Pół roku po tym, jak zaczęło obowiązywać rozporządzenie Unii Europejskiej o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA), 96% instytucji finansowych w regionie EMEA wciąż uważa swój obecny poziom odporności danych za niewystarczający. Wynika to z badania przeprowadzonego przez Censuswide na zlecenie Veeam Software, lidera na rynku rozwiązań zapewniających odporność danych. Wykazało ono szereg wyzwań, które pojawiają się dla branży w miarę dostosowywania się do wymogów DORA: regulacji EU mającej na celu wzmocnienie ochrony sektora finansowego przed cyberatakami i zakłóceniami IT.
Choć dostosowanie się do przepisów DORA zostało uznane za strategiczny priorytet w całym sektorze finansowym, wiele podmiotów wciąż jest w trakcie tego procesu. Aż 94% ankietowanych firm stawia obszar związany z DORA wyżej w swoich celach, niż na miesiąc przed wejściem regulacji w życie, a 40% określa rozporządzenie jako obecnie „najważniejszy priorytet w zakresie odporności cyfrowej”. Połowa respondentów wprowadziła już przepisy DORA do swoich programów zapewnienia odporności, podczas gdy dla 39% pozostaje to głównym celem działań.
Nieoczekiwane skutki DORA
Mimo że 94% firm jest świadomych, jakie kroki muszą podjąć, to wiele z nich zmaga się z nieprzewidzianymi wyzwaniami:
• 41% odnotowuje zwiększony stres i presję na zespoły IT i bezpieczeństwa;
• 37% mierzy się z wyższymi kosztami narzucanymi przez dostawców rozwiązań informatycznych (Information and Communications Technology, ICT);
• 22% uważa, że nadmiar regulacji cyfrowych staje się barierą dla innowacji lub konkurencyjności;
• 20% wciąż nie zabezpieczyło budżetu niezbędnego do spełnienia wymogów DORA.
– Cieszy fakt, że większość instytucji przyjęła wymagania DORA i pewnie dąży do ich spełnienia – mówi Edwin Weijdema, Field CTO EMEA w Veeam. – Osiągnięcie zgodności z przepisami to ważny pierwszy krok w zapewnieniu odporności organizacji, ale w obliczu złożoności dzisiejszego krajobrazu zagrożeń, nie można na tym poprzestać. Nowe badanie Veeam wskazuje, że choć DORA zyskuje na strategicznym znaczeniu, wiele podmiotów finansowych nadal dostrzega lukę w ogólnej odporności swojej firmy i zmaga się z zabezpieczeniem niezbędnych środków na ten cel. Droga do operacyjnej odporności wciąż trwa, i nie ma wątpliwości, że priorytetowe traktowanie odporności danych pozostaje kluczowe dla długoterminowego sukcesu organizacji.
Status: realizacja w trakcie
Pomimo traktowania regulacji DORA jako głównego priorytetu, wiele organizacji wciąż pracuje nad spełnieniem jej kluczowych wymagań:
• 24% nie ustanowiło testów odzyskiwania danych i zapewniania ciągłości działania;
• 24% nie wdrożyło procedury raportowania incydentów;
• 24% nie wyznaczyło lidera odpowiedzialnego za wdrożenie DORA;
• 23% nie przeprowadziło testów cyfrowej odporności operacyjnej;
• 21% nie zapewniło integralności kopii zapasowych i procesu bezpiecznego odzyskiwania danych.
Co stanowi największe wyzwanie we wdrażaniu DORA? Ryzyko związane z nadzorem nad partnerami zewnętrznymi (tzw. stronami trzecimi). Jedna na trzy firmy (34%) wskazała ten element za najtrudniejszy do wdrożenia, chociaż tylko 20% jeszcze tego nie zrobiło. Przyczyn tego stanu rzeczy może być wiele: od ograniczonego wglądu w działania prowadzone przez zewnętrznych dostawców po ogromną liczbę podmiotów zewnętrznych, z którymi instytucja finansowa współpracuje.
Ponadto 22% badanych podmiotów uważa, że w projekcie rozporządzenia DORA można było wprowadzić usprawnienia ułatwiające jego wdrożenie. Umożliwiłoby to osiągnięcie zgodności z przepisami, uproszczenie, doprecyzowanie i opracowanie bardziej szczegółowych zasad dotyczących zarządzania ryzykiem związanym z podmiotami zewnętrznymi.
– To bardzo ciekawy wniosek, że nadzór nad dostawcami okazał się tak dużym wyzwaniem dla organizacji. Ponad jedna trzecia firm uznała je za najtrudniejszy element do wdrożenia, a wiele z nich prosiło o dodatkowe wytyczne w tym zakresie – komentuje Andre Troskie, Field CISO EMEA w firmie Veeam. – To często pomijany aspekt odporności danych, dlatego cieszy, że instytucje analizują swoje zabezpieczenia do tego stopnia. W końcu po to DORA została stworzona. Spełnienie wymogów regulacji jest kluczowe, ale jej celem było także skłonienie organizacji do spojrzenia na swoją odporność całościowo. W tym kontekście DORA wydaje się odnosić sukces – dodaje ekspert.
Wsparcie na drodze do odporności
W odpowiedzi na rosnące zapotrzebowanie w zakresie zapewniania bardziej konkretnych ram strategiom odporności w firmach, firmy Veeam i McKinsey wprowadziły w tym roku pierwszy w branży model dojrzałości odporności danych (DRMM). Stworzony na podstawie spostrzeżeń ponad 500 liderów w zakresie IT, bezpieczeństwa i operacji, model DRMM został zweryfikowany z uwzględnieniem rzeczywistych wdrożeń klientów. Ramy tej struktury umożliwiają organizacjom ocenę odporności danych przy zastosowaniu podejścia interdyscyplinarnego, integrującego IT, bezpieczeństwo i obszar compliance w ujednoliconą strategię. Model dostarcza jasne wskazówki pozwalające na zwiększenie odporności i osiągnięcie zgodności z przepisami, takimi jak DORA.
– W DORA chodzi nie tylko o dostosowanie się do przepisów, ale o ponowne kompleksowe spojrzenie na cyfrową odporność danych. Pod tym względem regulacja ta działa – podsumowuje Troskie.