Dijital Operasyonel Dayanıklılık Yasası (DORA) 16 Ocak 2023’te yürürlüğe girdi. Finansal kuruluşların, 17 Ocak 2025’ten itibaren iki yıllık bir uygulama döneminin ardından, ciddi operasyonel dijital koşullara karşı dirençli kalmalarını sağlamayı amaçlayan yeni düzenlemeye tamamen uyması gerekiyor. bozulma.
Kanun, siber dayanıklılık, denetlenebilirlik ve finansal kuruluşlar ile üçüncü taraf yazılımlar ve BT hizmet sağlayıcıları arasında, bu ürünler ve hizmetler iş operasyonlarını güçlendirmek için kullanıldığında paylaşılan sorumlulukların bir dizi yönünü kapsıyor.
Bu, Avrupa Birliği’nde (AB) faaliyet gösteren şirketleri etkileyen bir Avrupa düzenlemesi olsa da, diğer bölgeler de siber dayanıklılığı uygulamaya koyuyor. Bunlar arasında Avustralya’nın İhtiyati Düzenleme Otoritesi ve Birleşik Krallık’taki İngiltere Bankası da bulunmaktadır. ABD’de Menkul Kıymetler ve Borsa Komisyonu (SEC) da siber dayanıklılığı düşünüyor.
BT tedarik zinciri genelinde esneklik
Üçüncü taraf ürün ve hizmetlerdeki kusurlara ve güvenlik açıklarına karşı dayanıklılık dünya çapında ilgi görüyor. Bunun bir örneği, Windows çalıştıran sistemlerde büyük kesintilere neden olan CrowdStrike kusurudur. Juniper Research’ün o dönemde belirttiği gibi, dünya çapındaki teknoloji kesintisinin kurbanları arasında bankalar da vardı ve bu da bazı müşterilerin çevrimiçi bankacılık hizmetlerine erişememesine neden oluyordu. Bankamatikler ve kartlı ödeme sistemleri de etkilendi.
DORA’nın amacı, BT sorunlarından kaynaklanan bankacılık sistemlerinde meydana gelebilecek olası kesintileri sınırlamaktır, ancak etkinliği ile kuruluşların siber güvenlik açısından olgunluğu arasında doğrudan bir ilişki vardır.
SecurityScorecard, Ağustos 2023 ile Ağustos 2024 arasında ağ güvenliği, kötü amaçlı yazılım bulaşmaları, uç nokta güvenliği, yama sıklığı, uygulama güvenliği ve alan adı sistemi (DNS) gibi faktörleri inceleyerek Avrupa’nın en iyi 100 şirketinin siber güvenlik performansını değerlendirdi.
DORA gibi siber güvenlik standartlarını yeniden şekillendirecek düzenlemelerle Avrupalı şirketlerin, ekosistemlerini korumak için üçüncü taraf risk yönetimine öncelik vermeleri ve derecelendirme sistemlerinden yararlanmaları gerekiyor
Ryan Sherstobitoff, Güvenlik Puan Kartı
Araştırma, en büyük 100 Avrupa şirketinin %98’inin bu 12 aylık dönemde üçüncü taraf tedarikçilerin dahil olduğu bir ihlalle karşılaştığını ortaya çıkardı. DORA, finansal kuruluşların kullandıkları üçüncü taraf hizmet sağlayıcılarının iş etkisine ve oluşturdukları risk düzeyine göre kritikliklerini belirlemelerini ve değerlendirmelerini gerektirir.
Üçüncü taraf BT ve iletişim ürünleri ve hizmetleri, finansal kuruluşların BİT üçüncü taraf riskini, kendi BİT risk yönetimi çerçeveleri içerisinde BİT riskinin ayrılmaz bir bileşeni olarak yönetmeleri gerektiğini şart koşan DORA’nın 28. Maddesi kapsamındadır. Operasyonlarının ayrılmaz bir parçası olarak üçüncü taraf hizmetlerini kullanan finans kuruluşları, işletmenin genel siber güvenliğinden sorumlu tutulur ve ayrıca tedarikçilere yönelik tam bir risk değerlendirmesi yapmak zorundadır.
SecurityScorecard’ın tehdit araştırmaları ve istihbaratından sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff, üçüncü taraflarca sağlanan ürün ve hizmetlerdeki güvenlik açıkları ve güvenlik zayıflıklarından kaynaklanan siber riske maruz kalma konusunu şöyle açıklıyor: “Düşmanların bunları istismar etmesi nedeniyle tedarik zincirindeki güvenlik açıkları kritik bir tehdit olmaya devam ediyor küresel ağlara sızmak için zayıf bağlantılar. DORA gibi siber güvenlik standartlarını yeniden şekillendirecek düzenlemelerle Avrupalı şirketlerin, ekosistemlerini korumak için üçüncü taraf risk yönetimine öncelik vermeleri ve derecelendirme sistemlerinden yararlanmaları gerekiyor.”
GüvenlikPuan Kartları Küresel üçüncü taraf siber güvenlik ihlali raporu Üçüncü taraf ihlallerinin %75’inin yazılım ve teknoloji tedarik zincirini hedef aldığını ortaya koyuyor; bu trend, SolarWinds, Log4j ve MOVEit’i içeren son zamanlardaki yüksek profilli ihlallerle de güçleniyor.
Thales’in bulut korumasına yönelik stratejik ortaklıklar direktörü Romain Deslorieux, “DORA, bilgi güvenliği yönetimini yasal bir zorunluluk haline getiriyor” diyor. “Uyumluluğu sağlamak için kuruluşların, uygulamalarının, verilerinin ve kimliklerinin yeterince korunduğundan emin olmak amacıyla siber güvenlik hizmetlerini basitleştirmeye ve otomatikleştirmeye çalışmaları gerekecek. Buna API’den gelen her şey dahildir [application programming interface] güvenlik; hassas verilerin sınıflandırılması, izlenmesi ve korunması; Müşterilere, çalışanlara ve ortaklara güvenli, güvenilir erişim sağlamaya kadar.”
BT denetimi
ITAM Forum’un analisti ve kurucusu Martin Thompson, kuruluşların kullandıkları BT ürünleri ve hizmetleriyle ilişkili riskleri sınıflandırmalarına yardımcı olacak bir keşif süreci yürütmelerini tavsiye ediyor.
Grant Thornton’un Dublin ofisinin ortaklarından Shane O’Neill, Eylül 2024 tarihli bir blogda, finans kurumlarının BİT varlık kataloglarını merkezileştirebilecek platformlara yatırım yapmalarını önerdi. Bunun, firmaların iş için oluşturdukları potansiyel riskleri anlamalarına ve bu tür riskleri azaltmak için harekete geçmelerine olanak tanıyan, üçüncü taraf sağlayıcılara ilişkin bütünsel bir bakış açısı sunması gerektiğini söyledi.
O’Neill, çoğu BT varlık yönetimi platformunun, inceleme sürecini basitleştirmek için kullanılabilecek otomasyon özellikleri sağladığına dikkat çekti. “DORA, en azından BİT varlıklarının ve beraberindeki belgelerin yıllık olarak incelenmesini gerektiriyor ve yüksek riskli görülen üçüncü taraflar için inceleme döngüsü daha sık gerçekleşiyor” diye yazdı.
“Otomasyon, bir incelemeyi koordine etmenin idari yükünü azaltır ve bir inceleme döngüsü içindeki manuel bileşenlerin sayısını azaltır, böylece insan hatası olasılığını veya bir inceleme döngüsünün kaçırılma olasılığını azaltır.”
O’Neill’in belirttiği gibi, BT varlık yönetimi platformları, paydaşlara varlık envanterlerini incelemelerini hatırlatan bir e-posta oluşturarak otomatik olarak bir inceleme sürecini tetikleyebilir ve paydaş incelemeyi sistem içinde gerçekleştirdiğinden platform, onların etkinliklerini otomatik olarak günlüğe kaydeder ve böylece tüm işlemlerin yapılmasını sağlar. Sürecin bazı yönleri düzenleyici açıdan kolaylıkla denetlenebilir.
Forrester kıdemli analisti Madelein van der Hout, etkilenen kuruluşların uyumluluk programlarını uygulama konusunda zaten oldukça ileri düzeyde olması gerekirken, Kasım 2024 gibi geç bir tarihte bile Forrester müşterilerinden çağrılar aldığını ve ne yapmaları gerektiğini sorduğunu söylüyor. “Kasım ayında başladıysanız yeterli zaman yok” diyor.
Van der Hout’a göre çoğu finansal kuruluş halihazırda iyi bir güvenlik duruşuna sahip olsa da tüm finans kuruluşlarının hâlâ üçüncü tarafları, BT altyapılarının çeşitlendirilmesini ve karşılıklı bağımlılıkları dikkate alması gerekecek.
Küresel hukuk firması Latham & Watkins’in danışmanı Alain Traill’e göre pek çok kişi kurallara uymakta zorlanıyor. Halen DORA ile anlaşmaya varan kuruluşlara, uyumsuz oldukları yerleri tespit etmek için bir boşluk analizi yapmaları çağrısında bulunuyor.
“Kredi kurumları gibi geleneksel olarak düzenlenen firmalara ek olarak, e-para kurumları ve kripto varlık sağlayıcılarını da içeren kapsam dahilindeki finansal kuruluşlar için uyumluluk, DORA’nın katı gerekliliklerine karşı mevcut esneklik önlemlerinin bir boşluk analizini, yönetişim zincirlerinin, politikaların ve politikaların güncellenmesini içerir. prosedürler – olaylara müdahale ve dayanıklılık testleri gibi temel DORA odak alanlarına özellikle dikkat etmek ve derinlemesine bir sözleşme envanteri ve iyileştirme çalışmasını tamamlamak” diyor.
BT etkisi
DORA, kuruluşların BT tedarik zincirlerinin dayanıklılığını değerlendirmeleri gerektiğini şart koştuğundan, BT sağlayıcıları da dahil olmak üzere üçüncü tarafların da DORA kapsamındaki sorumluluklarını anlaması gerekir. Traill, BT firmalarının sözleşme şartlarını güncellemesi ve potansiyel olarak bir AB kuruluşu kurması gerektiğini söylüyor.
“’Kritik’ olarak tanımlanmayan ancak kapsam dahilindeki finansal varlıklar olan müşterileri olan tüm BİT hizmetleri sağlayıcılarının (genelde AB dışında bulunan çok çeşitli yazılım ve ilgili ürün sağlayıcıları da dahil) bu hizmeti etkinleştirmek için adımlar atması gerekiyor. Bu tür müşterilerin, süreçlerin ve politikaların gözden geçirilmesi ve güncellenmesi ve sözleşme şartlarının güncellenmesi de dahil olmak üzere uyması gerekiyor” diyor.
“Proaktif önlemler, DORA’nın gerekliliklerine uyum sağlamak ve finansal kuruluşlar ve ‘kritik’ BİT sağlayıcıları için önemli para cezaları dahil olmak üzere önemli sonuçlardan kaçınmak için çok önemlidir.”
Proaktif önlemler, DORA’nın gerekliliklerine uyum sağlamak ve ciddi para cezaları da dahil olmak üzere ciddi sonuçlardan kaçınmak için çok önemlidir.
Alain Traill, Latham ve Watkins
Forrester’dan van der Hout, sözleşmeye bağlı olarak DORA’ya uyması gereken finansal kuruluşlardaki BT liderlerinin hangi BT’yi uyguladıklarına bakmalarını öneriyor.
“Kullandığınız BT tedarikçilerinin DORA’ya yeterince uymaması durumunda bunun sonuçları olabilir” diyor. BT liderlerinin bu tür uyumsuz sözleşmeleri feshetme seçeneği olsa da van der Hout, “BT’lerini BT altyapınızdan ayırmanın zor olduğu” konusunda uyarıyor.
Thales’ten Deslorieux, üçüncü taraf BT sağlayıcılarının siber dayanıklılığını sağlamak için gereken çalışmanın ötesinde, DORA’nın kuruluşlara atıl durumdaki, aktarım halindeki ve kullanımdaki verileri şifrelemek ve bu şifrelemenin şifreleme anahtarlarını kapsamlı bir şekilde yönetmek için politikalar tanımlama ve uygulama yetkisi verdiğini belirtiyor. güveniyor. “Finansal hizmetler aynı zamanda kriptanalizdeki gelişmelere dayanarak kriptografik teknolojinin güncellenmesi veya değiştirilmesi için de hazırlık yapmalıdır” diyor.
Computer Weekly uzmanları, DORA uyumluluğunun uygulanması ve uyumluluğun devamı için sürekli bakımın sağlanması için çalışmanın gerekli olduğunu kabul ettiklerini ifade etti. Bunlar ek maliyetlerdir.
Forrester’a göre uygulama tamamen işletmenin siber güvenlik olgunluğuna bağlı olacak, ancak DORA mevcut BT güvenlik çerçevelerini temel alıyor; bu da birçok kişinin muhtemelen yeni düzenlemeye uyum sağlamak için gereken işin çoğunu yaptığı anlamına geliyor.
Van der Hout, devam eden maliyetlerin BT bütçeleri üzerinde daha uzun vadeli bir etkiye sahip olacağına dikkat çekiyor. DORA uyumluluğunu sürdürmenin bir kuruluşun siber güvenlik maliyetlerine %10 oranında katkıda bulunabileceğini tahmin ediyor.