DORA on täällä - pankeille ja rahoituslaitoksille tiukat vaatimukset

Tietoja

EU:n DORA-säännös (Digital Operational Resilience Act) on Euroopan unionin sääntelykehys, jonka tarkoituksena on parantaa rahoitusalan digitaalista toimintavarmuutta. Sen siirtymäaika on nyt päättynyt, joten lainsäädännän täytyy olla käytössä.

Mutta mitä haasteita DORA asettaa rahoituslaitoksille? Turvallisuusalan yritys Yubicon ratkaisuarkkitehti Dave Tham vastasi ETN:n kysymyksiin.

Mitkä ovat suurimmat haasteet rahoituslaitoksille DORA:n vaatimusten, erityisesti ICT-riskienhallinnan ja resilienssin testauksen, täytäntöönpanossa?

Suurimmat haasteet liittyvät laajuuteen ja monimutkaisuuteen, joita DORA:n kattavan sääntelykehyksen noudattaminen vaatii. Suurille organisaatioille, joilla on monipuoliset toiminnot ja vanhoja järjestelmiä, ICT-riskienhallintastrategioiden toteuttaminen DORA:n vaatimusten mukaisesti voi olla erityisen haastavaa. Teknisen vaatimustenmukaisuuden lisäksi organisaatioiden on käytävä läpi kulttuurinen muutos siirtymällä reaktiivisesta ennakoivaan lähestymistapaan, jossa painotetaan ennaltaehkäisyä toipumisen sijaan. Resilienssin testaus, kuten tunkeutumistestaukset ja skenaarioanalyysit, lisäävät monimutkaisuutta, sillä ne vaativat huomattavia resursseja ja teknistä osaamista.

Keskeinen tekijä haasteiden ratkaisemisessa on vahvojen monivaiheisten todennusmekanismien (MFA) käyttöönotto uhkia, kuten tietojenkalastelua, vastaan. Kalastelulta suojaavat ratkaisut, kuten laitteeseen sidotut avaimet, tarjoavat turvallisen pohjan pääsyoikeuksille. Lisäksi ihmistekijän huomioiminen on olennaista; koulutusohjelmien avulla voidaan parantaa työntekijöiden ymmärrystä kalastelusta ja muista kyberuhista, mikä täydentää teknisiä puolustuksia ja vahvistaa toimintavarmuutta kokonaisuudessaan.

Miten DORA:n korostama kolmansien osapuolten riskienhallinta, erityisesti pilvi- ja IT-palveluntarjoajien osalta, muuttaa rahoituslaitosten ulkoistamiskäytäntöjä?

DORA muuttaa merkittävästi tapaa, jolla rahoituslaitokset arvioivat ja sitoutuvat kolmansien osapuolten palveluntarjoajiin, asettamalla tiukempia valvonta- ja vastuullisuusvaatimuksia. Organisaatioiden on nyt suoritettava tehostettuja taustaselvityksiä, joissa arvioidaan palveluntarjoajien resilienssiä, turvallisuusprotokollia ja häiriötilanteiden hallintakykyä, mukaan lukien kalastelulta suojaavat todennusmekanismit.

DORA korvaa ajoittaiset tarkastukset jatkuvalla valvonnalla, mikä edellyttää organisaatioilta jatkuvaa seurantaa pitkäaikaisen vaatimustenmukaisuuden varmistamiseksi. Kalastelulta suojaavien MFA-ratkaisujen käyttö omissa järjestelmissä ja vastaavien standardien vaatiminen palveluntarjoajilta parantaa merkittävästi toimitusketjujen turvallisuutta. Lisäksi DORA kannustaa syvempään keskittymiseen järjestelmäriskien vähentämiseen, mikä edellyttää tiiviimpää yhteistyötä palveluntarjoajien kanssa yhteisten kyberturvallisuustavoitteiden saavuttamiseksi.

DORA asettaa tiukat aikataulut ja menettelyt ICT-häiriöiden raportoinnille. Miten arvioit organisaatioiden mukautuvan näihin vaatimuksiin, ja mitä työkaluja tai viitekehyksiä suosittelet?

Organisaatioiden on virtaviivaistettava häiriönhallintaprosessejaan täyttääkseen DORA:n tiukat raportointiaikataulut. Keskitetyt raportointijärjestelmät, joita tukevat automaatio ja tekoäly, ovat keskeisessä roolissa, kun tavoitteena on havaita, luokitella ja eskaloida häiriöt nopeasti.

Vakiintuneet viitekehykset, kuten NIST ja ISO/IEC 27001, tarjoavat vahvan perustan häiriönhallinnan työnkulkujen rakentamiseen varmistaen, että prosessit ovat sekä standardoituja että tehokkaita. Yhtä tärkeää on kattava henkilöstökoulutus, joka auttaa työntekijöitä tunnistamaan ja käsittelemään häiriöitä tehokkaasti, mikä parantaa raportoinnin nopeutta ja tarkkuutta.

Miten organisaatioiden tulisi priorisoida ja jäsentää testaustaan varmistaakseen DORA:n vaatimustenmukaisuuden ja vahvan turvallisuuden?

Noudattaakseen DORA:n painotusta resilienssin testauksessa organisaatioiden tulisi käyttää riskiperusteista lähestymistapaa priorisoidakseen ponnistuksiaan. Korkean arvon omaavat resurssit ja kriittiset järjestelmät, joiden vaarantuminen voi aiheuttaa merkittäviä toiminnallisia tai taloudellisia vaikutuksia, tulisi asettaa etusijalle.

Säännöllinen testaus, vähintään kerran vuodessa, tulisi täydentää kohdennetuilla arvioinneilla merkittävien järjestelmäpäivitysten tai uuden uhkatiedon jälkeen. Realistiset hyökkäyssimulaatiot, kuten kalastelukampanjat, ovat olennaisia teknisten puolustusten ja ihmisten käyttäytymisen heikkouksien paljastamiseksi. Riippumattomien kolmansien osapuolten asiantuntijoiden käyttäminen varmistaa testausprosessien perusteellisuuden ja antaa toimivia suosituksia.

DORA pyrkii yhdenmukaistamaan kyberturvallisuuskäytännöt EU:ssa. Miten arvioit tämän sääntelyn vaikuttavan monikansallisiin organisaatioihin, jotka toimivat useissa lainkäyttöalueissa, erityisesti EU:n ulkopuolella?

DORA:n kyberturvallisuuskäytäntöjen yhdenmukaistaminen EU:ssa tarjoaa sekä mahdollisuuksia että haasteita monikansallisille organisaatioille. Positiivisena puolena se yksinkertaistaa vaatimustenmukaisuutta tarjoamalla yhtenäisen kehyksen, joka vähentää sääntelyn hajanaisuutta EU:ssa ja asettaa korkean standardin kyberturvallisuuskäytännöille.

Haasteena on kuitenkin päällekkäisten tai ristiriitaisten säädösten hallinta organisaatioissa, jotka toimivat myös EU:n ulkopuolella. DORA vaatii organisaatioiden johdolta tasapainotettua lähestymistapaa monimutkaisen vaatimustenmukaisuuden varmistamisessa, mutta GDPR:n käyttöönotto on jo tarjonnut monikansallisille yrityksille pohjan tällaisten säädösten käsittelemiseen.

Vaikka DORA korostaa vahvaa todennusta, EU:n ulkopuoliset lainkäyttöalueet eivät välttämättä painota kalastelulta suojaavaa monivaiheista todennusta samalla tavalla. Tämän haasteen ratkaisemiseksi suositellaan, että monikansalliset organisaatiot ottavat käyttöön maailmanlaajuisia parhaiden käytäntöjen mukaisia ratkaisuja, kuten Zero Trust -malleja ja laitteistopohjaisia kalastelulta suojaavia MFA-ratkaisuja, kuten turva-avaimia. Nämä toimenpiteet eivät ainoastaan noudata DORA:n periaatteita, vaan luovat myös johdonmukaisen ja kestävän kyberturvallisuuden perustan kaikille alueille ja valmistavat organisaatiot tiukentuvia sääntelyvaatimuksia varten.

Lisätietoja DORA-asetuksesta löytyy täältä.

FOREVER # Till ECF-sajten
ALWAYS # congatec

ETNtv

Watch ECF videos

 

TECHNICAL ARTICLES

Tekoälyn avulla robotteja voidaan ohjata puheella

ETN - Technical article

Generatiivisen tekoälyn vallankumous, joka tuo chatbotit asiakaspalveluun ja mahdollistaa älykaiuttimien kaltaiset laitteet, on vasta alkua. Sama teknologia, joka ymmärtää ihmisten puhetta, siirtyy nyt robotiikkaan, missä se auttaa kehittämään algoritmeja robottien liikkeiden ohjaamiseen ja politiikkojen toteuttamiseen tärkeiden tehtävien suorittamiseksi.

Lue lisää...

OPINION

SOM-ratkaisut ovat lääketieteellisen elektroniikan luotettava tulevaisuus

Lääketieteellinen elektroniikka on yksi nopeimmin kasvavista teollisuudenaloista. Väestön ikääntyminen, erityisesti länsimaissa, ja terveydenhuollon teknologioiden jatkuva kehitys pitävät yllä kovaa kysyntää ja ohjaavat alan tutkimus- ja tuotekehitystä, kirjoittaa Digi Internationalin OEM-ratkaisuista Euroopassa vastaava johtaja Ronald Singh.

Lue lisää...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

 SPONSORS

 

Etteplan supports customers cross industries in digitalizing their business from requirement specifications to solution development and implementation. With over 30 years of experience, Etteplan has the needed expertise to develop a wide range of industrial applications, from large established companies to start-ups. We deliver complete turn-key solutions containing cross-discipline know-how.

 

CN Rood offers technical solutions in the field of testing and measurement. We aim to remain leaders in that regard. Our customers are often not looking for a product, but for a solution, and we all have the drive to work on that solution. What we love to do most is to continually work on the latest developments in the field of testing and measuring equipment. Now and in the future.

 


EBV Elektronik was founded in 1969 and is one of the leading specialists in European semiconductor distribution. This success is based on the underlying company philosophy, which was developed a long time ago and which still applies today: operational excellence, flexibility, reliability and execution – with the goal of achieving the highest degree of customer satisfaction.

 

Tria is a world leader in the design and manufacture of embedded computing for OEMs. We offer a broad range of off-the-shelf modules to fully customized systems built for our customers. With a global footprint and deep in-house expertise, we support innovators from design to delivery.

congatec is a rapidly growing technology company focusing on embedded and edge computing products and services. The high-performance computer modules are used in a wide range of applications and devices in industrial automation, medical technology, robotics, telecommunications and many other verticals.

 

Mespek was founded in 1989. Our main products are embedded electronic modules, industrial PCs with peripherals, KVM and server management products, as well as wireless solutions for IoT applications.

 

Since 1985, Digi International Inc. (Digi) has been a pioneer in wireless communication, forging the future for connected devices and responding to the needs of the people and enterprises that use them.

 

CVG Convergens is an ICT services company specialized in embedded systems, smart connected products and ICT systems and processes for SME businesses. Our mission is to help our clients, our team, and the society to improve and thrive by providing reliable and sustainable solutions, services, and products by creative and efficient application of technology.

 

BCC Solutions Oy is a Finnish company that, in addition to expert services, offers comprehensive equipment solutions for data transfer and telecommunication networks, as well as their analysis, testing and measurement. We broadly represent the industry's leading brands.

 

Acal BFi has trusted expertise in advanced electronics for 50 years. If you’re in search of a trusted technology solutions partner, your search ends here. Our extensive knowledge, cutting-edge portfolio, and worldwide capabilities are at your service to bring the future into reality.

 



© Elektroniikkalehti


ECF template