Co je nařízení DORA a koho se týká?
DORA, spolu s NIS2 a CER, je součástí snahy EU o lepší zabezpečení a vyšší provozní odolnost kritické infrastruktury v Evropě. Nařízení DORA se zaměřuje hlavně na finanční instituce a subjekty. Proto by měly být ve střehu všechny organizace jako:
- banky
- investiční firmy
- platební instituce
- ratingové agentury
- zprostředkovatelé pojištění
- obchodníci s kryptoměnami.
Pozn. Nařízení DORA narozdíl od směrnice NIS2 není omezena velikostí firmy ani počtem zaměstnanců a vztahuje se tak na všechny finanční instituce působící v EU.
Co hrozí, když nesplníte?
Nedodržování požadavků DORA může vést k pokutám, ztrátě dobré pověsti, která je ve finančním sektoru klíčová, a při opakovaném porušení i k odebrání licence, což může být pro některé instituce likvidační. Sankce se liší podle situace, ale mohou dosáhnout až 10 milionů eur nebo 5 % ročního obratu organizace. Proto je dodržování nařízení DORA pro finanční instituce zásadní strategickou prioritou, nikoli volbou.
Kde začít a jak?
Organizace spadající pod nařízení DORA musejí implementovat a prokázat patřičné změny v klíčových oblastech řízení kyberbezpečnosti. Co to však v praxi konkrétně znamená, shrnujeme v následujících bodech:
Sestavte odpovídající systém pro řízení, analýzu a hodnocení rizik
- Vytvořte vlastní registr rizik podle stanovených požadavků směrnice.
- V případě konkrétního typu výpadku či útoku mějte definovanou jeho závažnost, dopad i osobu, která situaci řeší.
Implementujte jednotný systém pro hlášení, řešení a evidenci incidentů
- Obeznamte všechny zaměstnance se způsobem hlášení bezpečnostních incidentů – nejlépe jedním standardním způsobem.
-
V případě, že má vzniklý problém přímý dopad na zákazníky, stanovte postup pro bezprostřední komunikaci vzniklé situace.
-
Zajistěte, aby hlášené incidenty i žádosti týkající se změn v bezpečnosti měly auditní stopu a bylo možné je jednoduše zpětně dohledat.
Zajistěte pravidelná školení pracovníků v oblasti bezpečnosti informací
- Pravidelně organizujte školení pro zaměstnance o bezpečném způsobu práce – práci s citlivými daty, hlášení incidentů či podezřelých aktivit atd. .
Zabezpečte odpovídajícím způsobem ICT infrastrukturu
- Zajistěte pravidelné testování provozní odolnosti systémů a aplikací alespoň jednou ročně a provádění penetračních testů alespoň jednou za tři roky.
- Zabezpečte firemní sítě proti vnějším útokům (např. pomocí firewallu).
- Nezapomínejte ani na fyzické zabezpečení infrastruktury (například k firemním serverům má přístup pouze několik vybraných lidí).
- Mějte přehled o používaném softwaru a jeho aktualizacích.
- Zajistěte konzistentní monitoring, který je klíčový pro vyhodnocování hrozeb ve formě útoků, virů, malware, nepovolených přístupů do sítě a dalších kybernetických rizik.
Spolupracujte pouze s osvědčenými dodavateli IT služeb
- Dobře znejte své dodavatele, jejich služby a rozsah poskytování. Nové nařízení "motivuje” finanční instituce formou sankcí k výběru osvědčených dodavatelů pro klíčové ICT komponenty.
- Mějte přehled o tom, jaká data máte uložená u svých dodavatelů a jak jsou chráněná.
- S dodavateli ICT služeb mějte jasně nastavené smlouvy, které splňují všechny patřičné náležitosti. To znamená přesný a srozumitelný popis všech dodávaných služeb, podmínky ukončení smlouvy nebo jejich povinnost poskytnout pomoc, dojde-li k incidentu v oblasti ICT.
Nastavte vhodné procesy pro řízení bezpečnosti a přístupu k informacím
- Mějte jasně definovanou přístupovou politiku k citlivým datům organizace i zákazníků.
- Přístupy do firemních systémů i aplikací dávejte v přesně definovaném rozsahu.
- Zajistěte, že při nástupu / odchodu zaměstnance jsou přístupy správně přidělovány i odebírány.
- V případě změny pracovní pozice či místa práce zaměstnance měňte přístupy vždy podle aktuálních potřeb.
- Změny v přístupech evidujte, aby bylo možné zpětně dohledat, kdo jaký přístup kdy dostal a proč.
Zajistěte bezpečnost a ochranu citlivých dat a informací
- Nastavte systém pro ochranu dat, jako je zálohování, šifrování nebo jiná opatření zamezující úniku dat i jejich zneužití.
- Evidujte, kdo a proč má přístup ke konkrétním informacím, případně na jak dlouho, přesně podle vámi stanovené politiky vnitřní bezpečnosti.
Vytvořte krizový plán pro zachování kontinuity provozu v případě útoku či havárie
- Definujte pracovní postup pro zachování provozu v případě výpadku systému včetně jasně nastavených pravidel
- Stanovte, kde jsou zálohována klíčová data nutná pro případnou obnovu.
- Vytvořte jasně definovaný postup pro hlášení vzniklých incidentů dohledovým orgánům.
- Zpracujte krizový plán jak v digitální, tak v papírové podobě, aby byl spolehlivě dostupný i v případě zašifrování dát či výpadku sítě.
Aktualizujte směrnici informační bezpečnosti
- Zajistěte, aby vaše organizace měla základní vnitřní směrnice bezpečnosti – například bezpečnostní politiku, politiku hesel, pravidla přidělování oprávnění apod.
- Mějte vypracovanou podrobnou dokumentaci dokazující shodu s podmínkami bezpečnosti podle nařízení DORA.
ALVAO vám pomůže splnit požadavky DORA
Implementace bezpečnostních procesů podle nařízení DORA může být pro organizace náročné i velmi nákladné. Dobrou zprávou je, že s velkou částí výše zmíněné bezpečnostní agendy vám můžeme pomoci. Většinu oblastí pokryjete z jednoho místa díky ALVAO, tedy prostřednictvím jednoho systému.
Jednotné kontaktní místo pro hlášení, řešení a evidenci incidentů
Konsolidace hlášených incidentů je důležitým požadavkem DORA. ALVAO Service Desk slouží jako jednotné kontaktní místo pro všechny zaměstnance a umožňuje jim hlásit vzniklé incidenty rychle a standardním způsobem.
Automatizace procesů
Velká část nové bezpečnostní agendy DORA je postavena na procesech. ALVAO vám pomůže většinu práce částečně nebo plně automatizovat - ať už se jedná o hlášení incidentů, řešení výpadku či školení zaměstnanců.
Bezpečnost přístupu k informacím
Zabezpečení citlivých dat je z pohledu DORA klíčové. ALVAO usnadňuje správu přístupových oprávnění napříč službami, objekty a dokumenty podle vaší bezpečnostní politiky. V případě žádosti o přístup je nastaven proces, který má jasné pořadí kroků, v případě schválení je pak možné přístup automaticky udělit (např. přes integrace s Power Automate).
Stejným způsobem lze nastavit i bezpečnostní politiku při nástupu a odchodu zaměstnanců, kdy se často zapomíná na včasné přidělení nebo odebrání přístupů, což je v přímém rozporu s novým nařízením.
Pravidelná školení podle aktuálních potřeb
Na základě dat z ALVAO vždy víte, jaké jsou nejčastější bezpečnostní incidenty a rizika, s kterými se vaši zaměstnanci setkávají. To vám pomůže lépe plánovat odpovídající školení a předcházet bezpečnostním rizikům a incidentům. Samotnou organizaci pravidelných školení navíc můžete jednoduše automatizovat v ALVAO.
Systémová integrovatelnost
ALVAO se standardně integruje do většiny běžně používaných aplikací Microsoft 365. Díky tomu mohou zaměstnanci svoje požadavky/tickety zadávat do ServiceDesku přímo z aplikací Teams nebo Outlook. Systémová integrace na monitorovací systémy (např. Zabbix) pak zajišťuje maximální přehlednost pro IT, a to jak z pohledu analýzy výkonu prvků infrastruktury, tak z pohledu bezpečnostních a podezřelých aktivit ve firemní síti (např. připojení neznámého zařízení do sítě).
Správa IT majetku
Dobrý přehled o IT majetku je klíčový pro kybernetickou bezpečnost celé organizace. ALVAO Asset Management vám jeho evidenci zjednoduší a zefektivní. Automatická detekce vám vytvoří ucelený obrázek veškerého vybavení (počítače, monitory, servery, kopírky, switche, apod) včetně technických parametrů. Jednoduše tak získáte přehled o zastaralém hardwaru, nelicencovaném či škodlivém softwaru či nevyužitých zařízeních.
Snadná auditovatelnost
Ať už jde o incident či kompletní historii konkrétního zařízení, ALVAO poskytuje kompletní auditní stopu. Snadná auditovatelnost je přitom základním předpokladem shody s podmínkami nařízení DORA.
Plánování bezpečnostních testů
Ať už plánujete běžný bezpečnostní test nebo komplexní penetrační test, ALVAO vám pomůže s organizací a rozdělením úkolů. Výsledky testování jsou snadno dohledatelné v ticketu.
Řízení bezpečnostních změn
Při nalezení slabých míst v ICT infrastruktuře můžete v konfigurační databázi (CMDB) zobrazit vazby mezi konfiguračními položkami (CI) a zjistit, které další konfigurační položky je nutné zabezpečit stejným způsobem.
Řízení a hodnocení rizik
Registr rizik je klíčový pro efektivní risk management. ALVAO pomáhá nastavit různé stupně rizika a definovat odpovídající kroky. Můžete si určit závažnost výpadku, pravděpodobnost a zodpovědné osoby, což minimalizuje dopady při útoku nebo výpadku.
Sestavte krizový plán pro zajištění kontinuity provozu v ALVAO
Zachování provozu v případě útoku či havárie je jedním z nejdůležitějších požadavků nového nařízení. Sestavte krizový plán a proces následně implementujte do ALVAO, aby se v případě incidentu jednotlivé kroky plně automatizovaly.
Například v případě výpadku serveru či služby je automaticky založen incident na konkrétního řešitele pro okamžité odstranění následku (quick fix) a zároveň může být vytvořena automatická zpráva o horší dostupnosti služby pro koncové uživatele. Požadavek je následně vytvořen i na správce infrastruktury, aby provedl hloubkovou analýzu problému (problem management) a jeho odstranění (change management).
ALVAO mu poskytne všechny důležité informace, včetně provozní historie, konfigurace, vazeb i předchozích incidentů.
Transparentní řízení vztahů s dodavateli IT služeb
ALVAO vám pomůže s evidencí IT služeb, dodavatelů, smluv a termínů. Jednoduše si můžete nastavit například upomínku na končící záruku, končící kontrakt či obnovu licence. Komunikovat s dodavateli můžete přímo z ALVAO, takže máte k dispozici kompletní historii komunikace a můžete vyhodnotit spolehlivost jednotlivých dodavatelů a nastavit efektivní a bezpečnou spolupráci podle požadavků DORA.
Jsme dlouholetým partnerem pro finanční instituce v České republice a na Slovensku
Závěrem
Pokud ještě vyčkáváte nebo se už připravujete na implementaci změn spojených s DORA a hledáte efektivní řešení, které vám pomůže splnit požadavky nařízení, neváhejte se obrátit na naše specialisty pro nezávaznou konzultaci. Rádi vám na vašem konkrétním případě vysvětlíme, jak vám ALVAO může pomoci s implementací nových procesů a změn vyplývajících z DORA. S přípravou však neotálejte.