DORA – The new EU regulation

DIGITAL OPERATIONAL RESILIENCE ACT (DORA)

Το νεο κανονιστικο πλαισιο και η συμμορφωση μεσω της BitSight

Η αντιμετώπιση του κυβερνορίσκου από τους οικονομικούς οργανισμούς και το νέο πλαίσιο

Σοφία Μιχαηλίδου – Σύμβουλος Τεχνολογίας

Τα τελευταία χρόνια, ο τρόπος αντιμετώπισης των κινδύνων που σχετίζονται με τις Τεχνολογίες της Πληροφορικής και των Επικοινωνιών (ICT risks) έχει αναπτυχθεί αδόμητα από τους οργανισμούς στο χρηματοοικονομικό τομέα με αποτέλεσμα να έχουν δημιουργηθεί ποικίλα κανονιστικά πλαίσια. Την ίδια στιγμή, ο αριθμός των κυβερνοκινδύνων, ειδικά σε αυτόν τον τομέα έχει αυξηθεί ραγδαία. Είναι λοιπόν επιτακτική η ανάγκη να δημιουργηθεί μία ενιαία νομοθετική πράξη από την Ευρωπαϊκή Ένωση, η οποία θα επιφέρει τον εναρμονισμό των χωρών, θα μειώσει την πολυπλοκότητα και θα ενισχύσει την επιχειρησιακή ανθεκτικότητα.
Το σχετικό πλαίσιο που άρχισε να αναπτύσσει η ΕΕ για την ψηφιακή επιχειρησιακή ανθεκτικότητα «DORA» (Digital Operational Resilience Act) δημοσιοποιήθηκε αρχικά το Σεπτέμβριο του 2020 ως μέρος της ψηφιακής οικονομικής στρατηγικής από την ΕΕ. Έχει ως στόχο να δείξει το δρόμο για την ωρίμανση της ανθεκτικότητας των οικονομικών οργανισμών στον τομέα της κυβερνοασφάλειας, της τεχνολογίας και της λειτουργίας τους ενοποιώντας και βελτιώνοντας υπάρχουσες οδηγίες και πρωτοβουλίες όπως το NIS Directive.

Σε ποιους τύπους οργανισμών απευθύνεται
To κανονιστικό πλαίσιο DORA εστιάζει σε 20 τύπους οργανισμών στον τομέα της οικονομίας που εποπτεύονται από την ΕΕ, όπως τράπεζες, προμηθευτές οικονομικών υπηρεσιών (π.χ. συστήματα πληρωμών), επενδυτικές εταιρείες και εταιρείες που προσφέρουν μεταξύ άλλων υπηρεσίες ασφάλισης, εναλλακτικών επενδύσεων, συμπληρωματικών επαγγελματικών συνταξιοδοτικών προγραμμάτων, αξιολόγησης πιστοληπτικής ικανότητας, ορκωτούς ελέγχους και συμμετοχικής χρηματοδότησης (crowdfunding). Το πλαίσιο αυτό αφορά και τους παρόχους υπηρεσιών τεχνολογίας και επικοινωνιών, καθώς οι οικονομικοί οργανισμοί εξαρτώνται πλέον ολοένα και περισσότερο από αυτούς, με αποτέλεσμα το ρίσκο που εισάγεται στην εφοδιαστική τους αλυσίδα να είναι μεγάλο.

Εκτιμάται ότι το νέο πλαίσιο θα έχει διαμορφωθεί κατά το μεγαλύτερο μέρους του μέχρι το τέλος του έτους, δίνοντας ένα περιθώριο 12-18 μηνών για την αρχική συμμόρφωση και ακόμα ενάμιση χρόνο για τη συμμόρφωση με τα συμπληρωματικά πρότυπα που αναμένεται να αναπτυχθούν και να ανακοινωθούν.

Οι απαιτήσεις του DORA και η συμμόρφωση μέσω της BitSight

Το κανονιστικό πλαίσιο DORA εισάγει απαιτήσεις σε 5 βασικούς πυλώνες στους οποίους η BitSight, η οποία αξιολογεί το επίπεδο κυβερνοασφάλειας των οργανισμών και του οικοσυστήματός τους τα τελευταία 10 χρόνια, μπορεί να βοηθήσει σημαντικά ως προς τη συμμόρφωση:

 

1. Διαχείριση κινδύνων ICT (ICT Risk Management): Το νέο πλαίσιο εισάγει την ανάγκη συμμόρφωσης των οργανισμών με τις αρχές διαχείρισης ICT κινδύνων, όπως η αναγνώριση, η προστασία και αποτροπή, ο εντοπισμός, η ανταπόκριση και η επικοινωνία των κινδύνων με τους άμεσα εμπλεκόμενους (διοίκηση, τεχνικές ομάδες, τρίτοι οργανισμοί). Η BitSight συμβάλλει παρέχοντας βαθμολογίες ασφαλείας για τη μέτρηση τόσο του ρίσκου του ίδιου του οργανισμού όσο και των προμηθευτών που ανήκουν στον τομέα της τεχνολογίας και των επικοινωνιών. Ακόμα, για την εξαγωγή της βαθμολογίας αξιολογεί 23 παράγοντες κινδύνου (Risk Vectors) τους οποίους αντιστοιχίζει με κανονιστικά πλαίσια.

2. Αναφορά περιστατικών ICT (ICT Incident Reporting): Η διαβάθμιση των περιστατικών ασφαλείας πρέπει να γίνεται με ένα σταθερό τρόπο, να υπάρχει υποχρεωτικά αναφορά των κρίσιμων περιστατικών αλλά και να γίνεται χρήση ανώνυμων αναφορών, κοινών για όλη την ΕΕ. Η BitSight συμβάλλει στη διαδικασία αξιολόγησης των περιστατικών παρέχοντας πληροφορίες για κριτήρια όπως ο αριθμός των χρηστών που επηρεάζονται, η διασπορά, η απώλεια των δεδομένων και το αντίκτυπο στα πληροφοριακά συστήματα και τις υπη ρεσίες του οργανισμού. Προσφέρει ακόμα τη δυνατότητα ορισμού ειδοποιήσεων βάσει ποικιλίας κριτηρίων, καθώς και αναφορές και κατηγοριοποίηση των περιστατικών παραβίασης δεδομένων και εντοπισμό του ρίσκου βάσει διαφόρων κριτηρίων.

3. Δοκιμές ψηφιακής λειτουργικής ανθεκτικότητας (Digital Operational Resilience Testing): Με το DORA προκύπτει επιπλέον η ανάγκη δημιουργίας ενός προγράμματος δοκιμών ανθεκτικότητας σε τεχνικό επίπεδο αλλά και δοκιμών σε πραγματικό χρόνο από ανεξάρτητους αξιολογητές κάθε 3 χρόνια. Η BitSight συμβάλλει στη διατήρηση του χαμηλού ρίσκου στον ίδιο αλλά και σε όλο το οικοσύστημα του οργανισμού εντοπίζοντας κακόβουλο λογισμικό, botnets και μολυσμένα συστήματα και παρακολουθώντας συνεχώς και αξιολογώντας την εξωτερική περίμετρο του οργανισμού βάσει 23 παραγόντων ρίσκου. Η βαθμολογία που προκύπτει για κάθε οργανισμό συνδέεται άμεσα με την πιθανότητα ενός συμβάντος παραβίασης, ποσοτικοποιώντας έτσι το ρίσκο. Επίσης δίνεται η δυνατότητα αναγνώρισης του ρίσκου που μπορεί να προκύψει από το εκτεταμένο οικοσύστημα του οργανισμού
(forth parties) αλλά και κατηγοριοποίησης των προμηθευτών ανάλογα με το επίπεδο κυβερνοασφάλειάς τους αλλά και την κρισιμότητα της συνεργασίας.

4. Κοινή χρήση πληροφοριών (Information and Intelligence Sharing): Η νέα απαίτηση για δομημένο διαμοιρασμό πληροφοριών που αφορούν κυβερνοαπειλές και ευπάθειες καλύπτεται από τη BitSight καθώς μέσα από την πλατφόρμα μπορούν οι οργανισμοί να μοιράζονται πληροφορίες με τους κρίσιμους συνεργάτες τους και να θέτουν τις βάσεις για συζητήσεις και διαχείριση του κινδύνου των προμηθευτών με πιο άμεσο και διαφανή τρόπο.

5. Διαχείριση ICT κινδύνων τρίτων μερών (ICT Third-Party Risk Management): Η συστηματική διαχείριση του κινδύνου που προέρχεται από το ευρύτερο οικοσύστημα του οργανισμούγίνεται ευκολότερη με τη BitSight χάρη στη δυνατότητα συνεχούς παρακολούθησης του επιπέδου κυβερνοασφάλειάς τους, ορισμού ειδοποιήσεων και κατηγοριοποιήσεων βάσει κρισιμότητας, γρηγορότερης και αντικειμενικότερης διαδικασίας αξιολόγησης υποψήφιων και υπαρχόντων προμηθευτών και αντιστοίχισης των παραγόντων ρίσκου με διάφορα κανονιστικά πλαίσια.

Συνοψίζοντας, για τη συμμόρφωση με τα νέα σύνθετα κανονιστικά πλαίσια χρειάζεται συνεχής ορατότητα στο ψηφιακό αποτύπωμα του οργανισμού και στο οικοσύστημά του. Επίσης, είναι επιτακτική η άμεση αναγνώριση του ρίσκου και της αποτελεσματικότητας των μηχανισμών ασφαλείας των οργανισμών, με τρόπο που να καθιστά εφικτή τη συστηματική παρακολούθηση και βελτίωση του επιπέδου κυβερνοασφάλειας τους σε βάθος χρόνου. Η SysteCom είναι συνεργάτης της BitSight σε Ελλάδα και Κύπρο τα τελευταία 4 χρόνια. Διαθέτει την απαραίτητη εξειδίκευση και τεχνογνωσία για να βοηθήσει συμβουλευτικά τους πελάτες της να εκμεταλλευτούν στο έπακρο τις δυνατότητες της συγκεκριμένης πλατφόρμας διευκολύνοντας ταυτόχρονα και τη συμμόρφωσή τους με το νέο πλαίσιο.