通过数字运营韧性法案(DORA)提高业务连续性

教程

虽然数字化带来了许多好处,但它也增加了金融部门对信息通信技术(ICT)的依赖,导致更多的数字风险,如网络攻击、ICT中断、数据损坏和丢失。为了应对金融领域的安全威胁并提高运营韧性,欧盟批准了数字运营韧性法案(DORA)。

本文探讨了这项新欧盟法规如何帮助金融机构改进ICT风险管理,以打造更安全的金融生态。它还涵盖了NAKIVO如何帮助金融机构实现DORA合规。

数字运营韧性法案(DORA)是什么?

DORA的概述和目的

数字运营韧性法案(DORA)是欧盟法规2022/2554,于2022年11月由欧洲议会和欧盟理事会正式通过。第一个DORA草案于2020年提出,作为数字金融包(DFP)的一部分,该金融包阐述了欧盟关于加密资产、区块链和数字韧性金融科技的战略、建议和立法提议。

该法规旨在为欧盟金融机构及其第三方IT提供商建立一个标准的法律框架,以加强ICT系统的运营韧性和安全性。换句话说,DORA的主要目标之一是减轻金融领域的网络威胁、ICT漏洞和中断。

金融机构及其第三方信息技术和通信服务提供商应于2025年1月17日实施DORA框架和技术标准。

执行DORA的监管机构

尽管欧盟在2022年正式采用了DORA,但欧盟监管机构(ESAs)仍在制定该法案下的监管技术标准(RTS)。欧洲银行管理局(EBA)、欧洲保险和职业养老金管理局(EIOPA)和欧洲证券和市场管理局(ESMA)三个ESAs在2024年1月发布了第一个草案,并预计在今年年底前最终确定RTS。在ESAs向欧盟委员会提交最终RTS后,该标准将提交给议会和理事会批准。

RTS的执行和合规监督由各自的国家主管当局负责,这些当局尚未确定。一旦当局指定,并且2025年1月的最后期限已过,执法工作将开始。

DORA法案的关键要求

DORA法规为金融机构及其第三方提供者的网络和信息技术系统设定了安全要求。这些要求涵盖信息技术安全的四个主要方面:

  • 信息技术风险管理(第二章)。强调管理对信息技术中断的责任,并建立一个共同框架,用于检测、识别、管理和缓解信息技术威胁。
  • 信息技术事件管理、分类和报告(第三章)。标准化向当局报告信息技术事件的义务,并扩大报告的 incidents范围。
  • 数字运营韧性测试(第四章)。要求对关键信息通信技术(ICT)系统进行基于风险的韧性测试,至少每3年进行一次高级威胁引导的渗透测试(TLPT)。
  • ICT第三方风险管理(第五章)。要求金融机构为其第三方供应商制定风险监控规则,包括在合同中制定与风险相关的条款,并对不合规行为施加处罚。
  • 信息共享(第六章)。引入金融机构可以交换其网络安全威胁信息和情报的信息共享安排,以提高对新威胁的认识并分享威胁缓解策略。

谁必须遵守数字运营韧性法案?

受DORA覆盖的组织

DORA涵盖的金融机构和活动对金融行业基础设施至关重要的实体:

  • 信贷和支付机构
  • 电子货币机构
  • 加密资产服务提供商
  • 投资公司和另类投资基金管理人
  • 保险和再保险公司及中介
  • 交易场所和交易存档
  • 养老基金
  • 中央证券存托机构、中央对手方和证券化存档
  • 服务提供商,包括账户信息、数据报告、管理、众筹等服务
  • 信用评级机构
  • 关键基准的管理员
  • 包括云服务提供商在内的第三方信息技术和通信服务提供商

不遵守DORA的风险

DORA授权成员国决定对不遵守规定的行为施加行政罚款或补救措施。该法案还允许成员国根据国家刑法对某些违反行为施加刑事处罚。

因此,DORA设定了成员国可以使用的可能的最低措施,以确保有效实施DORA的指导方针,包括发布公开笔记,以及在某些情况下,要求停止任何非合规活动,可以是临时或永久性的。

DORA法规还授权欧洲监管机构协会(ESAs)指定对金融部门至关重要的信息技术和通信第三方服务提供商,并为每个关键提供商任命一名主导监管机构。主导监管机构拥有与主管当局相同的权力,并可以要求不合规的信息技术和服务提供商采取补救措施和处罚。DORA授权主导监管机构对不合规的ITC提供商处以高达1%的全球每日平均营业额的罚款。这个罚款可以每天征收,最长为6个月,或直到达到合规。

DORA如何影响金融机构和第三方提供商

尽管实际标准尚未最终确定,但DORA概述了关于金融部门如何标准化其信息技术管理实践和安全措施的一般要求和推荐。

如果您是第三方 ICT 提供商,如云服务供应商,您的第一步应该是根据第 31 条(第二部分)确定您是否被视为关键供应商。

DORA 要求金融机构衡量第三方供应商的风险,并在服务协议中规定事故管理。

DORA 要求的操作调整

DORA 强调了 ICT 中断的管理责任,并要求金融机构制定和维护一个全面的框架,以降低 ICT 风险。该框架应包括以下内容:

  • 明确管理层和相关人员的角色和责任
  • 定期进行 ICT 风险评估,以确定和监控整个 ICT 系统、流程和资产的风险
  • 持续监控 ICT 系统,以发现潜在威胁
  • 结构化的详细程序,用于预防、管理和应对 ICT 事故、
  • 根据事件分析不断更新和加强做法和措施
  • 针对客户和其他利益相关者(外部和内部)的事件沟通协议,以确保在信息和通信技术中断期间的透明度和信任度
  • 明确的向监管机构和相关实体报告事件的协议,基于事件严重性

加强风险管理实践

随着持续的ICT风险监控,DORA执行定期对系统和资产进行ICT风险暴露测试。金融机构负责与第三方ICT服务提供商相关的风险,并处理不合规的提供商。具体来说,DORA要求金融机构在其与合作伙伴签订的合同中包括管理ICT风险的条款。

该法案强调预防策略的重要性,包括测试现有的弹性和安全措施以识别系统和协议漏洞,以及事后的分析和报告。DORA还鼓励金融行业范围内的学习和活动安排,金融机构可以分享他们的经验和知识。

提高网络安全和数据保护标准

DORA认识到网络安全和数据保护是影响一个组织运营弹性的主要因素,并要求金融机构:

  • 实施如访问控制和加密的安全措施
  • 制定业务连续性和灾难恢复计划
  • 使用持续ICT威胁监控和实时恶意软件检测工具
  • 确保及时进行软件和硬件更新以减轻漏洞
  • 定期进行包括渗透测试和基于场景的测试在内的漏洞评估

    对于关键环境和高风险区域,实体预计应定期进行如红队测试等高级测试,甚至可能被要求参加行业范围的测试演练。

  • 在事件发生时,迅速向利益相关者和当局报告事件,以提高事件期间的透明度,并使其他组织能够从事件中学习

数字运营韧性法案专家意见

网络安全专业人士的洞察

“DORA要求金融机构制定适当的数据安全政策,并基于风险的方法建立健壮的网络。DORA规定的做法对行业来说是新的吗?不是,它们已经存在了几十年。然而,尽管勒索软件等网络攻击的风险不断增长,但一些组织尚未实施或仅部分实施了最基本的安全措施,”NAKIVO副总裁Serguei Serdyuk说。

对DORA未来发展的预测

“DORA 为金融行业的网络安全奠定了基础。希望随着时间的推移,这一规定将扩展到其他部门。随着全球数字化和人工智能的进步,更多的行业和组织面临着网络安全风险。在许多情况下,这意味着一个组织的个体损失,无论是财务上还是声誉上,而是由于组织之间的相互依赖性增加,行业和跨行业的中断风险也随之增加。” —Sergei Serdyuk,NAKIVO 副总裁。

使用 NAKIVO 确保 DORA 合规的步骤

DORA 特别关注备份和复制程序(第 11-12 篇文章),因为它们直接影响公司的服务可用性、连续性和数据安全。DORA 强制实体确保数据传输安全,并最小化数据损坏和丢失的风险,以及数据管理不善和人为错误。

NAKIVO 备份与复制是一个全面的数据保护解决方案,可让您备份、复制、配置和自动化灾难恢复工作流程,并从单一的基于 Web 的界面监控工作负载。

该解决方案支持虚拟、云、物理、NAS、SaaS 和混合环境,使其能够帮助不同规模的金融机构确保一流的数据保护。该解决方案与各种存储类型无缝工作,包括去重设备、NAS 设备、公共云、与 S3 兼容的云平台以及磁带,以确保满足不同业务和合规需求所需的灵活性。

进行初步合规性评估

执行差距分析,以确定需要改进以遵守DORA法规的区域。重点关注我们上面提到的4个关键领域:

  • ICT风险管理
  • ICT事件管理、分类和报告
  • 数字运营韧性测试
  • ICT第三方风险管理

制定DORA合规策略

在制定DORA合规策略时,应该有一个年度路线图,其中包括定义的步骤、目标和优先级。该策略将根据组织的IT基础设施复杂性和其对数字威胁的当前韧性水平而有所不同。

DORA要求财务组织具备适当的业务连续性计划、ICT响应和恢复计划,并开展业务影响评估(BIA),以评估其面临严重中断的风险。

DORA还要求组织至少拥有一个远程二级站点(灾备站点),以确保在主站点下线时关键业务运营的连续性。为了最小化停机时间并限制干扰或损失,组织应制定包括以下内容的灾备计划

  • 基于软件和硬件组件以及存储数据的重要性,制定备份和灾备范围;
  • IT组件之间的依赖关系和虚拟机恢复顺序;
  • 恢复目标(恢复时间和恢复点)取决于每个功能的的重要性和对业务运营的整体影响(这也意味着您需要根据数据更新的频率及其重要性制定恢复点轮换方案);
  • 指定的人员角色和职责;
  • 建立次要灾难恢复站点硬件要求,以确保足够的CPU、内存、磁盘容量和网络带宽以便顺利过渡。

使用NAKIVO导航DORA合规性

NAKIVO解决方案的高级功能可以帮助您最小化DORA合规性工作并自动化大多数与网络安全相关的流程。为了帮助您更好地处理所有用例,我们在此说明您如何使用NAKIVO解决方案来满足特定的DORA安全要求:

  • 数据弹性(第9条)。NAKIVO解决方案可以轻松帮助您满足3-2-1备份规则以提高数据弹性。根据该规则,您需要在3个不同的位置存储至少3份备份数据副本;其中2份应位于异地,1份在云端。
  • 数据完整性(第12条)。通过应用感知备份和副本,即使在不关闭应用程序的情况下执行备份,您也可以放心应用程序数据是一致的。该解决方案还支持对Oracle数据库、Microsoft应用程序(如活动目录和Exchange服务器)以及Microsoft 365应用程序和服务(团队、Exchange Online、SharePoint Online、OneDrive for Business)的备份。
  • 抵御勒索软件和其他网络威胁(第9条)。NAKIVO的解决方案允许您创建本地、云端或HYDRAstor设备上的不可变备份,以确保没有人能够更改或删除您的数据。您还可以利用空气隔离,通过将备份副本发送到磁带或其他可移动存储设备,在这些设备上,网络犯罪分子无法通过网络访问数据。该解决方案还允许您在恢复之前扫描备份以检测恶意软件,这样您就可以放心备份数据没有感染。
  • 端到端加密(第9条)。使用NAKIVO的解决方案,您可以在数据离开源机器之前加密备份数据,并加密网络和备份存储库,以确保您的数据在传输和静止状态下都得到保护。
  • 防止未授权访问和强认证机制(第9条)。您可以使用基于角色的访问控制和多因素认证来保护所有备份和数据保护工作流程。
  • 实时威胁监控(第十条)。确保实时检测异常的最佳方法是使用全面的防恶意软件。然而,NAKIVO的解决方案具有可以帮助您增强威胁监控的功能。例如,使用针对VMware的IT监控功能,您可以在问题变得更大之前检测到问题和可疑活动。该功能允许实时监控所有性能指标,包括CPU、RAM和磁盘使用情况,因此您可以迅速注意到任何不寻常的消耗。
  • 应对ICT风险的操作弹性以及在中断情况下的最小停机时间(第十一条至十二条)。NAKIVO的高级站点恢复功能允许您自动化并测试站点恢复工作流程。您可以配置自动序列,并在灾难发生时单击触发,以立即切换到位于次要站点的副本。
  • 定期测试DR工作流程和协议(第十二条)。为确保在灾难期间恢复顺利并达到目标,您可以在不干扰您生产活动的测试模式下安排定期测试故障转移和故障恢复工作流程。测试使您能够检查操作顺序并验证网络连接。

总结

数字运营弹性法案是向更具韧性的金融部门和安全的金融运营迈出的战略飞跃。通过执行最佳网络安全实践的实施并鼓励学习和提高认识,该法案帮助金融机构应对当前威胁和未来挑战,并为其他行业树立了基准。

让NAKIVO成为您走向更具韧性的ICT系统的旅程的一部分。

Source:
https://www.nakivo.com/blog/digital-operational-resilience-act/