DORA, Bilgi ve İletişim Teknolojisi (BİT) sistemlerine odaklanır ve AB’deki tüm finansal kurumlar için geçerlidir. Buna bankalar, sigorta şirketleri, yatırım firmaları ve kredi kuruluşları gibi geleneksel kuruluşların yanı sıra kripto firmaları ve kitlesel fonlama platformları gibi geleneksel olmayan kuruluşlar da dahildir. Düzenleme aynı zamanda bulut hizmet sağlayıcıları ve veri merkezleri de dahil olmak üzere BİT üçüncü taraf hizmet sağlayıcılarını da kapsamaktadır. DORA bir AB düzenlemesi olmasına rağmen, AB kapsamındaki kuruluşlarla çalışan herhangi bir kuruluşun, fiziksel konumundan bağımsız olarak uyumluluğu sürdürmesi gerekir.
DORA düzenlemeleri üç temel konsepte ayrılabilir:
- BİT Risk Yönetimi: Düzenlemeye tabi kuruluşların, düzenli testler de dahil olmak üzere yüksek düzeyde operasyonel dayanıklılık sağlayan belgelenmiş bir BİT risk yönetimi çerçevesine sahip olması gerekir.
- Olay Yönetimi: Kuruluşların, BİT ile ilgili olayların tespiti, iyileştirilmesi veya çözümü ve bildirimi için bir BİT olay yönetimi sürecine sahip olması gerekir.
- Tedarik Zinciri Güvenliği: Kuruluşlar BİT üçüncü taraf riskini, risk yönetimi çerçevelerinin ayrılmaz bir parçası olarak yönetmelidir.
Bu gerekliliklere ek olarak DORA, kapsam dahilindeki taraflar arasında bilgi paylaşımını teşvik eder ancak zorunlu kılmaz.
DORA’daki düzenlemeler Ağ ve Bilgi Güvenliği (NIS2) Direktifindeki düzenlemelere benzer. Hem DORA hem de NIS2, siber dayanıklılığı sağlama ortak hedefini paylaşıyor; ancak hedef sektör tanımları, özellikle finans sektöründe bazı örtüşmelerle farklılık gösteriyor. NIS2’nin kapsamı daha geniş olsa da DORA, güvenlik testleri için daha zorlu gereksinimler getirmektedir. Finansal kuruluşlar hem DORA hem de NIS2 kapsamına girdiğinden her iki düzenlemeye de uymak zorundadırlar.
Neden DORA ve Neden Şimdi?
Finans sektörü, finansal hizmetler sunmak için giderek internet teknolojisinin yanı sıra fintech (finansal teknoloji) ve finansal olmayan teknoloji şirketlerine de bağımlı hale geliyor. Bu artan bağımlılıkla birlikte artan siber saldırı riski ve diğer hizmet kesintileri de beraberinde geliyor. 2023 yılında Avrupa’daki finansal hizmetlere yönelik siber saldırıların sayısı iki kattan fazla arttı ve dünya çapında finans sektöründeki kuruluşlara yönelik bir siber saldırının ortalama maliyeti 5,9 milyon dolardı.
Günümüzün dağıtılmış sistemleri ve finansal operasyonların birbirine bağlı doğası nedeniyle aksaklıklar kolaylıkla ulusal sınırların ötesine yayılabilir. DORA’dan önce, AB çapında finans kurumlarının ve üçüncü taraf hizmet sağlayıcılarının dijital operasyonel dayanıklılığını güçlendirmeye yönelik birleşik bir program yoktu. DORA, AB üye ülkelerinde halihazırda mevcut olan BİT risk yönetimi düzenlemelerini güçlendirir ve uyumlu hale getirir ve tüm finans sektöründe BT riskini yönetmek ve azaltmak için evrensel bir çerçeve oluşturur.
DORA ve Pentest
Kötü aktörler tarafından istismar edilmeden önce, BT sistemlerindeki ve uygulamalarındaki güvenlik açıklarını tespit etmek, çözmek veya düzeltmek her BİT kuruluşunun hayati çıkarınadır. DORA gereksinimleri, operasyon kararlılığı ve tehdit tespiti ve müdahalesine yönelik düzenli testleri içerir. Yakın veya gerçek gerçek dünya koşulları altında bir siber saldırının simülasyonu olan sızma testi, bu görev için mükemmel bir şekilde uygundur. DORA gereksinimlerini karşılamak için kritik bir araçtır.
DORA iki düzeyde test gerektirir. Düzenlenen tüm kuruluşların, güvenlik açıklarını ve zayıflıkları tespit etmek ve güvenlik kontrollerini yerinde doğrulamak için önemli işlevleri destekleyen sistemler ve uygulamalar için en az yılda bir kez dijital operasyonel dayanıklılık testleri yapması gerekir. DORA ayrıca en az üç yılda bir, her ülkedeki yetkililer tarafından belirlenen en önemli finansal operasyonlara yönelik belirli tehditlere odaklanan tehdit odaklı sızma testini (TLPT) zorunlu kılmaktadır.
BİT sistemlerindeki güvenlik açıklarını istismar edilmeden önce tespit etmenin yanı sıra, güvenlik açıklarını kurulmadan önce kontrol etmek için uygulama geliştirmede sızma testi de yapılabilir, bu da kuruluşun genel güvenlik duruşunu iyileştirir. Ayrıca kuruluşa gerçek bir siber olay yerine bir test durumunda bir siber saldırıya tepki verme fırsatı vererek genel dayanıklılığı artırmak için de kullanılabilir.
DORA Gereksinimlerini HackerOne’ın Kapsamlı Güvenlik Testi Çözümleriyle Karşılayın
HackerOne, finansal hizmet kuruluşlarının DORA uyumluluk gereksinimlerini karşılamalarına yardımcı olmak için tasarlanmış kapsamlı bir güvenlik çözümleri paketi sunar. Portföyümüz CREST onaylı Hizmet Olarak Pentest (PTaaS) modelini, Kod Güvenliği Denetimlerini, Hata Ödül programlarını ve Nokta Kontrollerini içerir. Bu entegre yaklaşım, DORA’nın 24. ve 25. Maddelerde ana hatlarıyla belirtildiği gibi düzenli ve kapsamlı BİT risk değerlendirmesi ve yönetimine ilişkin talimatlarıyla mükemmel bir şekilde uyumludur.
HackerOne Pentest, özünde, yoğun incelemelerden geçmiş güvenlik araştırmacıları tarafından gerçekleştirilen güvenlik testlerine yönelik ayrıntılı, metodolojiye dayalı bir yaklaşım sunar. DORA Madde 24(1) uyarınca, sızma testi hizmetlerimiz kuruluşların BİT risk yönetimi çerçevesinin ayrılmaz bir parçası olarak sağlam ve kapsamlı bir dijital operasyonel dayanıklılık testi programı oluşturmasına, sürdürmesine ve incelemesine yardımcı olur. HackerOne ile yapılan her bir sızma testi, DORA uyumluluk çabalarının belgelenmiş kanıtlarını sağlayan ayrıntılı raporlar ve tasdikler sunar. Bu, Madde 24(5)’te belirtildiği gibi “dahili doğrulama metodolojilerine” duyulan ihtiyaçla uyumludur.
Pentest hizmetlerimiz aşağıdakilerle tamamlanmaktadır:
- Kod Güvenliği Denetimleri (CSA): HackerOne CSA hizmeti, DORA Madde 25(1)’in “mümkün olan yerlerde kaynak kodu incelemeleri” gerekliliğini ele almaktadır. 600’den fazla denetlenmiş kıdemli yazılım mühendisi tarafından gerçekleştirilen bu denetimler, otomatik araçların gözden kaçırabileceği güvenlik açıklarını belirleyerek kod tabanınızın güvenlik duruşuna ilişkin kapsamlı bir görünüm sağlar.
- Hata Ödül Programları: HackerOne Bounty, DORA Madde 24(6)’nın “kritik veya önemli işlevleri destekleyen tüm BİT sistemleri ve uygulamalarının” yıllık test edilmesine ilişkin talimatına uygun olarak sürekli, insan gücüyle çalışan güvenlik testleri sunmaktadır. Bu her zaman açık yaklaşım, sistemlerinizin yeni ve ortaya çıkan tehditlere karşı sürekli olarak test edilmesini sağlar.
- Nokta Kontrolleri: Hata Bounty teklifimizin bir parçası olarak Nokta Kontrolleri hızlı, esnek test yinelemelerine olanak tanır. Bu yetenek, DORA Madde 25(1)’in “güvenlik açığı değerlendirmeleri ve taramaları, açık kaynak analizleri, ağ güvenliği değerlendirmeleri, boşluk analizleri” ve diğer uygun testler çağrısını destekler.
HackerOne’ın insan destekli, sürekli yaklaşımı, kuruluşların DORA’nın Madde 24(2)’de belirtilen “bir dizi değerlendirme, test, metodoloji, uygulama ve araç” gereksinimlerini karşılayabilmesini sağlar. Kuruluşlar, HackerOne’ın DORA gereksinimleri konusunda uzmanlaşmış AB merkezli profesyoneller de dahil olmak üzere küresel güvenlik uzmanları ağından yararlanarak, güvenlik önlemlerinin hem DORA standartlarına hem de daha geniş AB düzenleyici beklentilerine göre kapsamlı bir şekilde değerlendirilmesini sağlayabilirler.
HackerOne’ın güvenlik testi çözümlerini DORA uyumluluk stratejilerine entegre ederek kuruluşlar, siber güvenliğe proaktif, risk tabanlı bir yaklaşım sergilerken gerekli dijital operasyonel esneklik standartlarını karşılama yetkisine sahip oluyor. Bu kapsamlı strateji, düzenleyici kurumlar nezdindeki güvenilirliğini önemli ölçüde artırıyor ve gelişen BİT riskleri karşısında sürekli dayanıklılık sağlıyor.