17. jaanuaril saabus oluline tähtaeg: rakendus Digital Operational Resilience Act (DORA) ning sellesse puutuvad asutused peavad hakkama seda järgima. Mis nüüd saab ja mida see uus mõiste tegevuskerksus meie ellu toob?
Praeguses digimaailmas on finantssektor väga palju sõltuv just infotehnoloogiast (IT). See tähendab, et küberrünnakud või muud IT-häired võivad halvemal juhul halvata kogu finantssüsteemi, mõjutades nii ettevõtteid kui ka lõpptarbijaid. Sellepärast otsustatigi ühtlustada üle Euroopa reeglid ja käitumisjuhised, et tagada finantssektori digitaalne tegevuskerksus, mis aitab neil kriise üle elada ja kiiresti taastuda.
Mis on DORA?
Digital Operational Resilience Act (DORA) on Euroopa Liidu määrus, mis jõustus 16. jaanuaril 2023 ja mida hakati rakendama alates 17. jaanuarist 2025.
Määruse eesmärk on tugevdada finantssektori IT-turvalisust ja tagada, et Euroopa finantssektor suudab säilitada oma tegevuskerksuse ka tõsiste häirete ja rünnakute korral.
DORA katab päris laia valikut finantssektori ettevõtteid, alates pankadest ja kindlustusandjatest kuni investeerimisühinguteni. Lisaks laieneb see ka IT-ettevõtetele, kes osutavad teenuseid finantssektorile.
See pole ainult pankade teema, määrus rakendub laiemale ettevõtete ringile nagu krediidiasutused, makseasutused, kauplemiskohad, fintech ettevõtted, kindlustusandjad, kindlustuse müüjad jne.
Mida DORA nõuab?
DORA seab finantssektori ettevõtetele mitmeid kohustusi, sealhulgas järgmisi:
- IKT riskijuhtimine. Ettevõtted peavad looma ja säilitama oma kerksed IKT-süsteemid, mis vähendavad riske.
- IKT intsidentidest teavitamine. Ettevõtted peavad looma süsteemid ja protsessid, et tuvastada ja raporteerida IKT-intsidente. Juhtkond peab olema koolitatud ja juhtkond ka vastutab, kui midagi juhtub.
- Digitaalne tegevuskerksuse testimine. Firmad peavad regulaarselt testima oma valmisolekut IKT-intsidentidele reageerimiseks ja seda dokumenteerima.
- Kolmanda poole osutatavate IKT-teenuste turvalisuse tagamine. Ettevõtted peavad kehtestama strateegiad, kuidas juhtida kolmanda poole IKT-teenustega kaasnevaid riske.
Kohustused juhtkonnale puudutavad näiteks ka riskianalüüsi ja talitluspidevuse kava, samuti kohustust käia küberturbekoolitustel. Kriise juhtub ikka, aga kuidas need võimalikult kergelt üle elada? Ennetamisele lisaks tuleb neid nüüd paremini avastada ja kiiresti kriisist välja tulla.
Juhtimine käib infoturbe juhtimise reeglite järgi: tuleb valida endale sobiv raamistik ja seada infoturbe eesmärgid. Oluline see, et infoturbe juhtimise raamistikku tuleb ka tehnilisel tasemel testida, et kerksus nii-öelda proovile panna. See käib alustades kriisi harjutamisest paberil kuni tõesti reaalse nii-öelda juhtme seinast välja tõmbamiseni. Kõik sellised testid tuleb dokumenteerida.
Kuidas DORA mõjutab Eesti ettevõtteid?
DORA mõjutab tegelikult päris kõiki Eesti finantssektori ettevõtteid, olenemata nende suurusest ja enamgi veel. Ka need IT-firmad, kes pakuvad finantsasutustele teenuseid, peavad seda järgima.
See tähendab, et ettevõtted peavad investeerima tõsiselt oma IT-turvalisusesse ja tagama, et vastavad DORA nõuetele.
Eesti finantsettevõtetes peavad olema juurutatud kindlad IT-juhtimise tehnoloogiad ja protsessid: äriprotsesside kaardistus, varade haldus, IT ja infoturbe juhtimine jne.
Teine oluline asi, millega tuleb tegeleda, on seire – mitte ainult turvaseire, vaid võrgu, serverite ja muu taristu seire. Riskid võivad tulla mõlemas, sest kui võrguseade katki läheb, siis sellel on ka oluline mõju ettevõttele.
Turvatud peab mõistagi olema ka identiteedihaldus: kontodele ligipääs, süsteemikontod eraldi tavakontodest, eraldi teenuste kontod, kõigile neile peavad olema rakendatud vajalikud turva-, parooli- ja muud poliitikad, vähima privileegi põhimõte, mitmikautentimine jne.
Identiteedihaldusel tasub kindlasti mõelda mingite automaatsete tehniliste lahenduste peale, et seda hallata, Exceli tabel võib olla liiga tülikas. ITIL-is on enamasti parimaid praktikaid kõige selle kohta kirjeldatud.
Mis on tavaliselt Eesti firmas kehvemas seisus?
Senisele kogemusele tuginedes võib öelda, et tavaliselt on keskmises eesti ettevõttes kehvas seisus muudatuste ja konfiguratsioonihaldus ehk sellest, mida süsteemis muudetakse, peab alati jääma jälg. See võib olla kombinatsioon piletite või helpdeski ülesannete süsteemist ja konfiguratsioonihalduse tarkvarast, mis teeb päringu iga päev või iga tund, mis on vahepeal muutunud.
Oluline on ka teenusest väljumise strateegia, mida ettevõtted tihti ei tee. Kui näiteks on monopoolses seisundis teenusepakkuja, siis mis saab, kui teenusepakkujale ei taha enam maksta või see ei taha ise enam teenust pakkuda? DORA nõuab, et see tuleb enne läbi analüüsida, kuidas taolistest teenustest suuremate kahjudeta väljuda.
Üldiselt aga on Eestis suurtel finantsasutustel enamasti kõik suhteliselt hästi, pigem võivad natuke rohkem järeleaitamist vajada mõned fintechi ettevõtted ja kindlustusseltsid. Senise kogemuse põhjal võib neil kohendamist vajada turvaseire ning turvanõrkuste haldus.
Mida teha, kui küberkriis on käes?
Küberintsidentide menetlus on DORA-s selgelt olemas ning see aitabki digitaalset kerksust tagada.
Esiteks tuleb avastada kõik anomaaliad võimalikult kiiresti, eriti küberründed ja küberintsidendid. Selleks peavad olemas olema vajalikud tehnoloogiad ja teenused. Kehtib intsidentide juurdluse ja teavitamise kohustus: peab suutma tuvastada ja neid juhtumeid on vaja ka uurida, seda juurdlust dokumenteerida, küberkriminalistika analüüsi teha, siis raporteerida kiirelt.
Kiirelt tähendab siin kas viivitamata tööpäeva jooksul või kui midagi juhtus vähem kui kaks tundi enne tööpäeva lõppu, siis nelja tunni jooksul alates järgmise tööpäeva algusest. raporteerida tuleb järelvalveasutustele, milleks on Eestis finantsinspektsioon ja RIA (Riigi Infosüsteemi Amet).
Oluline on see, et küberkriminalistika läbiviimisele tasub juba varem pikalt ette mõelda, sest tegemist on spetsiifilise tegevusega ja paljud seda oma maja sees pole võimelised tegema. Teenusena on see aga olemas.
Suurematel asutustel tekkis DORA-ga ka kohustus hoida varuks koht, kuhu saab oma äri kolida, kui midagi juhtub: kas pilveteenus, varuandmekeskus või töökoht, kuhu oma ressursid kiiresti ümber tõsta.
Kriisikommunikatsiooni reguleeritakse DORA-s mitmes kohas eraldi. Peab välja töötama kriisikommunikatsiooni plaani, kus kirjas, kes suhtleb, mida avaldab jne. Seegi on piisavalt keeruline, et hea oleks ette harjutada, kuidas kõik toimib.
Kuidas OIXIO saab aidata?
Meil on olemas lai valik teenuseid, mis aitavad finantssektori ettevõtetel DORA nõuetele vastata.
Nende teenuste hulka kuuluvad:
- riskianalüüs ja -hindamine
- IKT-riskijuhtimise raamistiku loomine
- IKT-intsidentide tuvastamine ja nendest teavitamine
- digitaalse tegevuskerksuse testimine
- kolmanda poole IKT-teenusepakkujate riskijuhtimine
- küberkoolitused juhtkonnale ja personalile
Kokkuvõtteks on DORA oluline samm Euroopa finantssektori digitaalse tegevuskerksuse tagamisel ja hoiab taseme kõikjal ühtlaselt kõrge. See aitab ettevõtetel paremini valmistuda küberrünnakuteks ja muudeks IT-häireteks, mis võivad tulevikus paratamatult aina tihemini esile kerkida. DORA, mis juba kehtib, on üleminekuajaga. Praegu ei rakendata veel kontrolli ja karistust, kuid tulevikus ilmselt finantsinspektsioon tõhustab vastavat järelevalvet.
OIXIO on valmis aitama Eesti ettevõtetel DORA nõuetele vastata ja tagada digitaalset tegevuskerksust. Kui on küsimusi DORA kohta, siis võta ühendust!
