να παραβιάζει και τους νόμους περί εποπτείας των χρηματοπιστωτικών υπηρεσιών, γεγονός που μπορεί να οδηγήσει σε περαιτέρω συνέπειες. Επιπλέον, ορισμένα χρηματοπιστωτικά ιδρύματα και τόποι διαπραγμάτευσης πρέπει να ακολουθούν και την οδηγία NIS2 εκτός από την νομοθετική πράξη DORA, ωστόσο η DORA έχει την προτεραιότητα στην περίπτωση οποιωνδήποτε αντικρουόμενων κανονισμών λόγω της περισσότερο ειδικής φύσης της (lex specialis).
Οι απαιτήσεις της νομοθετικής πράξης για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) αναλύονται σε πέντε θεμελιώδεις πυλώνες για την επίτευξη των βασικών στόχων της. Πριν τους αναλύσουμε, πρέπει να επισημάνουμε ορισμένα πράγματα που προκύπτουν από τη δήλωση αποστολής της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας. Ένα από αυτά είναι ότι το Συμβούλιο και το Κοινοβούλιο της Ευρωπαϊκής Ένωσης αναγνωρίζει ότι τα χρηματοπιστωτικά ιδρύματα είναι οι πλέον στοχευμένες οντότητες και ότι τα συμβάντα ασφαλείας μπορεί να περιλαμβάνουν την διακοπή της λειτουργίας και των εργασιών τους. Σύμφωνα με την έκθεση «Systemic Risk Survey Results 2022 H2» της Τράπεζας της Αγγλίας, το 74% των συμμετεχόντων θεωρεί ότι ο σημαντικότερος κίνδυνος βραχυπρόθεσμα και μακροπρόθεσμα είναι οι κυβερνοεπιθέσεις. Ο πληθωρισμός και τα γεωπολιτικά περιστατικά ή συμβάντα, που είναι σχεδόν εξίσου ανησυχητικά, έρχονται σε δεύτερη μοίρα.
Μια σημαντική πτυχή μιας ισχυρής στρατηγικής ασφάλειας είναι η δυνατότητα γρήγορης ανάκαμψης και επιστροφής στην κανονική λειτουργία, το οποίο είναι ακριβώς αυτό που προσπαθεί να επιτύχει η πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα. Αξίζει επίσης να σημειωθεί, η απουσία ιστορικά του ίδιου επιπέδου ευθύνης και λογοδοσίας για τις εφοδιαστικές αλυσίδες στον χρηματοπιστωτικό κλάδο με τα ίδια τα ιδρύματα. Με την εφαρμογή ωστόσο της νομοθεσίας DORA, οι τρίτοι πάροχοι και προμηθευτές θα εποπτεύονται πλέον στενά και θα ελέγχονται από τις ρυθμιστικές αρχές του κλάδου.
Αναλύοντας τους πέντε πυλώνες της πράξης DORA
Διαχείριση κινδύνου για τα συστήματα τεχνολογίας των πληροφοριών και των επικοινωνιών (ΤΠΕ)
Ο πρώτος πυλώνας περιλαμβάνει πλαίσια και κατευθυντήριες γραμμές που έχουν στόχο να βοηθήσουν τα χρηματοπιστωτικά ιδρύματα να αυξήσουν την ωριμότητα των προγραμμάτων διαχείρισης κινδύνων τους. Οι συγκεκριμένες κατευθυντήριες γραμμές στοχεύουν στην ελαχιστοποίηση του κινδύνου επιθέσεων μειώνοντας το αποτύπωμα της επίθεσης, ανιχνεύοντας ενεργές επιθέσεις και αναπτύσσοντας στρατηγικές για τον μετριασμό των επιπτώσεων στην περίπτωση που οι επιθέσεις αποδειχτούν επιτυχημένες. Οι λύσεις που ευθυγραμμίζονται με αυτήν την κατηγορία περιλαμβάνουν τη διαχείριση ευπαθειών, τις δοκιμές ασφάλειας εφαρμογών, την ανακάλυψη δεδομένων και περιουσιακών στοιχείων και τις δοκιμές παρείσδυσης. Στον συγκεκριμένο πυλώνα επίσης περιλαμβάνονται η προστασία τερματικών (endpoint protection), η αποτροπή διαρροών δεδομένων και η διασφάλιση των διαδικτυακών εφαρμογών που είναι διαθέσιμες στο κοινό.
Διαβάθμιση και αναφορά συμβάντων που σχετίζονται με διαταραχές και απειλές κατά συστημάτων ΤΠΕ
Ο δεύτερος πυλώνας έχει ορισμένα κοινά στοιχεία με τον πρώτο, καθώς περιλαμβάνει τον εντοπισμό ενδείξεων παραβίασης της υποδομής πληροφορικής σας και την αντιμετώπιση οποιασδήποτε κακόβουλης δραστηριότητας. Παρόλα αυτά, περιλαμβάνει ορισμένες πρόσθετες οδηγίες, όπως ένα σύστημα διαβάθμισης με βάση τον αντίκτυπο καθώς και διάφορα πρότυπα (templates) για την αναφορά περιεχομένου. Ο συγκεκριμένος πυλώνας δίνει έμφαση στη διαχείριση και στη διατήρηση της ακεραιότητας των διαμορφώσεων σας καθώς και στο να κρατήσετε το σχέδιο απόκρισης σας σε συμβάντα και περιστατικά πλήρως ενημερωμένο και καλά τεκμηριωμένο. Οι λύσεις που αξιοποιούν πληροφόρηση απειλών (threat intelligence) είναι ζωτικής σημασίας για τον εντοπισμό αθέατων ή κρυφών κακόβουλων δραστηριοτήτων που μπορεί να έχουν παρακάμψει τις αρχικές σας άμυνες.
Διαχείριση κινδύνου για τα συστήματα τεχνολογίας των πληροφοριών και των επικοινωνιών (ΤΠΕ) τρίτου μέρους
Ο τρίτος πυλώνας εστιάζει στη διαχείριση του κινδύνου που σχετίζεται με την εφοδιαστική αλυσίδα. Αν και οι απειλές και οι κίνδυνοι που αφορούν την αλυσίδα εφοδιασμού τυπικά αναφέρονται σε άλλους κανονισμούς ή νομοθετικές διατάξεις, εντούτοις η νομοθετική πράξη DORA αντιμετωπίζει ειδικότερα αυτόν τον κίνδυνο λόγω των επιθέσεων υψηλού προφίλ που έχουν πραγματοποιηθεί με «όχημα» την αλυσίδα εφοδιασμού τα τελευταία δύο χρόνια. Για τον μετριασμό των απειλών που σχετίζονται με την εφοδιαστική αλυσίδα, οι οργανισμοί πρέπει να διαθέτουν ένα κατάλογο με όλες τις συμβατικές συμφωνίες τους με παρόχους υπηρεσιών ΤΠΕ καθώς και μία διαδικασία αξιολόγησης των υφιστάμενων και πιθανών νέων επιχειρηματικών εταίρων και συνεργατών τους. Ορισμένα ακόμη πράγματα που λαμβάνονται υπόψη περιλαμβάνουν τις προσομοιώσεις εκστρατειών ή επιθέσεων ηλεκτρονικού ψαρέματος (phishing) και την εκπαίδευση για την ευαισθητοποίηση των υπαλλήλων σε ζητήματα κυβερνοασφάλειας για να αποτραπεί η περίπτωση να εξαπατηθούν μέσω κοινωνικής μηχανικής από κακόβουλους παράγοντας που προσποιούνται επιχειρηματικούς εταίρους. Επιπλέον, είναι σημαντικό να υπάρχουν έλεγχοι για την αποτροπή της κοινής χρήσης κακόβουλων αρχείων μεταξύ συνεργατών. Τα χρηματοπιστωτικά ιδρύματα πρέπει επίσης να λάβουν μέτρα και να είναι προετοιμασμένα για πιθανές διακοπές υπηρεσιών που προκαλούνται από τους εταίρους και τους συνεργάτες τους.
Ψηφιακές δοκιμές λειτουργικής ανθεκτικότητας
Ο τέταρτος πυλώνας δίνει έμφαση στην δοκιμή/ αξιολόγηση του σχεδίου αντιμετώπισης περιστατικών κάθε ιδρύματος και οργανισμού. Στόχος είναι να ανακαλυφθούν τυχόν πιθανές ελλείψεις και να εντοπιστούν τομείς όπου μπορούν να γίνουν βελτιώσεις ενίσχυσης της ασφάλειας και της αποτελεσματικότητας των συστημάτων. Οι ασκήσεις επί χάρτου χρησιμεύουν ως μια αποτελεσματική μέθοδος δοκιμής και αξιολόγησης των σχεδίων απόκρισης σε περιστατικά και συμβάντα. Επιπλέον, μπορείτε να διερευνήσετε την περίπτωση να προχωρήσετε σε προσομοιώσεις αντιπάλων και red teaming καθώς μπορούν να βγάλουν στην επιφάνεια και να επισημάνουν περαιτέρω αδυναμίες αλλά και να ενισχύσουν τις δεξιότητες των ομάδων σας.
Κοινή χρήση πληροφοριών μεταξύ χρηματοοικονομικών οντοτήτων
Ο πέμπτος πυλώνας συνηγορεί υπέρ της συνεργασίας στον χρηματοπιστωτικό κλάδων για την καταπολέμηση των κοινών αντιπάλων. Ανταλλάσσοντας πληροφόρηση, δείκτες παραβίασης και τις πιο πρόσφατες τακτικές, τεχνικές και διαδικασίες (TTP) με ομόλογους στον κλάδο, όλοι θα μπορέσουν να ενισχύσουν την ικανότητα τους να αντιμετωπίζουν προκλήσεις και δύσκολες καταστάσεις.
Πιο δυνατοί μαζί
Από τους παραπάνω πυλώνες, ο πέμπτος ξεχωρίζει επειδή ευθυγραμμίζεται κατά κάποιο τρόπο με το θέμα του συνεδρίου RSA 2023 (RSA Conference 2023) το οποίο είναι «Πιο δυνατοί μαζί». Υπήρξαν πολλές συνεδρίες στις οποίες οι ηγέτες του κλάδου της κυβερνοασφάλειας και πληροφορικής μίλησαν για το πως η κοινότητα της ασφάλειας οφείλει να συνεργαστεί και να μοιραστεί τις γνώσεις της για να συμβάλει στη βελτίωση των αμυνών όλων ενάντια στους παράγοντες απειλής.
Πριν από μερικά χρόνια, ο Antonio Sanchez, Principal Evangelist στην Fortra συνεργάστηκε με έναν πρώην ηγέτη του τμήματος ασφαλείας ενός παγκόσμιου χρηματοπιστωτικού ιδρύματος. Σε μία συζήτηση, ο επικεφαλής ασφαλείας του είπε ότι παρόλο που τα χρηματοπιστωτικά ιδρύματα ανταγωνίζονται μεταξύ τους σε νέα προϊόντα και επιχειρήσεις, συνεργαζόταν τακτικά με τους ομολόγους του σε ανταγωνιστικά ιδρύματα επειδή όλοι είχαν τον ίδιο στόχο, ο οποίος ήταν η προστασία των εργοδοτών τους από τους ίδιους τύπους επιτιθέμενων και κυβερνοεγκληματιών. Και άλλοι κλάδοι θα επωφεληθούν από τέτοιες συνεργασίες οπότε ελπίζουμε ότι θα δούμε περισσότερες τέτοιες προσπάθειες τα επόμενα χρόνια.
Πηγή: Fortra