Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?

Blog Datum: 28.06.2021.
Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?

Piše: Goran Kunjadić, ekspert za sajber bezbednost, kriptografiju i upravljanje obradom podataka o ličnosti  

Nakon donošenja GDPR (General Data Protection Regulation) direktive koja se prevashodno bavi zaštitom podataka o ličnosti 2016. godine, sa njenom primenom se počelo 2018. godine. Bilo je procenjeno da su dve godine neophodne za pripremu neophodne infrastrukture za primenu regulative.

Nakon toga je uočeno da ICT infrastruktura finansijskih institucija predstavlja jedan od vitalnih delova ekonomije, pogotovo imajući u vidu digitalizaciju svih oblasti ljudske delatnosti. S tim u vezi, 2020. godine donet je Zakon o operativnoj digitalnoj otpornosti - Digital Operational Resilience Act ili popularno - DORA.

Zakon u uvodnom delu pojašnjava pojam digitalnih finansija koje su uveliko zaživele, kao i rizike koje digitalizacija finansijskih sistema donosi. Istovremeno su pojašnjeni i postulati kripto valuta koje nezadrživo napreduju i zauzimaju sve veći deo finansijskog tržišta, kao i nesporna uloga FinTech kompanija. Bilo je neophodno uskladiti Zakon sa važećom regulativom, pre svega sa direktivama Networks and Information Systems (NIS) i European Critical Infrastructure (ECI) a imajući u vidu ulogu Evropske nadzorne vlasti - European Supervisory Authorities (ESA).

U narednom delu DORA razmatraju se zakonski osnovi za donošenje Zakona. Uzeti su u obzir zakonski osnovi same EU koje države članice moraju da primenjuju u svojim lokalnim zakonodavstvima.

Nakon toga su razmatrana načela upravljanja ICT rizicima u okviru koga su date osnovne organizacione postavke, a zatim su definisani protokoli i alati koji se mogu koristiti u ovu svrhu. Ipak, s obzirom na to da se informaciona tehnologija izuzetno brzo razvija te da su kako protokoli tako i alati podložni promenama - možda Zakon nije baš najbolje mesto za njihovo propisivanje. Posebna pažnja je posvećena identifikaciji, zatim zaštiti, prevenciji i odgovoru na sajber napade. Na kraju ovog poglavlja sagledane su mogućnosti sanacije eventualno nastale štete. Prilikom razmatranja sanacije štete definisane su politike i načini izrade rezervnih kopija koje se mogu upotrebiti u slučaju da dođe do oštećenja ili brisanja podataka. Prilikom neovlašćenog otuđenja podataka, na žalost, sanacija štete nije moguća.

Upravljanje ICT incidentima podrazumeva upravljanje, klasifikaciju i izveštavanje nadležnih institucija kao što je CERT (Computer Emergency Response Team) bilo da se radi o nacionalnom nivou ili nivou finansijskih institucija. Između ostalog funkcija CERT-a je distribucija informacija o sajber opasnostima zainteresovanim stranama kako bi se izbegli napadi koji su prethodno otkriveni u drugim entitetima.

Posebno poglavlje je posvećeno testiranju bezbednosti ICT sistema pre svega metodom Penetration Testig što je regulisano PTes standardom. Pen Test je već duže vreme uobičajen i propisan način provere otpornosti sistema na sajber napade.

Naročita pažnja je obraćena na odgovornost trećih strana koje učestvuju u radu ICT sistema, misli se pre svega na vendore i provajdere, i sagledan je njihov deo odgovornosti u slučaju napada na sistem. Definisana je i uloga nadzora kritičnih ICT partnera.

DORA je de facto ozvaničila procedure i principe koji se već koriste u cilju odbrane ICT sistema, što je svakako korak u dobrom smeru. Ipak, treba imati na umu da je inicijativa na strani napadača a da zvanični akti zapravo predstavljaju odgovor na već poznate napade. U tom smislu bi vredelo razmisliti o načinima sprovođenja ofanzivne bezbednosti kao i donošenju akata koji bi propisivali osnovne smernice delovanja u smislu promovisanja ofanzivnih načina odbrane ICT sistema.

Blog


Ostale objave iz ove kategorije:

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Da li znate šta od podataka dajete kad kliknete da prihvatate politiku privatnosti?

maj 4, 2022

Pre par godina mala kompanija iz Ajove, SAD, je dodala obaveštenje u okviru svoje politike privatnosti nudeći nagradu od 1000 američkih dolara bilo kome ko ih kontaktira. Posle gotovo šest meseci i preko 3000 novih korisnika primili su prvi..

Pročitaj više...

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Zašto je HSE važan za kompanije

mar 20, 2022

Piše: Nenad Stanojevski, konsultant za interne komunikacije  Safety-Communication ‒ Ako stavim sve na ništa, a ništa je moj broj… ‒ ..

Pročitaj više...

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Bezbedni i povoljnije osigurani

nov 29, 2021

Piše: prof. dr Igor Franc, CEO&osnivač Secitsecurity   Bezbednosnu proveru je važno raditi, pre svega, preventivno da bi se utvrdilo trenutno stanje sistema, a u cilju da se spreči curenje osetljivih podataka..

Pročitaj više...

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Internet-kolačići: kako obrađuju lične podatke, i šta o tome kaže Zakon?

avg 17, 2021

Piše: Petar Mijatović , advokat, Mijatović Law Office Upotreba internet kolačića na veb-sajtovima je uobičajena praksa, kako u Srbiji, tako..

Pročitaj više...