Блог з безпеки

Шлях до відповідності DORA та PS21/3: вичерпний посібник

Ariana Entesari

У сучасному дедалі цифровішому фінансовому ландшафті кіберризики становлять серйозні загрози стабільності та безпеці фінансових установ. Витончені кібератаки та збої в ІТ можуть призводити до великих фінансових втрат, компрометувати чутливі дані клієнтів і підривати суспільну довіру до фінансових систем.

Щоб протидіяти цим зростаючим ризикам, регулятори в усьому світі впроваджують суворі фреймворки кібербезпеки та операційної стійкості. У Європейському Союзі Закон про цифрову операційну стійкість (DORA) має на меті гармонізувати регулювання кіберризиків у межах блоку. У Сполученому Королівстві Управління пруденційного регулювання (PRA) запровадило пруденційний стандарт PS21/3 (PS21/3) для зміцнення операційної стійкості.

І DORA, і PS21/3 вимагають від фінансових установ докорінно переглянути практики управління ризиками та використовувати технології для виявлення загроз, протидії атакам і швидкого відновлення після інцидентів. Ця стаття надає вичерпний посібник із дотримання цих знакових нормативних актів. Вона розглядає ключові вимоги, терміни впровадження, коло охоплених організацій, пов’язані виклики, а також те, як гравці фінансового сектору можуть застосувати стратегічний підхід до відповідності.

Детальний погляд на DORA та PS21/3

Яка мета DORA та PS21/3?

DORA і PS21/3 мають на меті захистити фінансову стабільність і підтримувати довіру до фінансової системи, сприяючи операційній стійкості.

DORA

Закон ЄС про цифрову операційну стійкість встановлює гармонізовані стандарти управління ризиками інформаційно-комунікаційних технологій (ICT) у фінансовому секторі Європи. Він вимагає від фінансових компаній оцінювати свої кібервразливості, впроваджувати надійні засоби контролю та забезпечувати безперервність бізнесу під час порушень.

DORA консолідує раніше фрагментовані кіберрегуляції, запроваджені окремими державами — членами ЄС, в єдиний вичерпний фреймворк. Завдяки узгодженим правилам у межах блоку DORA сприяє транскордонному бізнесу та співпраці в протидії кіберзагрозам.

PS21/3

Пруденційний стандарт PRA 21/3 зобов’язує фінансові установи у Великій Британії визначати свої найважливіші бізнес-послуги, встановлювати толерантність до впливу порушень і застосовувати системний підхід до підтримання операційної безперервності.

Компанії мають аналізувати сценарії, що можуть правдоподібно спричинити нестерпне порушення, і здійснювати необхідні інвестиції, щоб працювати в межах своєї толерантності до впливу. Це передбачає картування відповідних людей, процесів, технологій, об’єктів і залежностей від третіх сторін.

Разом ці нормативні акти наділяють фінансовий сектор кіберстійкістю та можливостями безперервності, життєво важливими для економічної стабільності й захисту споживачів.

На кого поширюються DORA та PS21/3?

Сфера дії DORA

Під сферу дії DORA підпадають усі фінансові установи, що працюють у ЄС, зокрема:

  • Кредитні установи
  • Постачальники платіжних послуг
  • Установи електронних грошей
  • Страхові компанії
  • Інвестиційні компанії
  • Інфраструктури фінансового ринку, як-от CCP

Крім того, критичні постачальники послуг ICT — треті сторони для фінансового сектору мають дотримуватися вимог DORA. Це охоплює хмарні обчислювальні сервіси, роботу центрів обробки даних, керовані послуги безпеки та інші передані на аутсорсинг ІТ-функції.

Примітно, що такі установи, як краудфандингові платформи, іпотечні кредитори та небанківські кредитори, залишаються поза сферою дії DORA.

Сфера дії PS21/3

У межах Великої Британії PS21/3 застосовується до всіх банків, будівельних товариств і визначених інвестиційних компаній. Як і DORA, він поширюється на критичних постачальників технологій і послуг — третіх сторін, що підтримують ці фінансові установи.

Які терміни відповідності DORA та PS21/3?

DORA

Європейська комісія спочатку запропонувала DORA у вересні 2020 року. Після двох років переговорів його офіційно ухвалили Рада ЄС і Парламент у листопаді 2022 року.

Фінансові гравці мають час до січня 2025 року, щоб дотриматися вимог DORA. Три Європейські наглядові органи (ESA) наразі розробляють Регуляторні технічні стандарти (RTS) та Імплементаційні технічні стандарти (ITS), щоб прокласти шлях до впровадження в межах блоку. Ці гармонізовані стандарти мають набути остаточної форми у 2024 році.

PS21/3

Управління пруденційного регулювання Великої Британії видало PS21/3 31 березня 2022 року. Воно зобов’язало фінансові установи досягти початкових етапів відповідності до 31 березня 2025 року.

Станом на березень 2022 року компанії мали:

  • Визначити свої важливі бізнес-послуги
  • Встановити толерантність до впливу порушень послуг
  • Провести картування й тестування до необхідних рівнів складності
  • Виявити операційні вразливості
  • Розпочати необхідні інвестиції для підтримання стійкості

Повна відповідність має бути досягнута протягом наступних років, у міру того як провайдери вдосконалюють і валідують свої механізми операційної безперервності.

Які основні вимоги DORA та PS21/3?

Хоча DORA та PS21/3 різняться сферою дії, їхні загальні цілі сходяться навколо посилення кіберстійкості. Розгляньмо центральні обов’язки, які вони покладають.

Ключові вимоги DORA

DORA впорядковує вимоги до управління кіберризиками за п’ятьма стовпами:

1. Управління ризиками ICT
  • Призначте ролі та обов’язки для управління ризиками ICT
  • Регулярно проводьте оцінки ризиків ICT
  • Впроваджуйте засоби контролю безпеки, як-от управління доступом, шифрування та управління оновленнями
  • Ведіть плани дій та контрольні точки (POAM) для відстеження оброблення ризиків
  • Проводьте навчання для валідації засобів контролю та готовності
2. Звітування про інциденти ICT
  • Встановіть процедури для виявлення, класифікації та звітування про інциденти ICT
  • Повідомляйте національні органи про значні інциденти у встановлені строки
  • Зберігайте докази та першопричини після інциденту
3. Тестування цифрової операційної стійкості
  • Регулярно тестуйте плани реагування на інциденти, безперервності бізнесу, аварійного відновлення та кризової комунікації
  • Оцінюйте стан кібербезпеки за допомогою кіберрозвідки, сканування вразливостей, тестування на проникнення та імітованих атак
  • Валідуйте кіберстійкість третіх сторін за допомогою тестування та звітів про гарантії
4. Механізми обміну інформацією
  • Обмінюйтеся кіберрозвідкою та індикаторами компрометації (IOC) з регуляторами та галузевими партнерами
  • Беріть участь у скоординованих навчаннях, як-от Waking Shark і Cambridge 2
  • Співпрацюйте з органами влади щодо нових загроз, вразливостей та інцидентів
5. Управління ризиками третіх сторін ICT
  • Класифікуйте критичність переданих на аутсорсинг послуг і провайдерів
  • Проводьте кіберналежну перевірку під час вибору третіх сторін
  • Вбудовуйте вимоги безпеки в договори
  • Отримуйте гарантії щодо засобів контролю стійкості провайдерів через права на аудит

Разом ці положення закріплюють кіберстійкість, водночас розподіляючи відповідальність між стейкхолдерами фінансової екосистеми.

Ключові вимоги PS21/3

Основні елементи стандарту PRA PS21/3 включають:

  • Картування: задокументуйте людей, процеси, технології, об’єкти та ресурси, що забезпечують надання важливих бізнес-послуг.
  • Толерантність до впливу: визначте максимально прийнятний рівень порушення для важливих бізнес-послуг.
  • Сценарне тестування: оцініть, чи здатна організація залишатися в межах толерантності до впливу за серйозних, але правдоподібних сценаріїв.
  • Інвестиції: здійсніть необхідні інвестиції, щоб послідовно працювати в межах толерантності до впливу.
  • Виявлення вразливостей: точно визначте вразливості операційної стійкості та вчасно вносьте покращення.
  • Комунікаційна стратегія: створіть план комунікації з відповідними зовнішніми стейкхолдерами під час порушення.
  • Треті сторони: розумійте й моніторте залежності від третіх сторін; забезпечте, щоб їхня стійкість відповідала внутрішнім стандартам.
Терміни впровадження
  • Березень 2022: визначте важливі бізнес-послуги та встановіть толерантність до впливу. Розпочніть картування й тестування.
  • Березень 2025: завершіть картування. Проведіть ретельне тестування та необхідні інвестиції для дотримання толерантності до впливу.
  • З 2025 року й далі: ітеративно вдосконалюйте механізми для валідації та покращення стійкості.

Цей поетапний підхід дає компаніям час закласти основи операційної безперервності, перш ніж демонструвати більш просунуті можливості.

Виклики відповідності

Хоча такі нормативні акти, як DORA та PS21/3, мають на меті зробити фінансовий сектор стійкішим до порушень, вони створюють значні виклики впровадження.

Адаптація до мінливого ландшафту загроз

Кіберризики еволюціонують із шаленою швидкістю. Фінансові установи мають безперервно моніторити ландшафт загроз, відповідно коригуючи засоби контролю та рівні готовності. Нові техніки атак, як-от фішингові кампанії на основі AI, компрометації ланцюга постачання, деструктивне ПЗ-очищувач і програми-вимагачі з крадіжкою даних, потребують дедалі досконаліших стратегій зниження.

Щоб випереджати витончених, добре забезпечених ресурсами кіберзлочинців, потрібні значні інвестиції в персонал, інструменти та процеси безпеки. Це робить відповідність ресурсомісткою.

Побудова надійного управління

Операційна стійкість потребує всебічного нагляду та координації. Компанії мають впроваджувати формальні фреймворки управління з виконавчим керівництвом і чітко визначеними ролями та обов’язками.

Керівні органи, як-от комітети з керування безпекою та комітети нагляду за стійкістю, мають регулярно збиратися, щоб оцінювати кіберризики, скеровувати інвестиції, моніторити готовність і керувати реагуванням на інциденти.

Призначення директорів з інформаційної безпеки та керівників з операційної стійкості привносить експертизу з кібербезпеки в керівні обговорення.

Однак розбудова цієї управлінської структури потребує значного часу та планування.

Розуміння складних поверхонь атаки

Сучасні фінансові установи будують послуги в складних, взаємопов’язаних ІТ-екосистемах. Основні банківські системи взаємодіють із застосунками для клієнтів, аналітичними платформами, хмарною інфраструктурою та мережами третіх сторін.

Компаніям важко картувати цю величезну поверхню атаки та ідентифікувати критичні активи, залежності й вразливості. Отримання всебічної видимості є необхідним для управління ризиками, але становить колосальний виклик.

Модернізація застарілої інфраструктури

Великі фінансові установи значною мірою покладаються на застарілі ІТ-системи, що передують сучасним найкращим практикам безпеки. Мейнфрейми, ERP-програми, бази даних і мережеві пристрої накопичують величезний технічний борг за роки поступових оновлень.

Оновлення цієї інфраструктури для відповідності суворим стандартам стійкості — це багаторічне мільярдне завдання. Компанії мають стратегічно виявляти та усувати критичні вразливості, поступово виводячи з експлуатації застарілі системи.

Координація нагляду за третіми сторонами

Екосистеми фінансових послуг значною мірою спираються на технологічних вендорів, постачальників послуг і партнерів — третіх сторін. Хмарні оператори, центри обробки даних і розробники застосунків утворюють взаємопов’язану мережу постачальників.

Розуміння ризиків у межах цієї поверхні атаки третіх сторін та управління ними потребують інтенсивної координації та оцінювання. Компаніям важко досягти цілісної видимості та запровадити єдині стандарти безпеки в усьому їхньому партнерському ландшафті.

Чотири кроки до готовності до відповідності

Хоча шлях до DORA, PS21/3 та подібних нормативних актів масштабний, ним можна пройти завдяки стратегічному підходу:

1. Закладіть міцний фундамент

Почніть із формування базових можливостей кібербезпеки, управління ризиками та стійкості:

  • Оцінки ризиків: проводьте періодичні оцінки ризиків критичних активів, систем і процесів. Підтримуйте в актуальному стані інвентаризації апаратного та програмного забезпечення.
  • Гігієна безпеки: забезпечте надійну автентифікацію, контроль доступу, шифрування, управління вразливостями та обізнаність із кібербезпеки в усій організації.
  • Управління ризиками третіх сторін: класифікуйте треті сторони за критичністю. Проводьте належну перевірку з урахуванням ризиків під час підключення. Вбудовуйте вимоги безпеки в договори та моніторте відповідність.
  • Планування реагування на інциденти: запровадьте надійні процеси реагування на інциденти відповідно до стандартів на кшталт NIST 800-61 Rev. 2. Регулярно перевіряйте їх через навчання.
  • Планування безперервності бізнесу: визначте критичні бізнес-функції, цільові показники часу відновлення та стратегії безперервності, як-от резервування, резервне копіювання й відновлення та резервні майданчики. Тестуйте плани щороку.

Ці фундаментальні можливості забезпечують необхідну основу для відповідності нормативним вимогам.

2. Підвищте видимість критичних активів

Використовуйте інструменти управління активами та картування ІТ-послуг, щоб ідентифікувати системи, що підтримують життєво важливі послуги. Ця видимість уможливлює цілеспрямоване зміцнення критично важливих ресурсів.

3. Проводьте сценарне тестування

Аналізуйте й тестуйте сценарії, що реалістично можуть спричинити значне порушення, як-от:

  • Атаки програм-вимагачів, що шифрують критичні дані
  • DDoS-атаки, що перевантажують публічні застосунки
  • Збої хмарних сервісів, що виводять з ладу важливі SaaS-платформи
  • Компрометації ланцюга постачання, що проникають через довірених третіх сторін
  • Інсайдерські загрози та крадіжка облікових даних
  • Фізичні небезпеки, як-от пожежі, повені чи перебої в електропостачанні

Тестування валідує засоби контролю та виявляє раніше невідомі єдині точки відмови.

4. Стратегічно вдосконалюйте можливості стійкості

З огляду на обмежені бюджети та ресурси компаніям слід стратегічно виявляти й усувати найсерйозніші вразливості насамперед. Основні напрями інвестицій включають:

Реагування на інциденти

  • Розширене виявлення й реагування на кінцевих точках
  • Брандмауери нового покоління та запобігання вторгненням
  • Автоматизація та оркестрація безпеки
  • Полювання на загрози та тестування на проникнення
  • Збір та аналіз кіберрозвідки

Безперервність бізнесу

  • Архітектура високої доступності
  • Резервна інфраструктура та регулярне резервне копіювання даних
  • Резервні робочі майданчики та можливості віддаленої роботи
  • Кризові комунікації та управління стейкхолдерами

Зміцнення інфраструктури

  • Управління життєвим циклом активів для виведення з експлуатації непідтримуваних систем
  • Сегментація мережі для ізоляції чутливих ресурсів
  • Механізми шифрування для даних у стані спокою та під час передавання
  • Суворі процедури управління оновленнями

Стратегічна дорожня карта з часом нарощуватиме темп відповідності, водночас максимізуючи зниження ризиків.

Погляд у майбутнє з DORA та PS21/3

Кіберризики лише посилюватимуться, у міру того як фінансові системи стають складнішими та взаємопов’язанішими. DORA та PS21/3 — це знакові зусилля регуляторів ЄС і Великої Британії з контролю цих загроз.

Зобов’язуючи фінансовий сектор впроваджувати надійне управління, можливості реагування та стійкість інфраструктури, ці нормативні акти мають на меті захистити фінансову стабільність для цифрового майбутнього.

Шлях до відповідності буде важким і потребуватиме значних інвестицій у технології. Однак винагородою стануть фінансові установи з кіберстійкістю, здатною витримувати кризи, завойовувати довіру клієнтів і живити глобальну економіку.

Висновок

DORA та PS21/3 знаменують нову еру в регулюванні фінансових послуг, закріплюючи цілісну операційну стійкість. З огляду на експоненційне зростання кіберризиків ці фреймворки надають фінансовим установам приписові, але водночас адаптивні настанови щодо зміцнення захисту.

Шлях до відповідності характеризуватиметься значними викликами, як-от загрози, що постійно еволюціонують, складнощі управління, розгалужені поверхні атаки, обмеження застарілих технологій і координація з третіми сторонами. Утім, стратегічна дорожня карта з часом може подолати ці перешкоди, оскільки базові можливості стають стартовим майданчиком для більшої кіберзрілості.

Зрештою, досягнення бачення DORA та PS21/3 потребуватиме масштабної співпраці між регуляторами та галуззю. У міру того як стандарти та методології тестування дозріватимуть, фінансовий сектор ставатиме дедалі вправнішим у підтриманні безперервності навіть під час екстремальних порушень. Ця кіберстійкість обіцяє захистити фінансову систему, у міру того як технології дедалі глибше проникають у глобальну економіку.

Пов’язані ресурси

ПоділитисяLinkedInX
Пов’язані статті блогу
Пов’язані статті блогу
Нічого не знайдено.

Готові зменшити свою кіберекспозицію?

Дізнайтеся, як ResilientX забезпечує безперервну видимість вашої поверхні атаки, ризиків третіх сторін і стану відповідності — в одній платформі.

Забронюйте демо