ای جی تامپسون، مدیر ارشد اجرایی شرکت فناوری اطلاعات، میگوید بخش مالی باید با مقررات قانون مقاومت عملیاتی دیجیتال (DORA) سرعت بگیرد یا اتهامات جنایی احتمالی را در معرض خطر قرار دهد. Northdoor plc.
قانون مقاومت عملیاتی دیجیتال جدیدترین مقرراتی است که برای اطمینان از اینکه کسب و کارها در بخش مالی به اندازه کافی انعطاف پذیر هستند تا در برابر حملات سایبری مقاومت کنند، معرفی شده است. اگرچه مقرراتی در سراسر اتحادیه اروپا وجود دارد، اما همچنان برای مشاغل بریتانیایی مرتبط است و احتمالاً در آینده نزدیک به قانون بریتانیا وارد خواهد شد.
DORA مجموعه بسیار خاصی از معیارها و دستورالعمل ها را ارائه می دهد که نحوه مدیریت ریسک های ICT و سایبری توسط سازمان های بخش مالی را شکل می دهد. بخش مالی به ویژه در معرض تهدید فزاینده ای از سوی مجرمان سایبری قرار دارد. ماهیت داده های نگهداری شده توسط مشاغل در این بخش به این معنی است که این یک هدف فوق العاده وسوسه انگیز است و هر گونه از دست دادن داده می تواند برای سازمان ها و مشتریان آنها بسیار مضر باشد.
نظارت بر این آیین نامه نیز احتمالاً سختگیرانه تر از سایر مقرراتی است که در گذشته ارائه شده است. تاکید زیادی بر گزارش، ارتباطات و ارزیابیهایی است که در فواصل زمانی منظم انجام میشوند. این یک تمرین یکبار مصرف نیست، بلکه یک فرآیند مداوم است.
پنج ستون DORA
DORA دارای پنج رکن اصلی است که شرکت ها باید از آنها آگاه باشند.
• مدیریت ریسک ICT
• گزارش رویداد مربوط به ICT
• تست تاب آوری عملیاتی دیجیتال
• ریسک شخص ثالث ICT. و
• به اشتراک گذاری اطلاعات.
در حالی که همه این عناصر باید در فهرست اولویتهای هر سازمان بخش مالی قرار داشته باشند، این مقررات به گونهای طراحی شده است که اطمینان حاصل شود که شرکتها دائماً هر یک از آنها را بررسی میکنند و اثربخشی آنها را گزارش میدهند. در حالی که مدیریت ریسک، گزارش رویداد و تست انعطافپذیری همگی عناصر مهمی برای همه سازمانها هستند، اما دو رکن برجسته، اذعان به تهدید از جانب اشخاص ثالث است. ما دیدهایم که مجرمان سایبری زنجیرههای تأمین را هدف قرار میدهند تا سازمانها را از طریق «در پشتی» هدف قرار دهند و ارتباط شرکتهای فناوری اطلاعات و ارتباطات با مشتریان خود به این معنی است که سیستمهای کلیدی به هم متصل هستند.
عنصر اشتراک اطلاعات نیز جالب است. به اشتراک گذاری تجربه و اطلاعات در مورد تهدیدات سایبری اهمیت فزاینده ای دارد. مجرمان سایبری به طور مداوم در حال تغییر و افزایش سطح پیچیدگی حملات خود هستند. بنابراین، سازمانهایی که در همان بخش هستند، به اشتراک گذاری امن اطلاعات در مورد این که این رویکردها چگونه به نظر میرسند، تنها میتواند برای دور نگه داشتن مجرم مفید باشد.
DORA در سال 2025 قابل اجرا است، اما شرکت ها باید هم اکنون اقدام کنند
DORA در ابتدای سال 2023 به اجرا درآمد و طی چند ماه آینده استانداردهای نظارتی و فنی توسط مقامات نظارتی اروپا (ESA) که هشدارها و توصیههایی را برای کاهش ریسک در بخش مالی در سراسر اروپا تهیه میکند و وابسته به بانک مرکزی اروپا
تا سال آینده ESA ها استانداردها را اجرا خواهند کرد و تا ابتدای سال 2025 الزامات DORA با همه شرکت های مالی که انتظار می رود تا ژانویه 2025 با مقررات مطابقت داشته باشند قابل اجرا خواهد بود. اگرچه به نظر می رسد این راه دور است، شرکت ها باید شروع به کار کنند. اکنون به منظور اطمینان از اینکه آنها جلوتر از بازی هستند. این در نهایت در مورد اطمینان از انعطاف پذیری در مواجهه با یک تهدید پیچیده است و بنابراین فقط می تواند برای بخش مالی چیز خوبی باشد تا اطمینان حاصل شود که فرآیندهای صحیح زودتر از دیرتر انجام می شود.
در حالی که به نظر می رسد اجرای این مقررات پیشگیرانه خواهد بود، اما هنوز در مورد مجازات های عدم انطباق آن تردید وجود دارد، نحوه ارائه این مقررات به برخی از پیامدهای نسبتا سنگین اشاره دارد. پیشنهاد شده است که جریمه ای در حدود یک روز معامله صادر شود. همچنین برخلاف برخی مقررات دیگر، یک عنصر جنایی وجود دارد که احتمالاً علیه شرکت ها و افرادی که به این مقررات پایبند هستند، اتهاماتی وارد می شود.
این البته آن را به سطوح جدیدی می برد و باید به عنوان یک هشدار واقعی برای بخش مالی عمل کند تا خانه خود را مرتب کند یا با جدی ترین عواقب روبرو شود.
چگونه بخش مالی برای DORA آماده می شود؟
بسته به اندازه و خطر درک شده جرایم سایبری برای سازمان، شرکت های مالی بین یک سال تا دو سال فرصت دارند تا از پایبندی به DORA اطمینان حاصل کنند. اگرچه شرکتها باید بسیاری از عناصر موجود را داشته باشند، اما دامنه، منظم بودن بررسی و نتایج بالقوه عدم پایبندی، این کار را برای بسیاری دشوار میسازد، بهویژه برای کسانی که تاکنون از مقررات قریبالوقوع بیاطلاع بودهاند.
به منظور اطمینان از پایبندی و مهمتر از آن پیروی مداوم از مقررات، برخی متخصصان مشاوره فناوری اطلاعات و امنیت سایبری هستند. این نه تنها فشار را از روی تیمهای داخلی کم میکند، بلکه با شرکای قادر به ارائه تیمهای متخصص به این معنی است که میتوان اطمینان داشت که پایبندی قابل دستیابی است.
همچنین مهم است که به یاد داشته باشید که هدف DORA این است که اطمینان حاصل شود که موسسات مالی قادر به مقاومت در برابر حمله سایبری یا حادثه IT هستند. در نتیجه، قرار دادن سیاستها و استراتژیهایی که پایبندی را تضمین میکنند، تضمین میکند که شرکتها بهتر از حملات محافظت میشوند و به اندازه کافی انعطافپذیر هستند تا بتوانند تجارت خود را ادامه دهند، حتی اگر یک مجرم سایبری وارد آن شود.
یک مشاور فناوری اطلاعات میتواند چشمانداز دائمی تهدید و همچنین هرگونه آسیبپذیری در سیستمها را که به دور نگه داشتن مجرمان سایبری کمک میکند، اطمینان از پایبندی به DORA و به بخش مالی کمک میکند تا از خود در برابر یک تهدید پیچیدهتر محافظت کند، مراقبت کند.
منبع: https://professionalsecurity.co.uk/news/interviews/dora-wont-wait/