Dora, Bilgi ve İletişim Teknolojisi (BİT) sistemlerine odaklanır ve AB’deki tüm finansal kurumlar için geçerlidir. Bu, bankalar, sigorta şirketleri, yatırım firmaları ve kredi kurumları gibi geleneksel kuruluşların yanı sıra kripto firmaları ve kitle fonlaması platformları gibi geleneksel olmayan kuruluşları içerir. Düzenleme ayrıca bulut servis sağlayıcıları ve veri merkezleri de dahil olmak üzere BİT üçüncü taraf hizmet sağlayıcılarına da uzanmaktadır. Dora bir AB düzenlemesi olmasına rağmen, AB kapsamlı kuruluşlarla çalışan herhangi bir kuruluş, fiziksel konumuna bakılmaksızın uyumluluğu sürdürmelidir.
Dora düzenlemeleri üç temel kavramda gruplandırılabilir:
- BİT Risk Yönetimi: Düzenlenmiş kuruluşların, düzenli testler de dahil olmak üzere yüksek düzeyde operasyonel esneklik sağlayan belgelenmiş bir BİT risk yönetimi çerçevesine sahip olması gerekir.
- Olay Yönetimi: Kuruluşlar, BİT ile ilgili olayların tespiti, iyileştirilmesi veya çözümlenmesi ve bildirimi için bir BİT olay yönetimi sürecine sahip olmalıdır.
- Tedarik Zinciri Güvenliği: Kuruluşlar, BİT üçüncü taraf riskini risk yönetimi çerçevelerinin ayrılmaz bir parçası olarak yönetmelidir.
Bu gereksinimlere ek olarak, Dora kapsamlı taraflar arasında bilgi paylaşımını teşvik eder, ancak gerektirmez.
DORA’daki düzenlemeler, Ağ ve Bilgi Güvenliği (NIS2) Direktifindeki düzenlemelerle benzerdir. Hem Dora hem de NIS2, hedef sektör tanımları farklılık gösterse de, özellikle finans sektöründe bir miktar örtüşme ile siber esnekliğin sağlanmasının ortak hedefini paylaşmaktadır. NIS2’nin daha geniş bir kapsamı olsa da, Dora güvenlik testi için daha zorlu gereksinimler getiriyor. Finansal kurumlar hem Dora hem de NIS2 kapsamına girdiğinden, her iki düzenlemeye de uymaları gerekir.
Neden Dora ve neden şimdi?
Finansal sektör, finansal hizmetler sunmak için internet teknolojisine, fintech’e (finans teknolojisi) ve finansal olmayan teknoloji şirketlerine giderek daha fazla bağımlı hale geliyor. Bu artan bağımlılıkla birlikte siber saldırılar ve diğer hizmet kesintileri riski artan bir şekilde gelir. 2023’te, Avrupa finans hizmetleri üzerindeki siber saldırıların sayısı iki kattan fazla arttı ve dünya çapındaki finans sektöründeki kuruluşlar üzerindeki bir siber saldırının ortalama maliyeti şaşırtıcı bir 5,9 milyon dolardı.
Günümüzün dağıtılmış sistemleri ve finansal operasyonların birbirine bağlı doğası ile aksamalar ulusal sınırlara kolayca yayılabilir. Dora’dan önce, AB genelinde finansal kurumlarının ve üçüncü taraf hizmet sağlayıcılarının dijital operasyonel esnekliğini güçlendirmek için birleşik bir program yoktu. Dora, AB Üye Devletlerinde halihazırda var olan BİT risk yönetimi düzenlemelerini güçlendirir ve uyumlu hale getirir ve tüm finans sektöründe BT riskini yönetmek ve azaltmak için evrensel bir çerçeve oluşturur.
Dora ve Pentesting
Kötü aktörler tarafından sömürülmeden önce BT sistemlerinde ve uygulamalarındaki güvenlik açıklarını tanımlamak ve çözmek veya düzeltmek her BİT kuruluşunun hayati çıkarlarıdır. Dora gereksinimleri, çalışma stabilitesi için düzenli testler, tehdit tespiti ve yanıtı içerir. Pentesting, yakın veya gerçek gerçek dünya koşulları altında bir siber saldırının simülasyonu bu görev için mükemmel bir şekilde uygundur. Dora gereksinimlerini karşılamak için kritik bir araçtır.
Dora iki seviyede test gerektirir. Tüm düzenlenmiş varlıklar, güvenlik açıklarını ve zayıflıklarını tespit etmek ve mevcut güvenlik kontrollerini doğrulamak için önemli işlevleri destekleyen sistemler ve uygulamalar için en az yılda dijital operasyonel esneklik testi gerçekleştirmelidir. Dora ayrıca, en az üç yılda bir tehdit liderliğindeki Pentesting’i (TLPT) zorunlu kılar, bu da her ülkedeki yetkililer tarafından belirlenen en önemli finansal operasyonlar için belirli tehditlere odaklanır.
BİT sistemlerindeki kullanılmadan önce güvenlik açıklarını tespit etmenin yanı sıra, Pentesting, kuruluşun genel güvenlik duruşunu iyileştirerek, yüklenmeden önce güvenlik açıklarını kontrol etmek için uygulama geliştirmede de konuşlandırılabilir. Ayrıca, kuruluşa gerçek bir siber olaydan ziyade bir test durumunda bir siber saldırıya tepki verme fırsatı vererek genel esnekliği artırmak için de kullanılabilir.
Hackerone’un Kapsamlı Güvenlik Test Çözümleri ile Dora Gereksinimlerini Tatmin Etme
HackerOne, finansal hizmetler kuruluşlarının DORA uyumluluk gereksinimlerini karşılamasına yardımcı olmak için tasarlanmış kapsamlı bir güvenlik çözümleri sunmaktadır. Portföyümüz, Hizmet (PTAAS) modeli olarak Crest-Accredited Pentest, kod güvenlik denetimleri, hata ödül programları ve spot kontrolleri içerir. Bu entegre yaklaşım, 24 ve 25. Maddelerde belirtildiği gibi, Dora’nın düzenli ve kapsamlı BİT risk değerlendirmesi ve yönetimi yetkileri ile mükemmel bir şekilde uyumludur.
Temelde, Hackerone Pentest, ağır bir şekilde incelenen güvenlik araştırmacıları tarafından yürütülen güvenlik testlerine ayrıntılı, metodoloji odaklı bir yaklaşım sunmaktadır. Dora Madde 24 (1) uyarınca, en Pentest Hizmetlerimiz kuruluşların BİT risk yönetimi çerçevesinin ayrılmaz bir parçası olarak sağlam ve kapsamlı bir dijital operasyonel esneklik test programı kurmasına, sürdürmesine ve gözden geçirmesine yardımcı olmaktadır. HackerOne ile her pentest katılım, DORA uyumluluk çabalarının belgelenmiş kanıtlarını sağlayarak ayrıntılı raporlar ve onaylar sunar. Bu, Madde 24 (5) ‘de belirtildiği gibi “dahili doğrulama metodolojileri” ihtiyacına uymaktadır.
Pentesting hizmetlerimiz şu şekilde tamamlanmaktadır:
- Kod Güvenlik Denetimleri (CSA): Hackerone CSA Service, Dora Madde 25 (1) ‘in “mümkün olan yerlerde kaynak kodu incelemeleri” gereksinimini ele alıyor. 600’den fazla denetlenmiş kıdemli yazılım mühendisi tarafından yürütülen bu denetimler, kod tabanınızın güvenlik duruşunun kapsamlı bir görünümünü sağlar ve otomatik araçların kaçırabileceği güvenlik açıklarını belirler.
- Hata ödül programları: Hackerone Bounty, Dora Madde 24 (6) ‘nın “kritik veya önemli işlevleri destekleyen tüm BİT sistemleri ve uygulamalarının” yıllık testine ilişkin yetkiye ilişkin sürekli, insan destekli güvenlik testi sunar. Bu her zaman açık yaklaşım, sistemlerinizin sürekli olarak yeni ve ortaya çıkan tehditlere karşı test edilmesini sağlar.
- Spot kontrolleri: Böcek ödül teklifimizin bir parçası olarak, spot kontrolleri hızlı, esnek test yinelemelerine izin verir. Bu yetenek Dora 25 (1) ‘nin “güvenlik açığı değerlendirmeleri ve taramaları, açık kaynak analizleri, ağ güvenliği değerlendirmeleri, boşluk analizleri” ve diğer uygun testler çağrısını desteklemektedir.
Hackerone’un insan destekli, sürekli yaklaşımı, kuruluşların Dora’nın Madde 24 (2) ‘de belirtildiği gibi “değerlendirme, test, metodolojiler, uygulamalar ve araçlar” için gereksinimlerini karşılayabilmelerini sağlar. DORA gereksinimleri konusunda uzmanlaşmış AB tabanlı profesyoneller de dahil olmak üzere Hackerone’un küresel güvenlik uzmanları ağından yararlanarak kuruluşlar, güvenlik önlemlerinin hem DORA standartlarına hem de daha geniş AB düzenleyici beklentilerine göre kapsamlı bir şekilde değerlendirilmesini sağlayabilir.
HackerOne’un güvenlik testi çözümlerini DORA uyumluluk stratejilerine entegre ederek, kuruluşlar siber güvenlik için proaktif, risk temelli bir yaklaşım sergilerken gerekli dijital operasyonel esneklik standartlarını karşılama yetkisi verilmektedir. Bu kapsamlı strateji, düzenleyicilerle olan güvenilirliklerini önemli ölçüde artırır ve gelişen BİT riskleri karşısında sürekli esneklik sağlar.