Le organizzazioni del settore dei servizi finanziari dell'Unione Europea (UE) hanno meno di un anno per dimostrare la conformità al Digital Operational Resilience Act (DORA).
Che cos'è il DORA, si applica alla vostra organizzazione e in che modo la conformità al DORA si interseca con uno dei principali problemi di cybersecurity di oggi: il rilevamento e la risposta alle minacce all'identità (ITDR)? Gli esperti di resilienza digitale di Semperis rispondono a queste e altre domande in questa panoramica completa sulla conformità DORA.
Maggiori informazioni sull'ITDR
Che cos'è il DORA?
Il DORA è un regolamento dell'UE che entrerà in vigore all'inizio del 2025. Unificando e sostituendo linee guida come l'Operational Resilience Act, il DORA è di ampia portata e più prescrittivo e applicabile rispetto alle linee guida precedenti.
Questo nuovo quadro richiede che le istituzioni finanziarie, i servizi e qualsiasi altra entità finanziaria dimostrino la loro capacità di proteggere e recuperare i servizi critici in caso di disturbi operativi. La conformità al DORA si concentra maggiormente sugli eventi di sicurezza informatica e sui problemi IT, imponendo alle aziende di dimostrare le proprie capacità di risposta agli incidenti informatici attraverso una migliore visibilità, pianificazione e test rigorosi.
Le richieste di conformità al DORA si applicano a voi?
Siete un'entità finanziaria o operate nel settore dei servizi finanziari nell'UE o con l'UE? Oppure siete un fornitore di tecnologie dell'informazione e della comunicazione (ICT) che supporta un'organizzazione di questo tipo? In tal caso, dovete prepararvi a rispettare i requisiti DORA.
Il DORA si applica a più di 22.000 entità finanziarie e fornitori di servizi ICT che operano all'interno dell'UE. Il regolamento si applica anche all'infrastruttura ICT che supporta tali organizzazioni al di fuori dell'UE1.
Se la vostra organizzazione soddisfa queste condizioni e rientra in una delle seguenti categorie, i requisiti di conformità DORA si applicheranno a voi:
- Istituti di credito
- Istituti di pagamento
- Istituti di moneta elettronica
- Imprese di investimento
- Fornitori di servizi di cripto-asset, emittenti di cripto-asset, emittenti di token con riferimento ad asset e emittenti di token con riferimento ad asset significativi.
- Depositi centrali di titoli
- Controparti centrali
- Sedi di negoziazione
- Depositi commerciali
- Gestori di fondi di investimento alternativi
- Società di gestione
- Fornitori di servizi di reporting dei dati
- Imprese di assicurazione e riassicurazione
- Intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi ausiliari
- Enti di previdenza professionale
- Agenzie di rating del credito
- Revisori legali e imprese di revisione contabile
- Amministratori di benchmark critici
- Fornitori di servizi di crowdfunding
- Depositi di cartolarizzazione
- Fornitori terzi di servizi ICT2
Anche se siete un istituto finanziario che opera al di fuori dell'UE, i requisiti DORA possono essere applicati anche a voi. Molti Paesi non appartenenti all'UE stanno emanando una legislazione simile alla normativa DORA. È il momento di valutare la vostra conformità al DORA, ovunque si trovi la vostra organizzazione.
Perché DORA? Perché ora?
I progressi della tecnologia e l'impegno con partner tecnologici di terze e quarte parti rendono la mitigazione del rischio, le misure preventive e la visibilità complesse e impegnative per le entità finanziarie.
La tecnologia è un'arma a doppio taglio, sia come minaccia che come soluzione. Oltre a confrontarsi con le nuove tecnologie all'interno del proprio ambiente, le organizzazioni del settore dei servizi finanziari devono anche affrontare l'evoluzione delle tecnologie dannose.
Una tecnologia sempre più sofisticata permette di realizzare deepfakes alimentati dall'intelligenza artificiale e attacchi su larga scala. Al World Economic Forum 2024 di Davos, Mary Erdoes (Head of Asset and Wealth Management di JP Morgan) ha dichiarato che la banca subisce 45 miliardi di tentativi di hacking al giorno3. Non c'è da stupirsi che le considerazioni su cyber e ICT siano al centro dell'attenzione di DORA.
"La proliferazione delle nuove tecnologie espone le banche a rischi che non avevano mai dovuto affrontare prima", osserva Deloitte. "L'open banking e l'aumento delle collaborazioni con partner tecnologici possono esporre l'infrastruttura delle banche a nuove vulnerabilità e attacchi informatici. Anche i rischi di quarta parte stanno diventando una minaccia sempre più grave, dato che le banche si impegnano in un maggior numero di partnership con fornitori di servizi che hanno i propri venditori "4.
Le sfide della conformità al DORA
Ormai ogni team tecnologico - che si occupi di operazioni IT, infrastrutture, sicurezza o identità - ha una qualche forma di piano di disaster recovery: processi da seguire in caso di attacco o evento informatico. Questo è particolarmente vero per chi opera nei servizi finanziari. Tuttavia, le complessità del nuovo mandato della DORA, in particolare per quanto riguarda la resilienza informatica e l'ICT, sono sismiche.
Questa normativa metterà indubbiamente in luce lacune e rischi nei piani e nei processi esistenti. Il DORA metterà a dura prova la preparazione anche delle organizzazioni di servizi finanziari più sofisticate. Inoltre, le entità finanziarie non devono considerare la conformità al DORA solo per i sistemi tecnologici di loro proprietà, ma anche per tutti i sistemi e i servizi che acquistano da fornitori terzi.
Le conseguenze del mancato rispetto dei requisiti di conformità DORA
Le aziende che risultano non conformi al DORA saranno soggette a multe significative e prolungate. Analogamente alla non conformità al GDPR, non è prevista una sanzione fissa. Le multe saranno invece proporzionate.
- Un'organizzazione ritenuta non conforme dall'organo di vigilanza competente può essere soggetta al pagamento di una sanzione periodica pari all'1% del fatturato globale medio giornaliero dell'anno precedente, per un massimo di 6 mesi, fino al raggiungimento della conformità.
- L'organo di vigilanza può anche emettere ordini di cessazione, avvisi di cessazione, misure pecuniarie aggiuntive e avvisi pubblici.5
Tuttavia, non sono solo le multe che le organizzazioni dovrebbero voler evitare. La non conformità comporta anche un notevole rischio di reputazione, soprattutto se legata a un'interruzione o a un incidente mal gestito. La perdita di fiducia e la cattiva reputazione nel settore possono essere ancora più costose delle multe. Per le organizzazioni di piccole e medie dimensioni, questi problemi possono causare danni irrecuperabili all'azienda.
Da dove cominciare: Conformità DORA e ITDR
In che modo la conformità al DORA si interseca con l'ITDR, una necessità crescente dato che i cyberattaccanti prendono sempre più di mira i sistemi di identità nel tentativo di ottenere l'accesso e il controllo delle risorse nelle organizzazioni prese di mira?
Si considerino i seguenti tre paragrafi dell'articolo 5 della DORA, in cui si parla del quadro di gestione del rischio ICT.
- Le entità finanziarie devono disporre di un quadro di gestione del rischio TIC solido, completo e ben documentato, che consenta loro di affrontare il rischio TIC in modo rapido, efficiente e completo e di garantire un elevato livello di resilienza operativa digitale che corrisponda alle loro esigenze, dimensioni e complessità aziendali.
- Il quadro di gestione del rischio TIC di cui al paragrafo 1 comprende strategie, politiche, procedure, protocolli e strumenti TIC necessari per proteggere debitamente ed efficacemente tutti i componenti fisici e le infrastrutture pertinenti, compresi i computer e i server, nonché tutti i locali, i centri dati e le aree sensibili designate, al fine di garantire che tutti questi elementi fisici siano adeguatamente protetti dai rischi, compresi i danni e l'accesso o l'utilizzo non autorizzato.
- Le entità finanziarie devono ridurre al minimo l'impatto del rischio TIC, adottando strategie, politiche, procedure, protocolli e strumenti adeguati, come stabilito nel quadro di gestione del rischio TIC. Devono fornire informazioni complete e aggiornate sui rischi TIC come richiesto dalle autoritàcompetenti6.
L'identità è ampiamente riconosciuta come il nuovo perimetro di sicurezza. È anche la chiave della resilienza operativa. Nel caso di Active Directory, ad esempio, la resilienza informatica (la capacità di mantenere in funzione AD e di ripristinarlo rapidamente se necessario) è alla base della resilienza operativa. Se AD è fuori uso, lo sono anche le operazioni.
Quando parliamo di rischio e di gestione del rischio nell'ambito del DORA, dobbiamo includere il rischio per l'infrastruttura di identità. Quindi, da dove si comincia?
1. Identificare i sistemi e i servizi IT critici
Innanzitutto, esaminate il vostro ambiente e identificate quali servizi devono rimanere disponibili per evitare impatti negativi ai vostri clienti. Ad esempio, una banca deve mantenere l'accessibilità e la funzionalità delle applicazioni bancarie, tra cui il versamento di un assegno, lo scambio internazionale di denaro o qualsiasi sistema o servizio che si colleghi a una stanza di compensazione.
Quindi, determinate quali sistemi, servizi e tecnologie della vostra organizzazione supportano questi servizi critici. Mappare tutte le dipendenze associate.
2. Piano di protezione e recupero
Una volta mappate le dipendenze in modo completo per ogni servizio e scenario, il passo successivo per la conformità DORA consiste nel garantire un monitoraggio efficace di tali servizi e dipendenze. È necessario un processo di ripristino testabile.
Dopo aver trascorso molto tempo a parlare con le organizzazioni che stanno affrontando il processo di conformità DORA per Active Directory, uno dei principali risultati è che la normativa richiede regolari "esercitazioni dal vivo" per i test di ripristino. Anche se molti team testano alcuni dei loro sistemi critici con cadenza semiregolare, le condizioni di test potrebbero non essere del tutto realistiche. A volte si tratta di test parziali, oppure possono testare i servizi indipendentemente dai sistemi dipendenti.
Il DORA richiede un livello di prove di esercitazione dal vivo che la maggior parte dei team non è abituata a fare.
3. Mettete la testa su DORA e poi mettete le mani sulla sicurezza AD
Active Directory è un sistema critico in quasi tutte le organizzazioni. AD viene utilizzato per:
- Memorizzare le informazioni dell'utente
- Gestire l'accesso e l'autorizzazione degli utenti
- Assegnare le risorse ai servizi, agli asset e ai dati
Active Directory funge anche da motore di autenticazione per gli utenti. Ciò significa che non solo è saldamente nel campo di applicazione del DORA per quasi il 100% delle organizzazioni, ma AD è anche un importante obiettivo di infiltrazione e un punto di ingresso perfetto per i malintenzionati, in quanto funge da porta di accesso agli utenti, ai dati e all'organizzazione.
Conformità DORA e Zero Trust
Zero Trust si riferisce a un quadro di sicurezza che considera ogni potenziale utente come non affidabile fino a prova contraria. Ciò significa che tutti gli utenti devono essere verificati prima di poter accedere a parti privilegiate della rete.
Questa gestione degli accessi privilegiati è un pilastro della normativa DORA. Tuttavia, una strategia Zero Trust efficace dipende da una gestione efficace delle deleghe in Active Directory. L'insinuarsi di configurazioni, il controllo lassista degli accessi tra vari utenti e gruppi e il semplice errore umano possono fornire alle minacce informatiche un mezzo per ottenere o aumentare i privilegi in AD. E una compromissione dell'identità riuscita ostacola anche i vostri sforzi di Zero Trust. Come diciamo spesso, "la maggior parte degli aggressori non entra... entra".
Conformità al DORA: Mal di testa o opportunità?
La conformità a qualsiasi nuova normativa è scoraggiante e può essere frustrante a causa delle complessità e delle modifiche da apportare. Molti team che affrontano questa sfida vedono il DORA come un grattacapo. Ma la nuova normativa porta con sé anche delle opportunità, soprattutto per quanto riguarda la sicurezza e la gestione dell'AD.
Il DORA sta lavorando per migliorare la resilienza operativa delle organizzazioni attraverso una regolamentazione più severa. Avete dubbi su:
- Bloat di Active Directory o "deriva della configurazione".
- Problemi di manutenzione in corso o errori umani
- Un processo di recupero AD traballante
Se è così, è il momento di affrontare questi problemi. Poiché il DORA sarà parte della legge e i rischi di non conformità includono multe elevate e prolungate (1% del fatturato globale giornaliero fino a quando la conformità non sarà raggiunta) e danni alla reputazione, la conformità alla normativa deve essere una priorità strategica per l'azienda. L'allocazione delle risorse e del budget per sostenere questo progetto sarà più convincente per l'approvazione a livello di consiglio di amministrazione.
Il processo potrebbe essere a volte faticoso. Ma questa è l'occasione per fare ordine e impostare il livello di monitoraggio, test e governance necessario per mantenere al meglio l'AD in futuro.
Come semplificare il percorso di conformità alla DORA
Semperis aiuta le organizzazioni a controllare la sicurezza di Active Directory. Con la piattaforma di resilienza delle identità di Semperis, la vostra organizzazione può:
- Valutare la superficie di attacco AD
- Individuare le vulnerabilità dell'AD ibrido
- Monitorare le modifiche ad Active Directory e Entra ID
- Individuare le minacce avanzate progettate per eludere gli strumenti di monitoraggio tradizionali.
- Automatizzare il rollback delle modifiche sospette
- Creare backup e piani di ripristino AD sicuri ed efficienti.
- Il recupero dell'AD avviene in media il 90% più velocemente rispetto al recupero manuale.
Esplora le soluzioni ITDR
DORA è il futuro
Molti organismi consultivi hanno suggerito che le organizzazioni che non rientrano nel campo di applicazione del DORA dovrebbero comunque prendere in considerazione la possibilità di allinearsi alle pratiche del regolamento, ove possibile. Una normativa simile potrebbe arrivare per altri settori, oppure tali aziende potrebbero diventare bersaglio una volta che il DORA avrà migliorato la sofisticazione e le capacità informatiche delle entità finanziarie. In ogni caso, la piena visibilità, la mappatura completa, la pianificazione dettagliata del ripristino e la preparazione ai test sono chiaramente il futuro della resilienza informatica e operativa per tutte le organizzazioni.
Altri articoli della nostra serie sulla conformità DORA
Risorse
- https://www.pwc.co.uk/industries/financial-services/insights/dora-and-its-impact-on-uk-financial-entities-and-ict-service-providers.html
- https://www.digital-operational-resilience-act.com/DORA_Article_2_(Proposal).html
- https://fintechmagazine.com/articles/capgemini-the-challenges-and-opportunities-dora-presents
- https://www2.deloitte.com/xe/en/insights/industry/financial-services/financial-services-industry-outlooks/banking-industry-outlook.html
- https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA
- https://www.digital-operational-resilience-act.com/DORA_Article_5_(Proposal).html