Bu Help Net Security röportajında Kyndryl Küresel Güvenlik ve Dayanıklılık Lideri Kris Lovejoy, Dijital Operasyonel Dayanıklılık Yasası'nın (DORA) AB genelindeki kuruluşlar üzerindeki, özellikle de BİT risk yönetimi ve siber güvenlik alanındaki etkisini tartışıyor.
DORA, kurumsal siber dayanıklılığı artırmaya odaklanarak, finansal kuruluşlar (FE'ler) ve üçüncü taraf hizmet sağlayıcılar için geçerli olan sektöre özel düzenlemeler getiriyor. Lovejoy, DORA ve NIS2 direktifleri arasındaki uyumu, DORA'nın uygulanmasına yönelik zaman çizelgesini ve kuruluşların 2025 son tarihine kadar uyumluluğu sağlamak için atması gereken zorunlu adımları tartışıyor.
DORA, özellikle BİT risk yönetimi ve siber güvenlik konusunda AB genelindeki kuruluşları nasıl etkileyecek?
Dijital Operasyonel Dayanıklılık Yasası, kurumsal siber dayanıklılık gerekliliklerini geliştirmek ve standartlaştırmak için oluşturulan, AB'de yeni ve yeni ortaya çıkan birkaç düzenlemeden biridir. DORA, bankalar, sigorta şirketleri, kredi kuruluşları ve daha fazlası dahil olmak üzere AB-27'de faaliyet gösteren finansal kuruluşlara ve onları destekleyen Kyndryl gibi üçüncü taraf hizmet sağlayıcılara özeldir. Artık mevzuata uygunluk (ve ilgili cezalar ve yasal ücretler) ve siber sigortanın yansımaları, siber güvenlik ihlallerinin etkilerini artıracak.
DORA, NIS2 gibi diğer siber güvenlik direktifleriyle nasıl uyum sağlıyor veya onlardan farklılaşıyor ve ne gibi benzersiz zorluklar sunuyor?
DORA ve NIS2 (gözden geçirilmiş Ağ ve Bilgi Güvenliği Direktifi) aynı hedeflere sahiptir ve kabaca benzer uygulama zaman çizelgeleriyle aynı anda uygulamaya konmuştur. Ancak temel fark, DORA'nın 20 finansal kuruluşa doğrudan uygulanabilen sektöre özgü bir düzenleme olması, NIS2'nin ise enerji, ulaştırma, dijital altyapıdan imalat ve perakendeye kadar 18 sektöre uygulanabilen yatay bir direktif olmasıdır. Düzenleyiciler, çakışmaları önlemek için DORA kapsamındaki kuruluşların risk yönetimi çerçevesi ve raporlama yükümlülükleri gibi bazı temel NIS2 hükümlerine uymasının gerekmediğini belirtmişlerdir.
DORA'nın uygulanmasına ilişkin zaman çizelgesi nedir ve kuruluşlar, son tarih olan 2025'e kadar uyumluluğu sağlamak için hangi adımları atmalıdır?
DORA, 16 Ocak 2023'te yürürlüğe girdi ve 17 Ocak 2025'te tamamen yürürlüğe girecek. Önümüzdeki Ocak ayı uzak bir hedef gibi görünebilir. Ancak finansal hizmetler bilgi ve iletişim teknolojisinin (BİT) karmaşık dünyasında bir yıl neredeyse yeterli değildir.
Etkilenen firmalar, hem operasyonel hem de kişisel verileri olumsuz manipülasyon, imha veya hırsızlığa karşı koruyacak kritik sistem ve protokolleri güçlendirmeli (veya oluşturmalı), baskı testini yapmalı ve uygulamalıdır. Aksi takdirde, operasyonel ve itibarsal zararın yanı sıra üst düzey yöneticiler ve yönetim kurulu da dahil olmak üzere yaptırımlara ve cezalara maruz kalacaklar.
DORA, BİT ile ilgili olay raporlamanın önemini vurgulamaktadır. Olay raporlama gerekliliklerini ve bunun operasyonel dayanıklılığı nasıl artıracağını ayrıntılı olarak açıklayabilir misiniz?
DORA, FE'lerin herhangi bir büyük BİT olayını özel raporlama şablonları aracılığıyla özel olarak belirlenmiş zaman çizelgeleri aracılığıyla ilgili yetkili makamlara raporlamasını zorunlu kılacaktır. Herhangi bir rapor, alıcı yetkili makamın daha sonra BİT olayının düzeyini ve ortaya çıkan olası sınır ötesi etkiyi tespit etmesi için gerekli tüm ayrıntıları da içermelidir.
DORA'dan önce, FE'ler için AB operasyonel esneklik ve siber güvenlik risk yönetimi yönetişim modeli, AB mali denetleyicilerine FE'lere tek tip gereklilikler dayatma veya bunlardan kaynaklanan riskleri değerlendirme yetkisi vermeyen farklı ulusal kurallar, yönergeler ve uygulamalar koleksiyonuna dayanıyordu. TSP'lere bağımlılıkları. DORA, bu eşitsizliklerin ve eşit olmayan ulusal düzenleyici veya denetleyici yaklaşımların üstesinden gelir.
DORA kapsamındaki dayanıklılık testi gereksinimleri nelerdir ve bunlar güvenlik açıklarının belirlenmesine ve azaltılmasına nasıl yardımcı olacak?
FE'ler için BİT sistemlerinin güçlü yönlerini değerlendirmek ve güvenlik açıklarını belirlemek amacıyla düzenli olarak test edilmesi artık büyük önem kazanacak, çünkü sonuçların ve endişe duyulan alanları ele alan müteakip planların ilgili yetkili makamlarla paylaşılması gerekecek. DORA kapsamında, FE'lerin ayrıca güvenlik açığı değerlendirmeleri ve senaryoya dayalı testler gibi yıllık temel testleri gerçekleştirmeleri gerekecek; finansal sistemde kritik bir role sahip olduğu düşünülenlerin ve onların BİT sağlayıcılarının da ek tehdit odaklı sızmalara tabi tutulması gerekecek. Her üç yılda bir test (TLPT).
DORA, özellikle üçüncü taraf dış kaynak kullanımı konusunda, finansal kurumlarda iç denetimin rolünü nasıl etkiler?
DORA, iç denetim fonksiyonlarının tüm mevcut plan ve programlarını gözden geçirmesini ve potansiyel olarak genişletmesini gerektirecek; çünkü bunların artık üçüncü taraf ICT sağlayıcıları aracılığıyla FE'lere yönelik potansiyel riskleri tespit etmesi gerekecek. Bu, iç denetim fonksiyonlarının yerleşik risk belirleme süreçlerini düzenli olarak gözden geçirmesi, tüm sözleşme anlaşmalarına ilişkin bilgilerin bir kaydını tutması ve düzenleyici kurumlara yıllık olarak rapor vermesi gerektiği anlamına gelir.
FE'ler raporlama yükümlülüklerini üçüncü bir tarafa devredebilir ancak sonuçta DORA kapsamındaki yükümlülüklere uyum konusunda sorumlu olmaya devam ederler. DORA güvenli protokollerinin uygulanması, bir yangın tatbikatı olarak düşünülmemelidir; çünkü kritik siber faaliyetler için uygun planlama, en etkili şekilde çalışabilmek için önemli miktarda ve düzenli eğitim, üst düzey yönetim desteği ve uygun şekilde hazırlanmış güvenlik operasyonları ekipleri gerektirir.