כיום, ארגונים פיננסיים מסתמכים במידה רבה על טכנולוגיית מידע ותקשורת (ICT) כדי לתמוך בפעולות מרחוק. בעוד ש-ICT משפר את היעילות התפעולית ואת חווית הלקוח, הוא מגדיל באופן משמעותי את סיכוני אבטחת הסייבר במגזר הפיננסי .
כדי להפחית סיכוני אבטחת סייבר הקשורים ל-ICT, האיחוד האירופי (EU) פיתח תקנה ספציפית: חוק החוסן התפעולי הדיגיטלי. במאמר זה, נסקור את חמשת העקרונות הבסיסיים שלו וכיצד הם יכולים לעזור למוסד הפיננסי שלך לחזק את אבטחת ה-IT שלו.
מהי DORA ומטרתה?
חוק החוסן התפעולי הדיגיטלי (DORA) הוא תקנה של האיחוד האירופי שנכנסה לתוקף בינואר 2023. DORA קובעת דרישות לארגונים פיננסיים כדי לחזק את החוסן מפני תקריות הקשורות ל-ICT.
מטרתו היא לשפר את החוסן התפעולי הדיגיטלי במגזר הפיננסי בכל המדינות החברות באיחוד האירופי. חוסן תפעולי הוא היכולת של עסק לסבול, להגיב ולהתאושש מתקריות הקשורות לתקשוב , ובכך לשמור על פעילות קריטית גם בזמן שיבושים.
מגוון גופים פיננסיים הפועלים באיחוד האירופי מחויבים לעמוד בדרישות התאימות של DORA כדי לשמור על רמה מספקת של חוסן תפעולי דיגיטלי.
היתרונות של תאימות DORA
עמידה ב-DORA תביא לארגונים פיננסיים יתרונות מוחשיים. הנה כמה מהם:
- אבטחה ארגונית מחוזקת – DORA דורשת ממוסדות פיננסיים ליישם מסגרת אבטחת סייבר מקיפה שמשפרת את האבטחה הכוללת שלהם.
- הגנה מוגברת על נתונים רגישים – אימוץ פרוטוקולי אבטחת סייבר חזקים ואמצעים לעמידה ב-DORA יכול ליצור סביבה מאובטחת יותר לנתונים פיננסיים רגישים.
- צמצום סיכוני אבטחת הסייבר – יישום מסגרת אבטחת סייבר מקיפה ואמצעי הגנת המידע הנדרשים בחוק ממזערים את הסיכוי וההשפעה של התקפות סייבר.
- חוסן מוגברת נגד איומים – ניהול סיכונים פרואקטיבי ותכנון מקיף של תגובה לאירועים משפרים את חוסנם של ישויות פיננסיות נגד איומים. עסקים העומדים בדרישות של DORA מסוגלים להגיב לאירועי אבטחה באופן מיידי ולהתאושש מהם במהירות.
- חילופי חוויות יעילים בין עמיתים – הודות לחילופי הידע, אתה יכול ללמוד על טכניקות התקפה נוכחיות ולמנוע אותן לפני שהן פוגעות בארגון שלך.
- מזעור סיכונים של צד שלישי — הצגת התהליכים והאמצעים הנדרשים על ידי DORA יכולה לחזק את הקשרים של ארגונים פיננסיים עם צדדים שלישיים ולהגן עליהם מפני פרצות אבטחה הקשורות לספק.
Syteca היא פתרון תוכנה מקיף לניהול סיכונים פנימיים המייעלת את מאמצי הציות שלך ומביאה עוד יותר יתרונות אבטחה למוסד הפיננסי שלך.
קרא עוד כדי ללמוד על המצב הנוכחי של DORA, מועדים לעמידה בדרישות ועונשים פוטנציאליים למי שלא יעמוד בדרישות.
סטטוס נוכחי של DORA
DORA הוצעה לראשונה בשנת 2020 ונכנסה לתוקף בינואר 2023. כרגע היא בשלב הפיתוח האחרון; שלוש רשויות הפיקוח האירופיות (ESA) מכוונות את הפרטים המרכזיים של המעשה. המנה הראשונה של מוצרי מדיניות המספקת הנחיות ספציפיות כיצד ישויות פיננסיות צריכים לציית ל-DORA מוכנה, ואילו השנייה צפויה עד 17 ביולי 2024.
בסופו של דבר, ישויות פיננסיות באיחוד האירופי המכוסות על ידי DORA חייבות לעמוד בדרישות שלה עד 17 בינואר 2025 . כמו כן בשנת 2025, ה-ESAs יתחילו לפקח על יישום הדרישות של DORA על ידי גופים פיננסיים וספקי צד שלישי ICT.
כדי להבטיח שמוסדות פיננסיים ימלאו אחר דרישות התאימות של DORA וישמרו על רמה מספקת של חוסן תפעולי דיגיטלי, החוק מיישם מערכת קפדנית של עונשים על אי ציות. כך, בשנת 2025, ה-ESAs יוכלו להטיל עונשים על מוסדות פיננסיים שלא יעמדו ב-DORA. הם יכולים גם להעניש אנשים בעלי תפקידי מנהיגות או ניהול ספציפיים עם אחריות ישירה לתאימות של DORA. גודל העונשים יהיה תלוי ברמת ההפרה.
גופים פיננסיים עלולים לעמוד בפני קנסות של עד 2% מסך המחזור השנתי שלהם ברחבי העולם או קנסות של 1% מהמחזור היומי היומי הממוצע בשנה הקודמת, ששולמו מדי יום עד חצי שנה עד שיעמדו בדרישות. יחידים יכולים לעמוד בפני קנס מרבי של €1,000,000 .
ספקי שירותי ICT של צד שלישי שסומנו כ"קריטיים" על ידי ה-ESAs יכולים לעמוד בפני קנסות של עד 5,000,000 אירו לארגונים או מקסימום של 500,000 אירו ליחידים.
ה-ESAs יכולים גם להוציא צווי הפסקה, הודעות סיום או הודעות פומביות ולהטיל עונשים כספיים נוספים או, במקרים מסוימים, התחייבויות פליליות.
מסיכום תקנות DORA זה, ברור שיש גם יתרונות לעמידה ב-DORA וגם השלכות שליליות אפשריות לאי ציות. כעת נסתכל על חמשת ההיבטים המרכזיים מאחורי חוק החוסן התפעולי הדיגיטלי בפירוט רב יותר.
5 עמודי התווך של דרישות DORA
תקנת DORA מספקת דרישות רבות שהארגון הפיננסי שלך צריך לעמוד בו כדי לבנות ולשמור על חוסן תפעול דיגיטלי חזק.
דרישות אלו מתרכזות ביסודו סביב חמישה תחומי ליבה.
1. ניהול סיכונים בתקשוב
על פי דרישות האבטחה של DORA, עליך להקים תהליך ניהול סיכוני ICT פרואקטיבי. זה מחייב אותך ליצור ולעקוב אחר מסגרת ניהול סיכונים ICT מקיפה.
לפני הקמת מסגרת, תאר את סיכוני האבטחה הקשורים ל-ICT של הישות הפיננסית שלך. זהה וסיווג את הנכסים והפונקציות שלך מהפחות עד הקריטי ביותר, יחד עם תיעוד של קשרים ותלות ביניהם. החוק גם מחייב אותך לנתח כיצד תרחישים ושיבושים ספציפיים עשויים להשפיע על הפעילות שלך ומהן ההשלכות האפשריות.
זה גם דורש ממך ליישם מדיניות אבטחת מידע שיכולה לסייע בהפחתת סיכונים הקשורים ל-ICT, כולל ניהול זהויות , ניהול גישה וזיהוי ותגובה לאירועים . כמו כן, המוסד הפיננסי שלך צריך לפרוס כלי אבטחת סייבר כדי לאכוף מדיניות זו.
הגדירו תפקידים ואחריות לכל התהליכים הקשורים לתקשוב והבטחו תקשורת ותיאום יעילים ובזמן ביניהם.
2. ניהול אירועים הקשורים לתקשוב
דרישות אבטחת הסייבר של DORA מסדירות כיצד המוסד הפיננסי שלך צריך לנהל תקריות הקשורות ל-ICT. הוא קובע כי האמצעים והנהלים לאיתור, לנתח, לסווג ולדווח על אירועים חיוניים.
אתה צריך להיות מסוגל לתעד סימנים מוקדמים של אירוע כדי לאפשר זיהוי מהיר שלו. להחליט מי אחראי למה בעת טיפול בתקריות הקשורות לתקשוב.
הישות הפיננסית שלך צריכה גם לקבוע נהלי תגובה לאירועים כדי לצמצם את ההשפעה של תקריות ולשמור על פעולות קריטיות לאורכם.
בנוסף, תקנת DORA מציגה דרישות לדיווח על אירועים. על צוות אחראי בארגון שלך לא רק לדווח על תקריות גדולות להנהלה הפנימית, אלא גם לרשויות הרלוונטיות של האיחוד האירופי, לשותפים וללקוחות המושפעים. לכן, אתה צריך תוכנית תקשורת תקרית פשוטה.
3. בדיקת חוסן תפעולי דיגיטלי
תחום מיקוד נוסף הוא בדיקות מערכות ICT, שמטרתן להבטיח את עמידות הארגון שלך בפני התקפות. בדיקת חוסן מסייעת לך לזהות חולשות ופערים בתהליך ניהול סיכונים הקשורים ל-ICT ולאחר מכן לנקוט באמצעי תיקון ממוקדים.
כדי לזהות את רמת החוסן התפעולי של הארגון שלך, עליך לערוך סדרה של מבחני פגיעות וחדירה, כמו גם תרגילי תגובה לאירועים. בדיקות אלו צריכות להתבצע על ידי גורמים בלתי תלויים מתוך הארגון שלך או מחוצה לו לפחות פעם בשנה.
בסיום הבדיקה, סיווג ותעדף את הבעיות שזוהו במהלך תהליך הבדיקה וקבע כיצד לתקן אותן.
4. ניהול סיכונים של צד שלישי ICT
סיכון צד שלישי הוא נושא מרכזי בכל חוק החוסן התפעולי הדיגיטלי. מכיוון שארגונים פיננסיים בימינו תלויים במידה רבה בספקי שירותי ICT של צד שלישי, הבטחת שיתוף הפעולה עם צדדים שלישיים חיונית.
גם אם אתה משתמש בשירותי צד שלישי כדי לתמוך בפעילות העסקית שלך, אתה נשאר אחראי לחוסן התפעולי הדיגיטלי של הארגון שלך ולעמידה בדרישות DORA בכל עת. זו הסיבה שאתה צריך לבנות אסטרטגיית ניהול סיכונים של צד שלישי.
לפי DORA, עליך להעריך היטב את אמצעי אבטחת הסייבר שננקטים על ידי ספקי שירות פוטנציאליים לפני חתימת הסכם איתם. הארגון שלך נדרש גם להשלים הסכמים חוזיים עם סעיפים המחייבים צדדים שלישיים ליישם אמצעי אבטחת סייבר נאותים ולעמוד בתקני DORA.
בנוסף, עליך לקבוע נהלי ניטור של ספקי צד שלישי כדי לבדוק אם צדדים שלישיים אכן פועלים לפי שיטות עבודה מומלצות בתחום אבטחת הסייבר ועומדים בתאימות.
5. שיתוף מידע ומודיעין
DORA מדגישה את החשיבות של שיתוף פעולה במגזר הפיננסי של האיחוד האירופי. זה מעודד יצירת סביבה שבה ישויות פיננסיות מכוסות יכולות לחלוק מודיעין אירועים ואסטרטגיות כדי להקדים את איומי הסייבר.
סביבה כזו יכולה לעזור לתעשייה הפיננסית באיחוד האירופי להעלות את המודעות לסיכונים הקשורים ל-ICT ולהגביל את התפשטות איומי ה-ICT. עם זאת, ארגונים צריכים לשתף מידע רק באמצעים מאובטחים ולהבטיח כי נתונים רגישים מוגנים כראוי.
ובכל זאת, שיתוף מידע ומודיעין עם גופים פיננסיים אחרים הוא יותר המלצה מאשר דרישה מחייבת והוא וולונטרי לחלוטין.
כעת, לאחר שלמדנו על עמודי התווך של DORA, בואו נגלה כיצד תוכלו לקיים אותם בעזרת Syteca.
כיצד Syteca יכולה לעזור לך לעמוד בדרישות DORA
Syteca היא פלטפורמת ניהול סיכונים פנימיים במחזור מלא המסייעת לארגונים להרתיע, לזהות ולשבש איומי אבטחה ברשתות שלהם. מגוון תכונות אבטחת הסייבר שלו יכול לעזור לך לשפר את החוסן התפעולי וליישם את חמשת עמודי התווך של DORA בארגון הפיננסי שלך.
- לניהול סיכוני ICT יעיל , Syteca מספקת נראות מלאה לפעילות ברשת שלך. הוא עוקב ומתעד באופן רציף את כל פעילות המשתמש ויכול להודיע לצוות האבטחה שלך בכל פעם שמשהו נראה חשוד. הפעלות משתמש בסיכון גבוה מסומנות בסמלי התראה מתאימים, כך שלא לוקח זמן רב למצוא הפעלה שהפעילה התראה, להציג אותה ולשבש אותה במידת הצורך.
- עבור ניהול תקריות הקשורות ל-ICT , Syteca מציעה פונקציונליות של זיהוי ותגובה מבוסס כללים . הוא מספק קבוצה של כללים מוגדרים מראש שבהם תוכל להשתמש כדי להגדיר תהליכי זיהוי ותגובה של אירועים. אתה יכול גם ליצור כללים מותאמים אישית כדי להתאים את התהליכים לצרכים הספציפיים שלך. בנוסף, Syteca יכולה להעצים אותך עם כלי ביקורת ודיווח כדי לפשט את הדיווח על אירועים לדירקטוריון ולרשויות האיחוד האירופי.
- בעת ביצוע בדיקות חוסן תפעולי דיגיטלי , הצפייה המקוונת של Syteca מאפשרת לך לעקוב אחר ההתקדמות בזמן אמת ולראות כיצד משתמשים מגיבים למקרי בדיקה שונים.
- כדי לייעל את ניהול הסיכונים של צד שלישי , Syteca מאפשרת לך לנהל באופן פרטני את הרשאות הגישה של ספקי השירות שלך ולאבטח את החיבורים המרוחקים שלהם לרשת שלך. כמו כן, עם פונקציונליות הניטור הרציף של Syteca, אתה יכול לצפות בפעילות של ספקי השירות שלך.
- כדי להעצים אותך לחלוק מידע מודיעיני על אירועי אבטחה עם עמיתים, Syteca מציעה פונקציית ייצוא ראיות. בעזרתו תוכלו לייצא ולשתף הפעלות משתמשים ודוחות פעילות. תכונת אנונימיזציית נתוני המשתמש תעזור לך לכבד את זכותם של אנשים לפרטיות ולשמור על בטיחות נתוני המשתמש האישיים.
מַסְקָנָה
ארגונים פיננסיים צריכים לעבור מניהול תגובתי לניהול פרואקטיבי של סיכוני אבטחת סייבר. ומכיוון שיש להם רק עד ינואר 2025 ליישם את דרישות DORA, חיוני למנהלי מערכות מידע, CSO ו-CCO של גופים פיננסיים הפועלים באיחוד האירופי לתעדף מאמצי ציות ללא דיחוי.
Syteca היא פלטפורמה מקיפה הכוללת פונקציות שונות של אבטחת סייבר, כגון ניהול זהויות , אימות דו-גורמי , ניהול גישה , ניטור פעילות משתמשים , זיהוי ותגובה לאירועים וביקורת ודיווח . יכולות אלו יכולות לשפר את החוסן התפעולי של הארגון שלך ולהבטיח תאימות.
