DORA. Coraz mniej czasu na wdrożenie nowych przepisów

DORA. Coraz mniej czasu na wdrożenie nowych przepisów

Podmioty finansowe spełnią wymogi Digital Operational Resilience Act (DORA) do początku 2025 roku.

O nowym rozporządzeniu w branży mówi się już od jakiegoś czasu. Niestety wciąż zbyt mało podmiotów finansowych podjęło odpowiednie kroki wymagane przez UE. Czas ucieka. Jednak przy dobrej organizacji i właściwym wsparciu technologicznym firmy mają jeszcze szansę zdążyć z przygotowaniami do stycznia 2025.

Analiza Regulacji DORA i NIS2 w Kontekście Cyberbezpieczeństwa Przedsiębiorstw w UE

Instytucje finansowe nie powinny dłużej czekać. Najwyższy czas na wdrożenie DORA.

Czego wymaga DORA?

Przypomnijmy pokrótce, kogo dotyczy i czego wymaga Digital Operational Resilience Act (DORA). Otóż rozporządzenie to obejmuje swoim zasięgiem podmioty działające w sektorze finansowym, w tym banki, instytucje kredytowe, firmy inwestycyjne i płatnicze czy towarzystwa ubezpieczeniowe, a także dostawców technologii dla tych instytucji.

Głównym celem wprowadzenia tego rozporządzenia jest wzmocnienie poziomu cyberbezpieczeństwa całej branży. DORA stawia nie tylko na ochronę przed cyberatakami, ale także na sprawne przywrócenie działalności przedsiębiorstwa w przypadku wystąpienia incydentu bezpieczeństwa. Wymaga od organizacji między innymi przygotowania polityki cyberbezpieczeństwa, implementacji odpowiednich zabezpieczeń (w tym m.in. szyfrowania, uwierzytelniania, kontroli dostępu, monitoringu, narzędzi audytu), wdrożenia procesów wykrywania i zarządzania incydentami związanymi z ICT oraz przygotowania scenariuszy działań na wypadek cyberataku lub innego rodzaju incydentu bezpieczeństwa.

Co zatem muszą już dziś zrobić instytucje finansowe? Przede wszystkim zastanowić się, jakich elementów tak zdefiniowanej cyberochrony im brakuje. Powołać zespoły odpowiedzialne za przygotowanie odpowiednich procedur i polityk, wytypować rozwiązania, które trzeba zaimplementować, nawiązać współpracę z dostawcami. I działać.

Czy wiesz, jak nowe regulacje DORA i NIS2 wpłyną na przyszłość przedsiębiorstw w Europie? Przedstawiamy gruntowną analizę tych kluczowych dokumentów i ich praktyczne implikacje.

MFA – technologia, którą trzeba wdrożyć

O ile kwestie proceduralne są dość jasne i możliwe do zorganizowania bez pomocy zewnętrznych firm, o tyle wdrożenie nowych technologii wymaga współdziałania. I czasu, którego – jak już wiadomo – jest coraz mniej. Sprawa technologii jest zresztą dość skomplikowana, bo Digital Operational Resilience Act nie precyzuje, jakie rozwiązania należy zaimplementować. Z jednym wyjątkiem.

W rozporządzeniu DORA znajdujemy jednoznaczne sformułowanie, mówiące o tym, że podmioty finansowe wdrażają silne mechanizmy uwierzytelniania (MFA). Nie ma tu żadnego pola do własnej interpretacji – organizacje całego sektora są zobligowane do zaimplementowania takich rozwiązań. Mnie osobiście ten wymóg nie dziwi, bo o konieczności wdrażania wieloskładnikowego uwierzytelniania mówi się już od dawna. Rekomendacje w tym zakresie wydała także Komisja Nadzoru Finansowego, która w październiku 2022 r. uznała brak stosowania silnego, wieloskładnikowego uwierzytelnienia klientów za nieakceptowalne ryzyko.

Czym jest MFA? Wieloskładnikowe, silne uwierzytelnianie to zaawansowana metoda weryfikacji tożsamości użytkownika w procesach związanych z płatnościami elektronicznymi oraz dostępem do kont i usług online. Wymaga przeprowadzenia co najmniej dwóch niezależnych, trudnych do podrobienia etapów weryfikacji. Można w nich wykorzystać coś, co użytkownik zna (hasło), posiada (telefon) lub czym jest (biometria).

Dlaczego MFA jest tak ważne? Bo logowanie do systemów oparte na samych loginach i hasłach nie jest żadną barierą dla cyberprzestępców. Świat idzie w stronę uwierzytelniania bezhasłowego (passwordless) i wprowadzenie nowoczesnych narzędzi MFA pozwala takie uwierzytelnianie zapewnić.

Jakie nowości DORA i NIS2 wprowadzają w zakresie odporności cyfrowej?

Skuteczny plan działania dla instytucji finansowych

Pierwsza ważna wiadomość dla instytucji finansowych brzmi – każdy z podmiotów objętych Digital Operational Resilience Act (DORA) musi wdrożyć MFA.

Druga ważna wiadomość dla instytucji finansowych brzmi – można to zrobić szybko, bezproblemowo i skutecznie. I zdążyć przed 17 stycznia 2025 roku.

Tak, wdrożenie MFA może potrwać wiele miesięcy. Może też wiązać się z ingerencją w kod zabezpieczanych aplikacji. Może zmusić użytkowników do zmiany swoich przyzwyczajeń, co może wywołać opór, a nawet potrzebę zmiany dostawcy np. usług bankowych. Nikt nie ma już na to czasu i przestrzeni.

Może też przebiec szybko i bezboleśnie. Bo na rynku są narzędzia, które daje się wdrożyć sprawnie i które nie wymagają kodowania i uczenia użytkowników nowych ścieżek postępowania. Mówię choćby o opracowanym przez Secfense rozwiązaniu User Access Security Broker, które umożliwia wdrożenie MFA na dowolnej aplikacji w 5 minut oraz wprowadzenie MFA w całej organizacji w 7 do 14 dni. Technologia umożliwia łatwą i szybką implementację dowolnego MFA, w tym także najskuteczniejszego dziś FIDO2, na każdej aplikacji bez ingerencji w jej kod.

Moja rada dla instytucji finansowych – zacznijcie już dziś eksplorować rynek w poszukiwaniu najodpowiedniejszych rozwiązań. Przetestujcie te, które Was przekonują. I zacznijcie wdrożenia. Nie ma już innej drogi.

Jakie są różnice między DORA i NIS2 i jak wpłyną na twoją firmę?

Propozycja nie do odrzucenia

Swoje poszukiwania możecie zacząć od Secfense, tym bardziej że przygotowaliśmy z myślą o instytucjach dostosowujących się do wymagań rozporządzenia DORA szybką ścieżkę wyceny, testowania i wdrażania User Access Security Broker.

Aby rozpocząć proces dostosowania do wymagań rozporządzenia DORA i wykorzystać możliwości User Access Security Broker, zachęcamy do bezpośredniego kontaktu poprzez dedykowany formularz na secfense.com/dora/.

Choć czas ucieka, instytucje finansowe nadal są w stanie zdążyć z wdrożeniem wymagań płynących z rozporządzania DORA. Ważne jest jednak wybranie odpowiednich technologii i partnerów, którzy sprawnie je zaimplementują. Jeśli organizacje zaczną przygotowania już dziś, mają ogromne szanse na sukces całego przedsięwzięcia i w rezultacie – na podniesienie swojego bezpieczeństwa.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.