Článek přečtěte do 4 min.

Zákon EU o digitální operační odolnosti (DORA) je regulační rámec zaměřený na posílení digitální operační odolnosti finančních institucí v Evropské unii.

Jeho hlavním cílem je zajistit, aby finanční subjekty dokázaly odolat všem typům narušení a hrozeb souvisejících s informačními a komunikačními technologiemi (IKT), jako jsou kybernetické útoky, reagovat na ně a zotavit se z nich. Nelze jej zaměňovat s metrikami úspěšnosti DevOps od společnosti Google – známými také jako DORA.

Rámec EU DORA stanoví jednotný soubor požadavků na řízení rizik v oblasti informačních a komunikačních technologií (IKT) v celém finančním sektoru a podporuje harmonizovaný přístup k digitální odolnosti.

Klíčové body DORA:

  1. Řízení rizik v oblasti IKT: Finanční instituce musí zavést komplexní rámce pro řízení rizik, aby identifikovaly, posoudily a zmírnily rizika související s IKT.
  2. Hlášení incidentů: Subjekty musí hlásit závažné incidenty související s IKT příslušným orgánům v krátkých lhůtách.
  3. Testování a dohled: Pro zajištění provozní odolnosti je nutné pravidelné testování systémů IKT, včetně penetračního testování. Kromě toho budou podléhat dohledu kritickí poskytovatelé služeb IKT třetích stran.
  4. Řízení rizik třetích stran: Instituce musí pečlivě řídit a monitorovat rizika spojená s poskytovateli IKT služeb třetích stran, včetně cloudových služeb.
  5. Sdílení informací: DORA vybízí finanční subjekty ke sdílení informací o kybernetických hrozbách a zranitelnostech s cílem zlepšit kolektivní odolnost.

Pět důležitých úkolů pro dodržování předpisů

Pokud jste CISO nebo zastáváte pozici související s dodržováním předpisů v oblasti IT ve finanční instituci v EU, co přesně musíte udělat, abyste zajistili, že vaše organizace splňuje požadavky DORA, zejména pokud jde o vaši investici do Javy?

Pokud jste tak ještě neučinili, splňte těchto pět klíčových úkolů hned teď.

1. Vypracovat a implementovat komplexní rámec pro řízení rizik v oblasti IKT

  • DORA Kapitola II: Řízení rizik v oblasti IKT – články 6(1-3), 8(1)

Kapitola II nařizuje silný rámec pro řízení rizik v oblasti informačních a komunikačních technologií (ICT). Důležitou součástí je uvědomit si, že používání nepodporovaných distribucí OpenJDK může finanční instituce vystavit významným rizikům, jako jsou neopravené bezpečnostní zranitelnosti a problémy s výkonem. Spolupracujte s dodavatelem Javy, který poskytuje plně podporovanou a bezpečnou platformu Java a zajistí, že aplikace Java zůstanou odolné a splňují požadavky na řízení rizik v oblasti informačních a komunikačních technologií.

2. Zavést mechanismus hlášení incidentů

  • Kapitola III zákona DORA: Hlášení incidentů souvisejících s IKT – články 17(1), 18(1)

Kapitola III se zaměřuje na včasné hlášení incidentů. Nepodporované distribuce OpenJDK nemusí obdržet kritické aktualizace nebo opravy, což vede k nehlášeným a nepovšimnutým incidentům, které mohou vést k nedodržování předpisů.

3. Provádět pravidelné a důkladné testování systémů informačních a komunikačních technologií (ICT)

  • DORA Kapitola IV: Testování digitální operační odolnosti – články 24(1), 24(2), 25(1)

Kapitola IV vyžaduje pravidelné testování systémů informačních a komunikačních technologií (ICT). Používání nepodporovaných distribucí OpenJDK může tyto testy ohrozit, protože zastaralé nebo zranitelné verze nemusí přesně odrážet produkční prostředí, což vede k falešným bezpečnostním předpokladům. Zajistěte, aby váš dodavatel Javy poskytoval aktuální a testované distribuce Javy, které umožňují spolehlivá a přesná testovací prostředí pro finanční instituce.

4. Zlepšit postupy řízení rizik třetích stran

  • Kapitola V zákona DORA: Řízení rizik třetích stran v oblasti informačních a komunikačních technologií – článek 28(2)

Kapitola V se zabývá riziky IKT třetích stran. Spoléhání se na nepodporované distribuce OpenJDK od třetích stran zvyšuje riziko narušení bezpečnosti a provozních selhání. Spoluprácí s dodavatelem, který poskytuje komerční podporu pro vaše prostředí Java, můžete zajistit, aby aplikace a služby třetích stran založené na Javě splňovaly nejvyšší standardy zabezpečení a výkonu, čímž se sníží rizika třetích stran.

5. Usnadnit sdílení informací o kybernetických hrozbách

  • Kapitola VI zákona DORA: Ujednání o sdílení informací – článek 45(1)

Kapitola VI doporučuje sdílení informací o kybernetických hrozbách. Nepodporované distribuce OpenJDK mohou postrádat kritické aktualizace a záplaty, což z nich činí slabý článek v řetězci sdílení informací.

Důsledky použití nepodporovaného OpenJDK

  • Bezpečnostní rizika: Nepodporované distribuce nedostávají včasné bezpečnostní aktualizace, což systémy činí zranitelnými vůči kybernetickým útokům a narušením bezpečnosti.
  • Problémy s dodržováním předpisů: Nedostatečná podpora může vést k nedodržování regulačních požadavků, jako je DORA, což může mít za následek pokuty a poškození pověsti.
  • Provozní nestabilita: Nepodporované distribuce nemusí obdržet vylepšení výkonu ani opravy kritických chyb, což vede k výpadkům systému a snížení výkonu.
  • Nepřesné testování: Zastaralá prostředí Java mohou způsobit, že testovací prostředí budou méně přesná, což vede k tomu, že v testech odolnosti zranitelnosti nebudou odhaleny.

Řešením těchto úkolů mohou finanční organizace investující do Javy bezpečně naplňovat požadavky DORA a zároveň posilovat svou digitální provozní odolnost. Finanční instituce používající Javu mohou dosáhnout a zůstat v souladu s DORA tím, že poskytnou bezpečnou, podporovanou a stabilní platformu Java, čímž zmírní rizika spojená s nepodporovanými distribucemi OpenJDK.

Používáním distribucí Java podporovaných společností Azul si organizace mohou být vědomy nejnovějších zranitelností a sdílet relevantní informace o hrozbách s dalšími subjekty, aby se zvýšila kolektivní kybernetická bezpečnost. Běhové prostředí Java od Azulu se dodávají s komplexní podporou a monitorováním a jsou vyladěna pro detekci zranitelností a nefunkčního kódu v produkčním prostředí, což organizacím pomáhá rychle a přesně detekovat, hlásit a řešit incidenty a zajišťuje soulad s předpisy DORA.

Všech 10 největších světových obchodních společností a šest z 10 největších amerických finančních firem  přešlo na Azul. Používání stabilní a podporované platformy Java je pro splnění požadavků DORA zásadní. S ohledem na to vám představujeme několik pokynů, které vám pomohou začít na cestě k dosažení souladu s DORA. 

Azul je jediná distribuce OpenJDK, která svým zákazníkům poskytuje čtvrtletní kritické aktualizace zaměřené pouze na bezpečnostní opravy. Azul se skvěle hodí pro požadavky DORA a nabízí aktualizace a záplaty pro řešení zranitelností konzistentně rychleji než jakákoli alternativní distribuce. Azul tyto aktualizace zpřístupňuje v souladu s přísnou smlouvou SLA, která je zásadní pro ochranu finančních systémů v rámci přísných kybernetických bezpečnostních požadavků DORA. 

Závěr  

Společnosti, které se chtějí dozvědět více o tom, jak Azul podporuje dodržování předpisů DORA pro své aplikace v Javě a infrastrukturu založenou na Javě, by si měly přečíst nejčastější dotazy k DORA na Azulu nebo se poradit s odborníkem na aplikace a infrastrukturu v Javě ve společnosti Azul. Po celém světě existují desítky předpisů a Aul je v první linii dodržování předpisů, aby chránil své zákazníky.

Zdroj: Azul