I januari, om bara några månader, kommer DORA-förordningen att börja gälla för finanssektorn. Den innebär högre säkerhetskrav för hela den finansiella sektorn. I det här blogginlägget kommer vi att klargöra vad DORA innebär samt förklara mer kring två viktiga områden som DORA påtalar – nätverkssegmentering och säkra uppdateringar.
Finanssektorn utsatt för många cyberattacker – behöver höja säkerheten
Internationella Valutafonden, IMF, skrev i våras i en rapport att finanssektorn är “unikt exponerad mot cyberrisker”. Anledningen är att man hanterar stora mängder känsliga data och transaktioner – något som ofta är mål för cyberkriminella. Enligt rapporten är finansiella företag måltavla för närmare en femtedel av alla attacker, och banker är allra mest utsatta.
För hela samhällets skull behöver alla aktörer inom finanssektorn därför se till att höja sin cybersäkerhet, detta eftersom incidenter i den finansiella sektorn kan hota den finansiella och ekonomiska stabiliteten. Det stora antalet attacker gör att det inte är tillräckligt med att bara försöka skydda sig genom att förhindra att en attack får några konsekvenser. I stället blir säkerhets-resiliensen avgörande, dvs förmågan att vara förberedd på en händelse, att veta vad och vart man ska rapportera en incident och att sedan få igång sina tjänster igen efter att en händelse inträffat. Även att dokumentera dessa rutiner och processer är viktigt. Allt detta är också anledningen till att den nya DORA-förordningen börjar gälla inom kort.
Vad är DORA och för vilka gäller det nya regelverket kring säkerhet?
DORA (Digital Operational Resilience Act) är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen som börjar gälla i januari 2025.
Syftet bakom de nya reglerna är att det har funnits ett ökat behov av reglering och tillsyn till följd av växande sårbarheter för it-risker och även ett behov av mer enhetliga regelverk.
Förordningen omfattar den finansiella sektorn och totalt är det fler än 22 000 företag verksamma inom EU som påverkas. Det är inte bara de traditionella aktörerna som banker, värdepappersföretag och försäkringsbolag som påverkas utan också leverantörer av kryptotillgångar, leverantörer av datarapportering och leverantörer av molntjänster. De senare är aktörer som inte är lika vana att hantera omfattande regleringar.
DORA ställer krav på säkerheten i dessa företags nätverks- och informationssystem, d.v.s. elektroniska kommunikationsnät som medger överföring av signaler på något sätt, oberoende av vilken typ av information som överförs. Sådan säkerhet säkerställs i regel genom användning av s.k. IKT-tjänster, d.v.s. digitala tjänster som fortlöpande tillhandahålls genom Informations- och kommunikationsteknik-system. Med IKT-tjänster bör följaktligen förstås samtliga företagets digitala tjänster och processer, inbegripet molntjänster.
Vad innebär DORA för finansmarknadens säkerhetsarbete?
Dora-förordningen innebär högre krav på de berörda organisationerna inom fyra olika områden:
1. Riskhantering
DORA ställer krav på motståndskraftiga IT-system och verktyg, tillsammans med förmågan att identifiera, klassificera och dokumentera åtgärder för skydd, upptäckt och förebyggande insatser. Alla aktörer måste kunna svara upp mot attacker, återfå kontrollen, dra lärdomar och utvecklas – med kommunikationsplaner på plats.
2. Incidentrapportering
DORA ställer krav på att de berörda organisationerna måste granska sina befintliga processer för incidentrapportering. De måste enligt ramverket övervaka, rapportera och logga alla incidenter. De incidenter som klassas som allvarliga måste dessutom rapporteras inom fyra timmar efter att de detekterats vilket är betydligt hårdare än kraven i tex NIS 2 förordningen.
3. Säkerhetstester
DORA ställer krav på att de berörda organisationerna tillämpar olika typer av säkerhetstester, till exempel penetrationstester, såbarhetsskanningar, gapanalyser, fysiska säkerhetsgranskningar och att man vid behov anlitar extern certifierad expertis när det gäller säkerhetstester.
4. Tredjeparts riskhantering
DORA ställer nya högre krav på finansiella aktörers avtal med sina leverantörer vilket bland annat omfattar översyn och kontroll av tredjepartsrisker inom IKT. De måste också ha strategier för att hantera de risker som dessa leverantörer kan introducera och när behov uppstår måste man kunna byta leverantör.
För att dessa områden ska fungera korrekt och i samspel med varandra måste en bra styrmodell för cybersäkerheten finnas på plats. Den måste säkerställa roller och ansvar, den digitala operativa strategin och policyerna samt övervaka och granska riskhanteringen.
DORA innebär sanktioner för de som inte lever upp till säkerhetskraven
De som inte lever upp till kraven i DORA kan drabbas av sanktioner i GDPR-klass med böter som kan uppgå till tio procent av omsättningen eller tre gånger den vinst som den finansiella aktören har gjort till följd av regelöverträdelsen. Finansinspektionen kommer att vara den svenska behöriga tillsynsmyndigheten enligt DORA.
DORA gäller över NIS 2 för finanssektorn
Nu implementeras EU-direktivet NIS2 och innefattar då fler samhällssektorer än tidigare med hårdare krav på riskhantering och rapportering.
NIS2-direktivets regleringar överlappar i många fall DORAs. För finanssektorn är det dock Dora med sina hårdare regler som gäller över NIS2.
Nätverkssegmentering en viktig del i arbetet med säkerhet enligt DORA
Enligt artikel 9 i DORA ska finansiella aktörer utforma infrastrukturen för nätanslutning på ett sätt som gör att den omedelbart kan avskiljas eller segmenteras i syfte att minimera och förhindra spridning, särskilt för sammanlänkade finansiella processer – dvs man behöver arbeta med nätverkssegmentering.
Först behöver man dock definiera vilken som är verksamhetens mest kritiska information. För det är varken praktiskt eller ekonomiskt försvarbart att skydda all information på samma sätt. För att skydda det som valts ut som kritisk information och kritiska system måste sedan nätverkssegmentering tillämpas, genom en kombination av fysisk och logisk separation.
Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där var och en är ett nätverkssegment och man använder sig av en kombination av fysisk och logisk separation. Fysisk separation innebär att säkerhetszoner definieras och fördelas på olika fysiska hårdvaror. Logisk separation innebär att olika zoner eller nätverkstrafik tillåts samexistera på samma hårdvara eller i samma nätverkskabel vilket gör den mindre tydlig och därmed medför lägre förtroende för separationsmekanismens styrka än vid fysisk separation.
Nätverkssegmentering behövs då det begränsar skadan vid en cyberattack. Utan segmentering finns det risk att känslig information kan läcka eller manipuleras samt att malware och ransomware sprider sig okontrollerat och snabbt. Attackerare behöver inte gå direkt mot målet, till exempel bankkontoinformationen. Istället nästlar de sig in via svaga punkter långt ute i arkitekturen, via mejl eller kundtjänst, som ett sätt att nå målet. Statsunderstödda attackerare har dessutom tålamod, är beredda att jobba långsiktigt, gör allt i små steg och ligger tyvärr ofta steget före. Den krassa verkligheten är att verksamhetens styr- och kontrollsystem kan vara angripna utan att det märkts. Än.
Läs mer om nätverkssegmentering och se vår guide med fem steg som man kan ha som utgångspunkt när man börjar planera sitt segmenteringsprojekt.
Uppdaterade system viktigt enligt DORA – så gör du en säker uppdatering
Enligt artikel 16 i DORA ska de berörda organisationerna minimera effekterna av IKT-risk genom användningen av sunda, motståndskraftiga och uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som lämpar sig för att stödja utförandet av verksamheten och tillhandahållandet av tjänster och på ett tillräckligt sätt skydda konfidentialitet, tillgänglighet, integritet eller äkthet hos datan i nätverks- och informationssystemen.
Uppdaterade system är en viktig del i att kunna upprätthålla säkerheten för den digitala information som finns i systemen. Uppdateringen kan dock innebära en säkerhetsrisk och för att undvika det samt för att upprätthålla integriteten och tillgängligheten i systemen och kunna göra säkra uppdateringar, krävs speciella lösningar.
Ett sätt att göra en säker uppdatering är att använda en datadiod som säkerställer enkelriktad kommunikation. Datadioden kopplas så att information kan importeras till systemet men eftersom ingen trafik kan överföras i motsatt riktning omöjliggörs informationsläckage.
Läs mer om säkra uppdateringar.
Behöver du mer hjälp med dina säkerhetsutmaningar är du välkommen att kontakta oss!
