Nel 2022, l’Unione Europea (UE) ha introdotto il Digital Operational Resilience Act (DORA) come quadro completo per garantire la resilienza operativa delle entità finanziarie. Si tratta di un tentativo di implementare lo spirito dei requisiti di resilienza informatica di BASILEA II. L’obiettivo è semplice: stabilire un elevato livello comune di resilienza operativa digitale in tutto il settore finanziario dell’UE.
Il presente regolamento introduce misure legali volte a garantire che le entità finanziarie possano resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce correlate alle ICT (tecnologie dell’informazione e della comunicazione).
DORA rafforza la sicurezza concentrandosi su aree specifiche e impone l’istituzione di solidi quadri di gestione dei rischi ICT, un processo di segnalazione formale per la segnalazione degli incidenti di sicurezza informatica e protocolli di test.
Introduce inoltre sanzioni per il mancato rispetto degli standard di gestione del rischio e di rendicontazione.
Chi è incaricato di farla rispettare?
Le autorità di vigilanza europee (ESA) supervisionano l’implementazione e l’applicazione del DORA. Le ESA sono composte da, tra cui l’ Autorità bancaria europea (EBA) , l’ Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l’ Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) . Entro la fine del 2024, le ESA sono tenute a terminare la fornitura dei loro prodotti di polizza ai sensi del Digital Operational Resilience Act (DORA). Le ESA hanno già iniziato a fornire bozze di Norme tecniche di regolamentazione (RTS), Norme tecniche di attuazione (ITS) e linee guida operative.
Ampliare la portata
Un cambiamento significativo con DORA è l’ambito ampliato delle entità finanziarie tenute a conformarsi. Oltre a banche e compagnie assicurative, DORA aggiunge nuove entità come società di investimento, fornitori di servizi di cripto-asset e fornitori di servizi ICT di terze parti.
Requisiti della direttiva DORA
DORA specifica i principi chiave che le organizzazioni devono affrontare. Molti di essi sono rilevanti per l’implementazione della protezione delle applicazioni. Includono:
- Governo
- Gestione del rischio operativo
- Pianificazione e test della continuità aziendale
- Mappatura delle interconnessioni e delle interdipendenze
- Gestione delle dipendenze di terze parti
- Gestione degli incidenti
- Condivisione delle informazioni e comunicazione
Cosa cercare nelle soluzioni di protezione di rete e applicazioni
Per supportare questi principi, è fondamentale rilevare e prevenire precocemente gli attacchi informatici. Ciò può essere ottenuto implementando in modo efficace soluzioni di protezione di rete e applicazioni che integrino:
- Automazione basata su intelligenza artificiale e apprendimento automatico per rilevare e rispondere in modo proattivo alle minacce informatiche e impedire che IP di origine dannosa, dispositivi non autorizzati e bot possano avere un impatto sulle tue applicazioni.
- Servizi gestiti 24 ore su 24, 7 giorni su 7 e team di risposta alle emergenze.
- Tecniche avanzate di rilevamento e mitigazione comportamentale. Questi modelli di rilevamento devono essere costantemente sviluppati e aggiornati da ricercatori esperti in sicurezza per mantenerne l’efficacia.
- Correlazione incrociata automatizzata degli eventi di sicurezza in tempo reale per bloccare gli IP sospetti prima che causino danni.
- Tecniche per difendersi da bot dannosi e attacchi basati sul Web, tra cui protezione proattiva contro vulnerabilità emergenti e minacce osservate in natura. La protezione zero-day può essere ottenuta impiegando IA e apprendimento automatico.
- L’intelligence sulle minacce in tempo reale si basa su aggressori attivi e metodi di convalida di dispositivi e utenti come l’attestazione iOS/Android e la verifica JavaScript.
- Politiche di sicurezza adattive che utilizzano modelli sia negativi che positivi (liste di blocco e liste di autorizzazione) per rispondere automaticamente al mutevole panorama delle minacce. Le politiche di sicurezza devono essere aggiornate automaticamente e costantemente in tempo reale e monitorate dagli esperti di sicurezza del fornitore.
- Registrazione e reporting dettagliati, nonché revisioni regolari, sia trimestrali che annuali, con account manager dedicati. Queste revisioni, condotte insieme al team dei servizi gestiti, dovrebbero valutare l’efficacia delle attuali misure di sicurezza e garantire che le strategie di gestione del rischio rimangano solide e aggiornate.
Ora, per quanto riguarda i principi specifici
Ogni principio è un po’ più specifico, quindi affrontiamoli uno per uno:
Governance: saranno assegnate autorità di vigilanza ufficiali. La soluzione di protezione della rete e delle applicazioni dovrebbe fornire un ombrello di sicurezza olistico per soddisfare i requisiti di controllo della “due diligence” di protezione completa contro tutti gli attuali vettori di attacco informatico nei livelli 3-7, dal livello di rete al livello di applicazione. Ciò include l’integrazione di WAF, API Protection, DDoS Protection, Bot Management e protezione lato client, per garantire che le applicazioni siano protette da tutti i tipi di vettori di minaccia. Inoltre, le soluzioni in atto dovrebbero fornire report sulle attività di minaccia come prova di controllo e resilienza.
Operational Risk Management: gestione e reporting degli incidenti di sicurezza. Per un’efficace gestione dei rischi operativi, le aziende hanno bisogno di una soluzione che offra monitoraggio e allerta in tempo reale degli incidenti di sicurezza. Ciò dovrebbe includere la preparazione di capacità di registrazione e reporting dettagliate per garantire che tutti gli incidenti siano documentati e possano essere segnalati alle autorità competenti come richiesto da DORA.
Pianificazione e test della continuità aziendale: le aziende hanno bisogno di una soluzione di continuità aziendale e disaster recovery che garantisca l’assenza di tempi di inattività o interruzioni del servizio, o degradazione correlata alle prestazioni. Per garantire la continuità aziendale è necessario implementare meccanismi di distribuzione e protezione delle applicazioni sui livelli di rete e applicazione. Le organizzazioni di servizi finanziari dovrebbero prendere in considerazione l’implementazione di un bilanciamento intelligente del carico e di altre protezioni avanzate contro i tempi di inattività correlati agli attacchi DDoS.
Le soluzioni implementate dovrebbero fornire meccanismi di ridondanza e failover, oltre a essere monitorate e supportate da ERT professionali durante gli attacchi.
Mappatura di interconnessioni e interdipendenze: contabilità accurata delle applicazioni. Per gestire interconnessioni e interdipendenze, hai bisogno di visibilità su tutto il traffico API e sugli script e servizi di terze parti connessi alle tue applicazioni. La protezione da attacchi e violazioni tramite API richiede l’implementazione di soluzioni in grado di mappare e monitorare l’intera matrice API, nonché la logica aziendale delle tue applicazioni, e rilevare eventuali anomalie e bloccarle in tempo reale. Inoltre, non devi trascurare il lato client/browser delle tue applicazioni; l’implementazione di una soluzione di protezione lato client può aiutarti a scoprire domini e script di terze parti in esecuzione sul lato browser delle applicazioni e a valutarne i livelli di minaccia.
Una soluzione adeguata dovrebbe bloccare gli script in uscita verso servizi di terze parti sospetti e impedire la fuga di dati.
Gestione delle dipendenze di terze parti: Gestisci il rischio di terze parti. Un’efficace gestione delle dipendenze di terze parti è fondamentale per restare al passo con le minacce informatiche. Valuta periodicamente la necessità e l’utilizzo effettivo dei servizi di terze parti, nonché la loro connettività ed esposizione ai dati nei tuoi sistemi.
Assicuratevi che le soluzioni tecnologiche implementate rispettino gli standard di sicurezza delle migliori pratiche del settore, come ISO e i report annuali SOC2, per ridurre i rischi della supply chain.
Gestione degli incidenti: traccia, previeni o rimedia alle potenziali minacce. Per una gestione efficace degli incidenti, le aziende hanno bisogno di una soluzione che offra monitoraggio e avviso in tempo reale degli incidenti di sicurezza. Ciò dovrebbe includere capacità di registrazione e reporting dettagliate per garantire che gli incidenti siano documentati e possano essere segnalati alle autorità competenti come richiesto da DORA. Chiedi al tuo fornitore di sicurezza di tenere una riunione trimestrale di revisione delle minacce e degli incidenti e di fornirti i report pertinenti per l’audit.
Condivisione delle informazioni e comunicazione: raccogliere e condividere informazioni sulle minacce informatiche con altre organizzazioni finanziarie e agenzie statali responsabili dell’intelligence sulle minacce informatiche e della risposta alle emergenze. Assicurarsi che i fornitori di protezione delle applicazioni conducano le proprie ricerche di intelligence sulle minacce e forniscano regolarmente analisi e approfondimenti. Inoltre, scegliere fornitori con una piattaforma di intelligence sulle minacce a cui si può accedere, che si integra e si sincronizza con le loro soluzioni di protezione delle applicazioni e con altri sistemi di sicurezza di terze parti.
Poiché i requisiti definitivi e specifici del DORA non sono stati ancora definiti, è importante che i CISO e i responsabili della conformità tengano traccia degli ultimi sviluppi per garantire che le soluzioni e i controlli necessari vengano implementati prima di gennaio 2025.
