EU:n DORA-säännös (Digital Operational Resilience Act) on Euroopan unionin sääntelykehys, jonka tarkoituksena on parantaa rahoitusalan digitaalista toimintavarmuutta. Sen siirtymäaika on nyt päättynyt, joten lainsäädännän täytyy olla käytössä.
Mutta mitä haasteita DORA asettaa rahoituslaitoksille? Turvallisuusalan yritys Yubicon ratkaisuarkkitehti Dave Tham vastasi ETN:n kysymyksiin.
Mitkä ovat suurimmat haasteet rahoituslaitoksille DORA:n vaatimusten, erityisesti ICT-riskienhallinnan ja resilienssin testauksen, täytäntöönpanossa?
Suurimmat haasteet liittyvät laajuuteen ja monimutkaisuuteen, joita DORA:n kattavan sääntelykehyksen noudattaminen vaatii. Suurille organisaatioille, joilla on monipuoliset toiminnot ja vanhoja järjestelmiä, ICT-riskienhallintastrategioiden toteuttaminen DORA:n vaatimusten mukaisesti voi olla erityisen haastavaa. Teknisen vaatimustenmukaisuuden lisäksi organisaatioiden on käytävä läpi kulttuurinen muutos siirtymällä reaktiivisesta ennakoivaan lähestymistapaan, jossa painotetaan ennaltaehkäisyä toipumisen sijaan. Resilienssin testaus, kuten tunkeutumistestaukset ja skenaarioanalyysit, lisäävät monimutkaisuutta, sillä ne vaativat huomattavia resursseja ja teknistä osaamista.
Keskeinen tekijä haasteiden ratkaisemisessa on vahvojen monivaiheisten todennusmekanismien (MFA) käyttöönotto uhkia, kuten tietojenkalastelua, vastaan. Kalastelulta suojaavat ratkaisut, kuten laitteeseen sidotut avaimet, tarjoavat turvallisen pohjan pääsyoikeuksille. Lisäksi ihmistekijän huomioiminen on olennaista; koulutusohjelmien avulla voidaan parantaa työntekijöiden ymmärrystä kalastelusta ja muista kyberuhista, mikä täydentää teknisiä puolustuksia ja vahvistaa toimintavarmuutta kokonaisuudessaan.
Miten DORA:n korostama kolmansien osapuolten riskienhallinta, erityisesti pilvi- ja IT-palveluntarjoajien osalta, muuttaa rahoituslaitosten ulkoistamiskäytäntöjä?
DORA muuttaa merkittävästi tapaa, jolla rahoituslaitokset arvioivat ja sitoutuvat kolmansien osapuolten palveluntarjoajiin, asettamalla tiukempia valvonta- ja vastuullisuusvaatimuksia. Organisaatioiden on nyt suoritettava tehostettuja taustaselvityksiä, joissa arvioidaan palveluntarjoajien resilienssiä, turvallisuusprotokollia ja häiriötilanteiden hallintakykyä, mukaan lukien kalastelulta suojaavat todennusmekanismit.
DORA korvaa ajoittaiset tarkastukset jatkuvalla valvonnalla, mikä edellyttää organisaatioilta jatkuvaa seurantaa pitkäaikaisen vaatimustenmukaisuuden varmistamiseksi. Kalastelulta suojaavien MFA-ratkaisujen käyttö omissa järjestelmissä ja vastaavien standardien vaatiminen palveluntarjoajilta parantaa merkittävästi toimitusketjujen turvallisuutta. Lisäksi DORA kannustaa syvempään keskittymiseen järjestelmäriskien vähentämiseen, mikä edellyttää tiiviimpää yhteistyötä palveluntarjoajien kanssa yhteisten kyberturvallisuustavoitteiden saavuttamiseksi.
DORA asettaa tiukat aikataulut ja menettelyt ICT-häiriöiden raportoinnille. Miten arvioit organisaatioiden mukautuvan näihin vaatimuksiin, ja mitä työkaluja tai viitekehyksiä suosittelet?
Organisaatioiden on virtaviivaistettava häiriönhallintaprosessejaan täyttääkseen DORA:n tiukat raportointiaikataulut. Keskitetyt raportointijärjestelmät, joita tukevat automaatio ja tekoäly, ovat keskeisessä roolissa, kun tavoitteena on havaita, luokitella ja eskaloida häiriöt nopeasti.
Vakiintuneet viitekehykset, kuten NIST ja ISO/IEC 27001, tarjoavat vahvan perustan häiriönhallinnan työnkulkujen rakentamiseen varmistaen, että prosessit ovat sekä standardoituja että tehokkaita. Yhtä tärkeää on kattava henkilöstökoulutus, joka auttaa työntekijöitä tunnistamaan ja käsittelemään häiriöitä tehokkaasti, mikä parantaa raportoinnin nopeutta ja tarkkuutta.
Miten organisaatioiden tulisi priorisoida ja jäsentää testaustaan varmistaakseen DORA:n vaatimustenmukaisuuden ja vahvan turvallisuuden?
Noudattaakseen DORA:n painotusta resilienssin testauksessa organisaatioiden tulisi käyttää riskiperusteista lähestymistapaa priorisoidakseen ponnistuksiaan. Korkean arvon omaavat resurssit ja kriittiset järjestelmät, joiden vaarantuminen voi aiheuttaa merkittäviä toiminnallisia tai taloudellisia vaikutuksia, tulisi asettaa etusijalle.
Säännöllinen testaus, vähintään kerran vuodessa, tulisi täydentää kohdennetuilla arvioinneilla merkittävien järjestelmäpäivitysten tai uuden uhkatiedon jälkeen. Realistiset hyökkäyssimulaatiot, kuten kalastelukampanjat, ovat olennaisia teknisten puolustusten ja ihmisten käyttäytymisen heikkouksien paljastamiseksi. Riippumattomien kolmansien osapuolten asiantuntijoiden käyttäminen varmistaa testausprosessien perusteellisuuden ja antaa toimivia suosituksia.
DORA pyrkii yhdenmukaistamaan kyberturvallisuuskäytännöt EU:ssa. Miten arvioit tämän sääntelyn vaikuttavan monikansallisiin organisaatioihin, jotka toimivat useissa lainkäyttöalueissa, erityisesti EU:n ulkopuolella?
DORA:n kyberturvallisuuskäytäntöjen yhdenmukaistaminen EU:ssa tarjoaa sekä mahdollisuuksia että haasteita monikansallisille organisaatioille. Positiivisena puolena se yksinkertaistaa vaatimustenmukaisuutta tarjoamalla yhtenäisen kehyksen, joka vähentää sääntelyn hajanaisuutta EU:ssa ja asettaa korkean standardin kyberturvallisuuskäytännöille.
Haasteena on kuitenkin päällekkäisten tai ristiriitaisten säädösten hallinta organisaatioissa, jotka toimivat myös EU:n ulkopuolella. DORA vaatii organisaatioiden johdolta tasapainotettua lähestymistapaa monimutkaisen vaatimustenmukaisuuden varmistamisessa, mutta GDPR:n käyttöönotto on jo tarjonnut monikansallisille yrityksille pohjan tällaisten säädösten käsittelemiseen.
Vaikka DORA korostaa vahvaa todennusta, EU:n ulkopuoliset lainkäyttöalueet eivät välttämättä painota kalastelulta suojaavaa monivaiheista todennusta samalla tavalla. Tämän haasteen ratkaisemiseksi suositellaan, että monikansalliset organisaatiot ottavat käyttöön maailmanlaajuisia parhaiden käytäntöjen mukaisia ratkaisuja, kuten Zero Trust -malleja ja laitteistopohjaisia kalastelulta suojaavia MFA-ratkaisuja, kuten turva-avaimia. Nämä toimenpiteet eivät ainoastaan noudata DORA:n periaatteita, vaan luovat myös johdonmukaisen ja kestävän kyberturvallisuuden perustan kaikille alueille ja valmistavat organisaatiot tiukentuvia sääntelyvaatimuksia varten.
Lisätietoja DORA-asetuksesta löytyy täältä.
OnePlus on virallisesti ilmoittanut uusimman älykellonsa, OnePlus Watch 3:n, tulevasta julkaisusta. Uutuusmalli saapuu Euroopan ja Pohjois-Amerikan markkinoille 18. helmikuuta ja tuo mukanaan entistä paremman akunkeston ja suorituskyvyn.
Pekka Lundmark toimii Nokian toimitusjohtajana maaliskuun loppuun asti, jolloin vetovastuun ottaa Justin Hotard. Nokian tiedotteessakin sanotaan, että Lundmark aloitti tehtävässään hyvin vaikeaan aikaan, mutta millaisen arvosanan hän ansaitsee ajastaan toimitusjohtajana.
Nokia on ilmoittanut tänään muutoksesta yhtiön johdossa toimitusjohtaja Pekka Lundmarkin päätettyä jättää tehtävänsä toimitusjohtajana. Nokian hallitus on nimittänyt Justin Hotardin Nokian toimitusjohtajaksi 1.4.2025 alkaen. 
Tietoturvayhtiö Check Point Software järjesti tällä viikolla CPS 2025 -tapahtuman, jossa esiteltiin uusia tuotteita ja kyberturvallisuuden kuumimpia trendejä. Yhtiön Suomen ja Baltian maajohtaja Viivi Tynjälä muistutti, että monet yritykset ovat vielä siinä harhaluulossa, että niiden järjestelmät olisivat täysin suojattuja.
Nokia on allekirjoittanut nelivuotisen sopimuksen Orange Francen kanssa yhtiön 5G-radioverkon päivittämiseksi energiatehokkaalla AirScale-portfoliollaan. Sopimus vahvistaa Nokian ja Orange Francen pitkäaikaista kumppanuutta ja parantaa asiakaskokemusta tarjoamalla huippuluokan nopeuksia, kapasiteettia ja suorituskykyä Kaakkois- ja Länsi-Ranskassa. Orange aikoo myös testata Nokian 5G Cloud RAN -ratkaisuja osana siirtymään kohti pilvipohjaista verkkoa.
Ajoneuvojen kehittyessä kohti älykkäämpiä ja verkottuneempia järjestelmiä, reaaliaikaisen ja luotettavan tiedonsiirron merkitys kasvaa. Ethernetin Time-Sensitive Networking (TSN) -laajennukset tarjoavat deterministisiä ratkaisuja, jotka takaavat kriittisen datan oikea-aikaisen toimituksen. Tämä artikkeli esittelee, miten TSN-teknologia ja laitteet, kuten Toshiban TC9562 ja TC9563, mahdollistavat tulevaisuuden ajoneuvojen tehokkaan ja turvallisen tiedonsiirron.