Finansų sektorius jaučia nuolat didėjančius skaitmeninio saugumo iššūkius, kuriems spręsti reikia ne tik pažangių technologijų, bet ir gerai apgalvotos strategijos. Kaip tik šiuo tikslu ES įvedė Skaitmeninio operacinio atsparumo aktą (angl. Digital Operational Resilience Act, DORA), nustatantį griežtus reikalavimus finansų institucijoms ir jų informacinių ir ryšių technologijų (IRT) paslaugų tiekėjams, komentuoja advokatų kontoros „TGS Baltic“ asocijuotoji partnerė, BDAR ekspertė Raminta Stravinskaitė.
Asociatyvi „Pixabay“ nuotr.
Kalbant plačiau, DORA tikslas yra užtikrinti, kad finansų sektorius būtų pasirengęs ne tik reaguoti į kibernetines grėsmes, bet ir efektyviai valdyti skaitmenines rizikas, išlaikant operacinį atsparumą. Šiame straipsnyje aptarsime svarbiausius žingsnius, kaip organizacijoms sėkmingai pasiruošti jau 2025 m. pradžioje pradėsiančiam veikti naujam reguliavimui ir užtikrinti ilgalaikį skaitmeninį atsparumą.
Įsigilinkite į DORA reikalavimus
Pirmasis žingsnis pasiruošiant DORA yra išsamus įsigilinimas apie reglamento reikalavimus. DORA apima penkis pagrindinius komponentus: IRT rizikos valdymą, incidentų valdymą, operacinio atsparumo testavimą, trečiųjų šalių rizikos valdymą ir informacijos dalijimąsi. Kiekvienas iš šių komponentų reikalauja specifinių veiksmų ir priemonių, kuriuos būtina įdiegti organizacijoje.
Pavyzdžiui, IRT rizikos valdymas apima nuolatinę skaitmeninių grėsmių stebėseną, grėsmių identifikavimą ir atitinkamų apsaugos priemonių diegimą. Incidentų valdymas reikalauja, kad įmonė turėtų aiškiai apibrėžtą incidentų valdymo planą ir gebėtų greitai reaguoti į bet kokius kibernetinius incidentus. Operacinio atsparumo testavimas reiškia, kad organizacija privalo reguliariai atlikti testus, kurie padėtų nustatyti galimas spragas ir užtikrintų skaitmeninį atsparumą. Trečiųjų šalių rizikos valdymas apima išsamią kontrolę ir priežiūrą tų paslaugų teikėjų, kurie teikia kritines IRT paslaugas. Galiausiai, dalijimasis informacija, bendradarbiavimas ir duomenų mainai finansų sektoriui leidžia būti geriau pasiruošusiam kibernetinėms grėsmėms.
Atlikite skirtumų analizę
Kai organizacija jau aiškiai supranta DORA reikalavimus, laikas atlikti skirtumų analizę. Tai apima išsamų esamų procesų, procedūrų ir technologijų įvertinimą, siekiant nustatyti, kokie atotrūkiai egzistuoja tarp dabartinės situacijos ir DORA reikalavimų.
Skirtumų analizė yra kritinis momentas – ji leidžia įmonei suprasti, kur reikia atlikti patobulinimus ir kokie veiksmai yra būtini, norint pasiekti atitiktį. Pavyzdžiui, gali būti, kad organizacija jau turi stiprų kibernetinio saugumo valdymą, tačiau jai trūksta tinkamų atsparumo testavimo priemonių arba nėra pakankamai aiškiai apibrėžtų procedūrų, kaip pranešti apie incidentus reguliavimo institucijoms. Analizė padės nustatyti prioritetus ir sudaryti veiksmų planą.
Sukurkite išsamų veiksmų planą
Remiantis skirtumų analizės rezultatais, organizacija turi sukurti išsamų veiksmų planą, kuris nurodytų, kokie žingsniai turi būti atlikti, siekiant atitikti DORA reikalavimus. Šis planas turėtų apimti ne tik technologinius sprendimus, bet ir procesų bei procedūrų peržiūrą bei atnaujinimą.
Veiksmų plane turi būti aiškiai apibrėžti terminai, atsakomybės ir reikalingi ištekliai. Taip pat svarbu įtraukti tarpdisciplininę komandą, kuri dirbs su DORA įgyvendinimu. Tai gali apimti IT specialistus, teisininkus, rizikos valdymo ekspertus ir kitus svarbius asmenis, kurie užtikrins sklandų ir efektyvų perėjimą prie naujų reikalavimų.
Investuokite į technologijas
Technologijos yra pagrindinis DORA reikalavimų įgyvendinimo elementas. Norint užtikrinti skaitmeninį atsparumą, organizacija turi turėti pažangias grėsmių aptikimo ir stebėjimo sistemas, incidentų valdymo platformas ir atsparumo testavimo įrankius.
Reikia pažymėti, kad investicijos į technologijas gali būti didelės, tačiau jos yra būtinos norint pasiekti atitiktį ir apsaugoti organizaciją nuo kibernetinių grėsmių. Svarbu ne tik įdiegti šias technologijas, bet ir užtikrinti, kad jos būtų tinkamai integruotos su esamomis sistemomis ir kad darbuotojai būtų gerai apmokyti naudotis šiomis priemonėmis.
Apmokykite darbuotojus
Darbuotojų mokymai ir sąmoningumo didinimas yra būtini norint užtikrinti sėkmingą DORA įgyvendinimą. Kiekvienas darbuotojas, nepriklausomai nuo jo darbo pozicijos, turi suprasti savo vaidmenį užtikrinant skaitmeninį atsparumą ir gebėti veikti pagal naujus protokolus.
Mokymai turėtų apimti ne tik pagrindinius kibernetinio saugumo principus, bet ir specifinius DORA reikalavimus, susijusius su incidentų pranešimu, atsparumo testavimu ir trečiųjų šalių rizikos valdymu. Nuolatiniai mokymai ir pratybos padės užtikrinti, kad darbuotojai būtų pasirengę veikti greitai ir efektyviai bet kokio kibernetinio incidento atveju.
Nuolat atnaujinkite ir testuokite
DORA reikalavimai nėra vienkartiniai – jie reikalauja nuolatinės priežiūros, atnaujinimų ir testavimo. Organizacija turi reguliariai peržiūrėti savo procesus, atlikti atsparumo testus ir atnaujinti technologijas, kad jos atitiktų nuolat kintančią kibernetinių grėsmių aplinką.
Testavimas yra ypač svarbus, nes jis padeda nustatyti potencialias spragas ir silpnąsias vietas, kurias reikia spręsti. Reguliarios pratybos, įskaitant grėsmių pagrindu atliekamą įsilaužimo testavimą (TLPT), leis organizacijai geriau pasiruošti realioms grėsmėms ir užtikrinti, kad skaitmeninis atsparumas būtų aukščiausio lygio.
Užtikrinkite nuolatinę atitiktį
Galiausiai, organizacija turi užtikrinti, kad jos DORA atitiktis būtų nuolatinė. Tai reiškia, kad reikia nuolat stebėti reguliacinius pokyčius, atnaujinti politiką ir procedūras, bei užtikrinti, kad visi procesai būtų nuosekliai vykdomi.
Nuolatinė atitikties stebėsena padės išvengti galimų baudų ir kitų sankcijų, kurios gali būti taikomos už reglamento pažeidimus. Nepamirškime ir reputacijos – juk kiekvienai organizacijai svarbu, kad jos klientai ir partneriai neturėtų pagrindo pasitikėti jos skaitmeniniu atsparumu.
Paieška archyve
