EU:n DORA-säännös (Digital Operational Resilience Act) on Euroopan unionin sääntelykehys, jonka tarkoituksena on parantaa rahoitusalan digitaalista toimintavarmuutta. Sen siirtymäaika on nyt päättynyt, joten lainsäädännän täytyy olla käytössä.

Mutta mitä haasteita DORA asettaa rahoituslaitoksille? Turvallisuusalan yritys Yubicon ratkaisuarkkitehti Dave Tham vastasi ETN:n kysymyksiin.

Mitkä ovat suurimmat haasteet rahoituslaitoksille DORA:n vaatimusten, erityisesti ICT-riskienhallinnan ja resilienssin testauksen, täytäntöönpanossa?

Suurimmat haasteet liittyvät laajuuteen ja monimutkaisuuteen, joita DORA:n kattavan sääntelykehyksen noudattaminen vaatii. Suurille organisaatioille, joilla on monipuoliset toiminnot ja vanhoja järjestelmiä, ICT-riskienhallintastrategioiden toteuttaminen DORA:n vaatimusten mukaisesti voi olla erityisen haastavaa. Teknisen vaatimustenmukaisuuden lisäksi organisaatioiden on käytävä läpi kulttuurinen muutos siirtymällä reaktiivisesta ennakoivaan lähestymistapaan, jossa painotetaan ennaltaehkäisyä toipumisen sijaan. Resilienssin testaus, kuten tunkeutumistestaukset ja skenaarioanalyysit, lisäävät monimutkaisuutta, sillä ne vaativat huomattavia resursseja ja teknistä osaamista.

Keskeinen tekijä haasteiden ratkaisemisessa on vahvojen monivaiheisten todennusmekanismien (MFA) käyttöönotto uhkia, kuten tietojenkalastelua, vastaan. Kalastelulta suojaavat ratkaisut, kuten laitteeseen sidotut avaimet, tarjoavat turvallisen pohjan pääsyoikeuksille. Lisäksi ihmistekijän huomioiminen on olennaista; koulutusohjelmien avulla voidaan parantaa työntekijöiden ymmärrystä kalastelusta ja muista kyberuhista, mikä täydentää teknisiä puolustuksia ja vahvistaa toimintavarmuutta kokonaisuudessaan.

Miten DORA:n korostama kolmansien osapuolten riskienhallinta, erityisesti pilvi- ja IT-palveluntarjoajien osalta, muuttaa rahoituslaitosten ulkoistamiskäytäntöjä?

DORA muuttaa merkittävästi tapaa, jolla rahoituslaitokset arvioivat ja sitoutuvat kolmansien osapuolten palveluntarjoajiin, asettamalla tiukempia valvonta- ja vastuullisuusvaatimuksia. Organisaatioiden on nyt suoritettava tehostettuja taustaselvityksiä, joissa arvioidaan palveluntarjoajien resilienssiä, turvallisuusprotokollia ja häiriötilanteiden hallintakykyä, mukaan lukien kalastelulta suojaavat todennusmekanismit.

DORA korvaa ajoittaiset tarkastukset jatkuvalla valvonnalla, mikä edellyttää organisaatioilta jatkuvaa seurantaa pitkäaikaisen vaatimustenmukaisuuden varmistamiseksi. Kalastelulta suojaavien MFA-ratkaisujen käyttö omissa järjestelmissä ja vastaavien standardien vaatiminen palveluntarjoajilta parantaa merkittävästi toimitusketjujen turvallisuutta. Lisäksi DORA kannustaa syvempään keskittymiseen järjestelmäriskien vähentämiseen, mikä edellyttää tiiviimpää yhteistyötä palveluntarjoajien kanssa yhteisten kyberturvallisuustavoitteiden saavuttamiseksi.

DORA asettaa tiukat aikataulut ja menettelyt ICT-häiriöiden raportoinnille. Miten arvioit organisaatioiden mukautuvan näihin vaatimuksiin, ja mitä työkaluja tai viitekehyksiä suosittelet?

Organisaatioiden on virtaviivaistettava häiriönhallintaprosessejaan täyttääkseen DORA:n tiukat raportointiaikataulut. Keskitetyt raportointijärjestelmät, joita tukevat automaatio ja tekoäly, ovat keskeisessä roolissa, kun tavoitteena on havaita, luokitella ja eskaloida häiriöt nopeasti.

Vakiintuneet viitekehykset, kuten NIST ja ISO/IEC 27001, tarjoavat vahvan perustan häiriönhallinnan työnkulkujen rakentamiseen varmistaen, että prosessit ovat sekä standardoituja että tehokkaita. Yhtä tärkeää on kattava henkilöstökoulutus, joka auttaa työntekijöitä tunnistamaan ja käsittelemään häiriöitä tehokkaasti, mikä parantaa raportoinnin nopeutta ja tarkkuutta.

Miten organisaatioiden tulisi priorisoida ja jäsentää testaustaan varmistaakseen DORA:n vaatimustenmukaisuuden ja vahvan turvallisuuden?

Noudattaakseen DORA:n painotusta resilienssin testauksessa organisaatioiden tulisi käyttää riskiperusteista lähestymistapaa priorisoidakseen ponnistuksiaan. Korkean arvon omaavat resurssit ja kriittiset järjestelmät, joiden vaarantuminen voi aiheuttaa merkittäviä toiminnallisia tai taloudellisia vaikutuksia, tulisi asettaa etusijalle.

Säännöllinen testaus, vähintään kerran vuodessa, tulisi täydentää kohdennetuilla arvioinneilla merkittävien järjestelmäpäivitysten tai uuden uhkatiedon jälkeen. Realistiset hyökkäyssimulaatiot, kuten kalastelukampanjat, ovat olennaisia teknisten puolustusten ja ihmisten käyttäytymisen heikkouksien paljastamiseksi. Riippumattomien kolmansien osapuolten asiantuntijoiden käyttäminen varmistaa testausprosessien perusteellisuuden ja antaa toimivia suosituksia.

DORA pyrkii yhdenmukaistamaan kyberturvallisuuskäytännöt EU:ssa. Miten arvioit tämän sääntelyn vaikuttavan monikansallisiin organisaatioihin, jotka toimivat useissa lainkäyttöalueissa, erityisesti EU:n ulkopuolella?

DORA:n kyberturvallisuuskäytäntöjen yhdenmukaistaminen EU:ssa tarjoaa sekä mahdollisuuksia että haasteita monikansallisille organisaatioille. Positiivisena puolena se yksinkertaistaa vaatimustenmukaisuutta tarjoamalla yhtenäisen kehyksen, joka vähentää sääntelyn hajanaisuutta EU:ssa ja asettaa korkean standardin kyberturvallisuuskäytännöille.

Haasteena on kuitenkin päällekkäisten tai ristiriitaisten säädösten hallinta organisaatioissa, jotka toimivat myös EU:n ulkopuolella. DORA vaatii organisaatioiden johdolta tasapainotettua lähestymistapaa monimutkaisen vaatimustenmukaisuuden varmistamisessa, mutta GDPR:n käyttöönotto on jo tarjonnut monikansallisille yrityksille pohjan tällaisten säädösten käsittelemiseen.

Vaikka DORA korostaa vahvaa todennusta, EU:n ulkopuoliset lainkäyttöalueet eivät välttämättä painota kalastelulta suojaavaa monivaiheista todennusta samalla tavalla. Tämän haasteen ratkaisemiseksi suositellaan, että monikansalliset organisaatiot ottavat käyttöön maailmanlaajuisia parhaiden käytäntöjen mukaisia ratkaisuja, kuten Zero Trust -malleja ja laitteistopohjaisia kalastelulta suojaavia MFA-ratkaisuja, kuten turva-avaimia. Nämä toimenpiteet eivät ainoastaan noudata DORA:n periaatteita, vaan luovat myös johdonmukaisen ja kestävän kyberturvallisuuden perustan kaikille alueille ja valmistavat organisaatiot tiukentuvia sääntelyvaatimuksia varten.

Lisätietoja DORA-asetuksesta löytyy täältä.