Utilizare AI pentru o prezența online - o necesitate

Se apropie termenul limită al DORA: navigarea mandatului UE pentru testarea de penetrare a amenințărilor

Odată cu apropierea termenului limită de conformitate DORA din ianuarie 2025, instituțiile financiare trebuie să adopte teste riguroase, profiluri de amenințări personalizate și vigilență continuă pentru a se proteja împotriva amenințărilor cibernetice.

Fondul Monetar Internațional estimează că în ultimele două decenii, aproape o cincime din incidentele cibernetice raportate au afectat sectorul financiar global, provocând pierderi directe de 12 miliarde de dolari firmelor financiare. UE nu numai că a luat în considerare, dar este și pe punctul de a lua măsuri.

Având în vedere 17 ianuarie 2025 ca dată de intrare în vigoare pentru conformitatea cu Digital Operational Resilience Act (DORA), instituțiile financiare din UE vor trebui să pună în aplicare măsuri riguroase pentru a testa și demonstra conformitatea cu noile reguli pentru managementul riscului de securitate cibernetică, incidente. raportarea, testarea rezistenței operaționale și monitorizarea riscurilor de la terți. În regulamentul DORA, acest lucru este denumit Testarea de penetrare prin amenințare (TLPT). TLPT implică simularea atacurilor cibernetice din lumea reală pentru a evalua apărarea unei organizații împotriva amenințărilor sofisticate. Scopul este de a evalua un mediu de servicii financiare și de a vă asigura că toate ușile potențiale prin care poate intra un atacator sunt închise și că atunci când o ușă se închide, alta nu este lăsată sau devine deschisă.

La cel mai înalt nivel, aceasta stabilește standarde pentru rezistență și securitate care sunt atât cuprinzătoare, cât și continue. Din punct de vedere operațional, realizarea acestui lucru cuprinde activități care vizează riscuri organizaționale specifice și urgente, efectuează teste orientate spre scop și validare defensivă colaborativă și practică vigilența amenințărilor emergente. Această coloană va sublinia sarcinile necesare organizațiilor care fac obiectul DORA pentru a înțelege, aborda și anticipa amenințările specifice fiecărei afaceri în mod sigur și demonstrat. 

Înțelegerea amenințărilor

Este greu să te aperi, dacă habar n-ai cu ce te confrunți, iar istoria și nenumăratele știri sunt dovezi că încercarea de a te apăra împotriva oricărui fel de amenințare digitală este o misiune prostească. Ca atare, primul pas pentru abordarea conformității DORA este să profilați nu numai actorii amenințări care vizează sectorul serviciilor financiare, ci mai precis care actori și prin ce tehnici și proceduri tactice (TTP) sunteți probabil să fiți atacat. 

Cu toate acestea, înainte de a putea determina modul în care un actor te poate vedea și aborda, trebuie să știi cine ești. Deci, primul profil care trebuie construit este al propriei afaceri. Nu doar servicii financiare, ci ce sector/aspect, ce regiune și, în final, care este profilul de risc specific bazat pe activele critice din infrastructurile organizaționale și chiar partenere.

Al doilea profil începe cu populația actuală de actori cunoscuți care vizează industria serviciilor financiare. Apoi se trece la restrângerea la actorii despre care se știe că sunt aliniați cu profilul de direcționare specific. De acolo, utilizând modele standard ale industriei, cum ar fi cadrul MITRE ATT&CK , se creează un grafic al obiectivelor și TTP-urile înțelese ale fiecărui actor/grup, inclusiv metodele lor tradiționale și preferate de acces și exploatare, precum și capacitățile lor de evaziune, persistență și comandă. si control.

În cele din urmă, cele două profiluri detaliate sunt îmbinate pentru a mapa graficul de atac pentru fiecare actor la profilul organizațional în ceea ce privește activele, infrastructura și „țintele trofeului”. Rezultatul final este esențial pentru a informa și a defini un plan de testare detaliat care va identifica scenariile în care un actor ar urma probabil TTP-urile la activele critice în fiecare mediu individual. Acum că aveți harta, este timpul să faceți călătoria.

 

Abordarea amenințărilor

Cu o înțelegere clară a actorilor în joc și a amenințărilor specifice organizației stabilite, organizația va întreprinde o serie de exerciții ofensive (Echipa roșie) și defensive (Echipa violetă) pentru a testa capacitatea infrastructurii operaționale de a respinge atacurile, securitatea. infrastructura să răspundă rapid și să oprească compromisurile, iar afacerea să continue cu întreruperi minime sau deloc. 

Pe partea ofensivă este Red Teaming. Într-o manieră concentrată și orientată spre scop, o echipă roșie va mapa profilul de informații despre amenințări la active specifice și dinamica mediului și le va testa pentru a determina orice active care sunt vulnerabile la TTP-urile din profil. Pentru a fi clar de la început, și în special pentru DORA, procesul întreprins pentru Red Team, precum și Purple Team, nu este unic pentru toate. Pentru a îndeplini rigoarea necesară în DORA, procesul ar trebui să fie în mai multe faze, iar fiecare proces ar trebui testat și urmat de la capăt la capăt cu fiecare profil de actor în mod individual. 

Cele mai bune echipe roșii sunt conduse și dirijate de înțelegerea actorului/atacului și a țintelor trofeului care reprezintă cel mai mare risc organizațional. Pe baza hărții actorilor și organizației, echipa va implementa o combinație de teste care includ atât elemente umane, cât și tehnologice, de la inginerie socială și securitate fizică, la aplicații, rețele și cloud. Ei se străduiesc să evalueze vulnerabilitatea – atât individual, cât și colectiv – a verigilor din lanțul de atac probabil și viabilitatea atingerii țintei trofeului.

În timp ce echipele roșii sunt activități „oarbe”, fără cunoștințe sau comunicare deplină, echipele violete se desfășoară cu ochii și urechile larg deschise. Echipele Purple desfășoară experiențe de „foc viu” care permit echipelor roșii și echipelor albastre (echipe interne de securitate defensivă) să desfășoare în mod deschis situațiile de atac și să determine măsura în care apărarea poate detecta și anula rapid încercările ofensive.

În plus, evaluarea nivelului de pregătire și reziliență nu ar trebui să se limiteze la tehnologie, ci să se extindă la oamenii și la infrastructura de proces care ar fi necesară pentru a răspunde într-o criză. Acest lucru se realizează cu simulări pe masă pentru a determina puterea și adaptabilitatea părților interesate organizaționale (interne și externe), orientarea și procesele de afaceri în ceea ce privește răspunsul la incident.

Desigur, ca și în cazul oricărei activități legate de conformitate, rezultatele nu doar contează, ci sunt necesare. În ceea ce privește activitățile și rezultatele, trebuie elaborate capabilități/măsuri de remediere documentate, reziliență validată și o foaie de parcurs de pregătire. Acest lucru este atât pentru aderarea și demonstrarea conformității cu cerințele DORA, dar și pentru stabilirea mecanismelor de îmbunătățire organizațională continuă și disciplinare. Totuși, nu se termină aici. De fapt, nu ar trebui să se termine niciodată. 

Anticiparea amenințărilor

Totul se schimbă și, odată cu schimbarea, apar noi inovații și motivații – atât pentru întreprinderile de servicii financiare, cât și pentru actorii care le vizează. Chiar și cu un nivel de încredere în postura și planurile actuale, supravegherea amenințărilor trebuie să fie o activitate continuă pentru a se adapta riscurilor încă necunoscute sau complet noi care apar fără notificare.

Testarea ar trebui să fie o combinație de evaluare planificată, periodică și/sau la cerere a suprafeței de atac organizaționale și a mediului de amenințare. Infrastructura activelor ar trebui să fie sub supraveghere constantă pentru orice modificări ale compoziției, conectivității și activității care ar putea schimba condițiile de expunere. 

Aplicațiile și resursele ar trebui să fie supuse unor teste cuprinzătoare atât în ​​mod regulat, dar și pentru a se adapta la orice actualizări, noi asociații sau vulnerabilități nou descoperite în software sau componente.

De asemenea, ar trebui să existe vigilență în privința schimbărilor în profilurile actorilor sau peisajul. Aceasta include noi TTP-uri, instrumente/infrastructură sau noi actori care au apărut pe scenă. Conformitatea DORA nu este o sarcină mică și necesită partenerul potrivit pentru a asigura nu numai conformitatea, ci și un mediu de pregătire și îmbunătățire continuă. Cu toate acestea, rezultatul final este o investiție care va continua să plătească – și să apere – dividende.

 

Fundal

DORA se aplică instituțiilor financiare, firmelor de investiții, companiilor de administrare a fondurilor, întreprinderilor de asigurare și altor entități financiare reglementate reglementate în UE. Unul dintre obiectivele cheie ale DORA este de a consolida rezistența operațională prin asigurarea unui management prudent al riscurilor pentru serviciile de tehnologia informației și comunicații (TIC), inclusiv aranjamentele de cloud ale unei organizații, software ca serviciu, date digitale și infrastructură IT.

DORA armonizează diverse cerințe preexistente ale UE și introduce cerințe noi, în jurul următorilor piloni cheie:

  • Cadrul de gestionare a riscurilor TIC: Entitățile financiare trebuie să adopte un cadru cuprinzător și bine documentat de gestionare a riscurilor TIC, care este revizuit în mod continuu. Cerințele acoperă formarea în domeniul securității cibernetice, planificarea continuității afacerii, managementul activelor TIC, date, monitorizarea sistemelor TIC, managementul vulnerabilităților, managementul schimbărilor TIC și multe altele.
  • Testarea rezilienței operaționale digitale: entitățile financiare trebuie să efectueze teste adecvate asupra sistemelor și instrumentelor TIC. Entitățile importante din punct de vedere sistemic trebuie să efectueze teste de penetrare conduse de amenințări cel puțin o dată la trei ani.
  • Gestionarea și raportarea incidentelor legate de TIC: entitățile financiare trebuie să dispună de un cadru cuprinzător pentru detectarea, clasificarea și raportarea incidentelor legate de TIC în conformitate cu intervalele de timp prescrise.
  • Managementul riscului de la terți TIC: entitățile financiare trebuie să se asigure că toate contractele cu furnizorii terți de servicii TIC — atât intragrup, cât și externi — includ prevederi contractuale obligatorii, care acoperă, printre altele, locațiile serviciilor, datele și confidențialitatea, continuitatea activității, raportarea Incidente legate de TIC și conformitatea cu standardele de securitate TIC adecvate. Pentru furnizorii de servicii TIC care suportă funcții critice sau importante se aplică cerințe mai prescriptive. Firmele trebuie, de asemenea, să mențină un registru al tuturor acordurilor de servicii TIC de la terți și să adopte o politică care să abordeze conformitatea cu cerințele de gestionare a riscurilor terților.

Registrele de informații sunt o prioritate

În conformitate cu DORA, entitățile financiare trebuie să mențină și să prezinte autorității lor naționale competente din UE un registru cuprinzător al acordurilor contractuale cu furnizorii de servicii TIC. AES au subliniat această obligație ca fiind o prioritate pentru începutul anului 2025, deoarece autoritățile naționale trebuie să raporteze ele însele registrele de informații către AES până la 30 aprilie 2025.

Șabloanele finale pentru registrele de informații au fost publicate la 29 noiembrie 2024, iar pe tot parcursul anului 2024 ESA au desfășurat un exercițiu de raportare „securizat” pentru ca entitățile financiare să se pregătească pentru trimiteri.

În ultimele luni, furnizorii de tehnologie au primit multiple solicitări de informații cu privire la câmpurile de date care trebuie raportate. Aceasta include o descriere a serviciilor TIC furnizate entităților reglementate de UE, locațiile de stocare a datelor, acordurile de subcontractare și acordurile de compensare.

Tendințe cheie din remedierea contractelor

Pe măsură ce eforturile de implementare s-au accelerat, au apărut următoarele tendințe cheie:

  • Provocări de acoperire: DORA se aplică unei game largi de servicii TIC. Anumiți furnizori de tehnologie sunt tratați de către entitățile financiare ca „furnizori de servicii TIC” care ar putea să nu se considere furnizori de servicii . O dezbatere cheie este măsura în care orice servicii sunt furnizate în mod continuu și/sau prin sisteme TIC, ambele care stau la baza definiției DORA a serviciilor TIC. În plus, dacă serviciile TIC susțin funcții critice sau importante este o determinare a entității financiare, iar unii furnizori de servicii, în cazul în care se consideră că serviciile lor TIC susțin funcții critice sau importante, au căutat validarea unei astfel de decizii.
  • Concentrați-vă pe criticitate: multe cerințe organizaționale din cadrul DORA în ceea ce privește gestionarea riscurilor TIC și raportarea incidentelor majore decurg din identificarea funcțiilor critice sau importante și multe eforturi de remediere au prioritizat pe bună dreptate acele servicii TIC terțe care sprijină astfel de funcții față de serviciile TIC „necritice”.
  • Proporționalitatea este importantă pentru toate serviciile TIC: principiul proporționalității este încorporat în mod expres în aplicarea cerințelor contractuale ale DORA bazate pe natura, amploarea și complexitatea serviciilor. Prin urmare, pe lângă concentrarea asupra criticității, este important să recunoaștem că relevanța cerințelor contractului va varia în funcție de tipurile de servicii TIC, cum ar fi obligațiile de date și de raportare, și de tipurile de incidente legate de TIC care ar putea prezenta un risc pentru entitate financiară.
  • Utilizarea termenilor existenți: multe entități financiare și furnizorii lor de servicii TIC ar putea fi remediat anterior contractele pentru a se conforma cerințelor existente privind externalizarea. Ca atare, poate exista doar un „decalaj” care necesită o abordare care poate eficientiza eforturile de remediere. Unii furnizori de tehnologie și-au pregătit propriile șabloane de contracte, creând termeni adecvați pentru serviciile lor, iar acesta a fost un factor de diferențiere la care entitățile financiare devin din ce în ce mai în acord.
  • Fluxarea termenilor către subcontractanți continuă: DORA solicită entităților financiare să aibă vizibilitate asupra lanțului lor de aprovizionare pentru serviciile TIC care susțin funcții critice sau importante și necesită ca anumite drepturi și obligații să se reducă la acestea. Acesta este un domeniu în special în care remedierea continuă pe parcursul termenului limită de conformitate, nu în ultimul rând pentru că legislația finală a UE privind cerințele de subcontractare în temeiul DORA nu a fost încă publicată. Proiectul de cerințe de subcontractare și registrul de șabloane de informații pun accent pe acei subcontractanți care „sustin în mod eficient” serviciile TIC care susțin funcții critice sau importante (adică, a căror eșec ar afecta continuitatea sau securitatea acelor servicii), și acest principiu poate ajuta la încadrarea obligațiilor contractuale.
  • Provocări în implementarea unei abordări globale: nuanțe în detaliu ale diferitelor regimuri de gestionare a riscurilor de la terțe părți noi și recent actualizate pentru sectorul financiar, inclusiv DORA, regulile de rezistență operațională ale Regatului Unit și îndrumările de externalizare de la Autoritatea Monetară din Singapore, pun provocări pentru operaționalizarea controalelor la nivel global atât pentru entitățile financiare, cât și pentru furnizorii de servicii globali. În timp ce condițiile contractuale pot adopta o formă modulară care simplifică principiile cheie, diferențele în domenii precum raportarea incidentelor, clasificarea datelor și subcontractanții conduc la divergențe locale ale controalelor.

 

Surse: securityweek și morganlewis

Nu sunt comentarii în “Se apropie termenul limită al DORA: navigarea mandatului UE pentru testarea de penetrare a amenințărilor ”

Categorii TAG

Creare și Optimizare Website

SEO și Strategii Digitale

Securitate Online

Legislație și Conformitate

Marketing Digital

Telecomunicații și Mobilitate

Conținut Educațional și Blogging

Notă: selectarea informațiilor și structurarea articolelor a fost realizată cu diverse aplicații AI.

Informațiile furnizate de orice AI, trebuie verificate, vedeți motivele.

Informare !

Prezența online - o necesitate

Site-ul este în dezvoltare, pentru a accesa varianta veche accesați adresa:

vechi.servicii-web-alex.com

Detalii contact adăugare advertoriale din categoria topicul existent

info@servicii-web-alex.com