Evropské nařízení DORA donutí firmy udělat si pořádek v IT i byznysových procesech

22. 6. 2023. (redaktor: František Doupal, zdroj: Anect)
České firmy budou muset v příštích letech investovat velké úsilí a často i hodně finančních prostředků do posílení své odolnosti proti hackerům a dalším kybernetickým rizikům. Investice se nevyhnou především několika tisícům společností, které budou spadat do působnosti nového zákona o kybernetické bezpečnosti či pod evropské nařízení DORA.

Nařízení DORA se zabývá digitální provozní odolností finančního sektoru. Inspiraci z tohoto nařízení by si však měly vzít všechny společnosti.

Co konkrétně budou muset firmy řešit a jak se na nařízení můžou začít připravovat už teď, popsal Petr Frýdl, Information Security Consultant z technologické společnosti ANECT.

Pod souslovím „digitální provozní odolnost“, na kterém je celé nařízení postavené, si lze zjednodušeně představit schopnost instituce zajistit dostupnost významných a klíčových služeb i v případě nečekaných událostí, například v případě sofistikovaného kybernetického útoku. To v prostředí finančních institucí vyžaduje vytvoření a koordinaci souboru vzájemně provázaných politik, pravidel, opatření a kontrolních mechanismů, které pomohou odstranit, nebo výrazně zmírnit následky nepředvídatelné události a zachovat dostupnost služeb na předem plánované úrovni.

DORA neboli Digital Operational Resilience Act je nařízení Evropského parlamentu a rady o provozní odolnosti finančního sektoru. Nejde tedy o směrnici, kterou si můžou jednotlivé státy upravit podle svého, ale o jednotný soubor požadavků, který je ve všech státech EU stejný. Nařízení DORA bylo vydáno v lednu letošního roku s tím, že se uplatní od ledna 2025 a firmy mají dva roky na to, aby se mu přizpůsobily, je však zatím poměrně obecné. V tomto ohledu budou muset finanční subjekty počkat na prováděcí předpisy, které jednotlivé požadavky nařízení zpřesní. Jejich zveřejnění se přitom plánuje až na leden, respektive červenec roku 2024. Už teď se však mohou zaměřit na hlavní principy, na kterých je nařízení postavené.

Základní poučka zní: mějte přehled o tom, co se u vás děje

Firmy musejí v první řadě zjistit, co se uvnitř nich děje, s jakými aktivy pracují a jakým způsobem se tato aktiva podílí na chodu jejich služeb. Pro tyto účely musejí zřídit registr aktiv, ze kterého bude možné získat přehled o jejich vzájemných vztazích. Aktivem se přitom rozumí úplně vše, co se podílí na chodu společnosti. Primárním aktivem může být služba, například poskytování úvěrů. Jsou jím také data o zákaznících nebo obecně data potřebná k poskytování služeb. Sekundárním aktivem jsou potom zaměstnanci, software, na kterém služba běží, případně hardware (počítače, bankomaty, servery apod.). Takových aktiv přitom mohou být stovky a firmy musejí vědět, co se stane, když některé z nich přestane fungovat (data se ztratí, hardware se rozbije, lidé nepřijdou do práce, subdodavatel má výpadek).

Pro firmy a instituce může být tato část náročná, protože průměrně velká finanční instituce může pracovat s relativně velkým počtem aktiv. Každé by mělo mít svůj unikátní identifikátor a popis a měla by u něj být uvedena celá řada dalších informací. Například kdo je za něj zodpovědný, jakou má pro firmu hodnotu či kde se nachází. Vše musí být dostatečně konkrétní. Nestačí tedy napsat, že informace jsou kdesi v cloudu, ale je potřeba uvést, kde přesně jsou data uložena a zpracovávána, jaké jsou požadavky na jejich ochranu v souvislosti s hodnocením informací, u jakého provozovatele cloudového řešení a podobně.

Poznejte, co vám skutečně hrozí

Když společnost získá přehled o tom, s jakými aktivy pracuje a jak jsou tato aktiva provázaná, může přistoupit k dalšímu bodu, který nařízení požaduje, a to k řízení rizik a vytvoření potřebného registru. V registru rizik musí evidovat veškerá rizika, která byla identifikována, míru jejich závažnosti, scénář průběhu tohoto rizika a popis reakce na toto riziko. Jinými slovy firmy musí vědět, co se může stát, jak je to ohrozí a co udělají pro minimalizaci dopadu této události na svůj provoz nebo jak zabrání, aby došlo k poškození jejich zákazníků. Jedině tak se mohou rozhodnout, kolik je bude snížení míry rizika nebo jeho eliminace stát a jestli náklady na tato opatření nebudou vyšší než škody, které jim hrozí.

I zde platí, že každé riziko musí mít svůj vlastní unikátní identifikátor a musí být zcela konkrétní. Pokud například firma provozuje dvě datová centra, z nichž jedno je v záplavové oblasti, bude míra pravděpodobnosti rizika zatopení tohoto datového centra výrazně vyšší než u druhého z nich. Zároveň ve chvíli skutečného zatopení musí být jasné, o kterou lokalitu jde. Stejně tak musí mít riziko svého autora, který ho identifikoval, a majitele, který je zodpovědný za to, jak se s daným rizikem naloží.

Jakmile společnost získá přehled o tom, co konkrétně se může stát a jaké to bude mít následky, následuje plán zvládání rizik (risk treatment plan). Tedy „jízdní řád“, ve kterém bude uvedeno, kdy se co udělá, kolik času a finančních prostředků k tomu je plánováno, kdo je za celý proces zodpovědný a co konkrétně považujeme za splnění cíle.  Informace o aktuálním „rizikovém profilu“ společnosti jsou nutným podkladem pro efektivní řízení společnosti a musí být vedení společnosti dostupné ve vhodné formě.

Zabezpečte svou činnost i v okamžiku nenadálé události velkého rozsahu

Nařízení DORA po společnostech požaduje také zajištění „Business Continuity“ a provedení tzv. business impact analýzy, která určí a prioritizuje klíčové funkce ve firmě a to, jaký dopad má jejich nedostupnost na chod organizace a poskytované služby. U klíčových funkcí „vlastník“ stanovuje mj. povinnost obnovit dostupnost v určitém časovém horizontu (například 24 hodin). Důležité je, že tento čas začíná běžet od doby, kdy funkce nebo služba přestala fungovat, ne od doby, kdy se o výpadku firma dozvěděla. I proto je klíčové, aby měly společnosti dobře nastavené kontrolní a notifikační mechanismy a definované, kdo je odpovědný za obnovu konkrétních činností a co je pro to potřeba udělat.

Pokud není možné klíčovou službu obnovit standardním způsobem, musí společnost zajistit kontinuitu této činnosti nebo služby jinými prostředky, a to v předem definovaných parametrech. Jinými slovy, zákazníkovi by „ideálně“ neměla vzniknout škoda, když finanční instituci či jinou společnost postihne nějaká katastrofa typu zaplaveného datového centra, kybernetického útoku a podobně. Pro tyto účely musejí mít firmy vypracované plány kontinuity podnikání, plány reakce na kybernetické incidenty, plány obnovy činnosti a tyto plány by měly také pravidelně testovat, aby zjistily, jestli skutečně fungují a výsledky testů evidovat.

Principy z nařízení DORA mohou sloužit jako inspirace pro všechny firmy

Společnosti a organizace, které budou pod nařízení DORA spadat, musejí nepochybně splnit celou řadu pravidel a postupů, jejichž implementace může být časově, organizačně i finančně náročná. Zároveň nejsou v tuto chvíli známé veškeré podrobnosti, které nakonec určí celkovou náročnost tohoto procesu. V obecné rovině však lze říci, že nařízení jde správným směrem a řeší přesně ty problémy, které se svými zákazníky řešíme pravidelně. Nejen regulované firmy by měly mít co nejdokonalejší přehled o tom, co se v nich děje, jak to funguje a jaké komponenty jsou klíčové pro jejich provoz. Všechny by také měly mít funkční a vyzkoušené plány na obnovu těchto systémů. V době rostoucí digitalizace a vyšší aktivity kybernetických útočníků je totiž pouze otázkou času, kdy se něco pokazí nebo kdy přijde útok zevnitř nebo zvenčí.

Autor: Petr Frýdl, Information Security Consultant z technologické společnosti ANECT 

Štítky: 
Bezpečnost, Kybernetický zákon, Legislativa, Zákony, Anect
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více