Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?

Blog Datum: 28.06.2021.
Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?

Piše: Goran Kunjadić, ekspert za sajber bezbednost, kriptografiju i upravljanje obradom podataka o ličnosti  

Nakon donošenja GDPR (General Data Protection Regulation) direktive koja se prevashodno bavi zaštitom podataka o ličnosti 2016. godine, sa njenom primenom se počelo 2018. godine. Bilo je procenjeno da su dve godine neophodne za pripremu neophodne infrastrukture za primenu regulative.

Nakon toga je uočeno da ICT infrastruktura finansijskih institucija predstavlja jedan od vitalnih delova ekonomije, pogotovo imajući u vidu digitalizaciju svih oblasti ljudske delatnosti. S tim u vezi, 2020. godine donet je Zakon o operativnoj digitalnoj otpornosti - Digital Operational Resilience Act ili popularno - DORA.

Zakon u uvodnom delu pojašnjava pojam digitalnih finansija koje su uveliko zaživele, kao i rizike koje digitalizacija finansijskih sistema donosi. Istovremeno su pojašnjeni i postulati kripto valuta koje nezadrživo napreduju i zauzimaju sve veći deo finansijskog tržišta, kao i nesporna uloga FinTech kompanija. Bilo je neophodno uskladiti Zakon sa važećom regulativom, pre svega sa direktivama Networks and Information Systems (NIS) i European Critical Infrastructure (ECI) a imajući u vidu ulogu Evropske nadzorne vlasti - European Supervisory Authorities (ESA).

U narednom delu DORA razmatraju se zakonski osnovi za donošenje Zakona. Uzeti su u obzir zakonski osnovi same EU koje države članice moraju da primenjuju u svojim lokalnim zakonodavstvima.

Nakon toga su razmatrana načela upravljanja ICT rizicima u okviru koga su date osnovne organizacione postavke, a zatim su definisani protokoli i alati koji se mogu koristiti u ovu svrhu. Ipak, s obzirom na to da se informaciona tehnologija izuzetno brzo razvija te da su kako protokoli tako i alati podložni promenama - možda Zakon nije baš najbolje mesto za njihovo propisivanje. Posebna pažnja je posvećena identifikaciji, zatim zaštiti, prevenciji i odgovoru na sajber napade. Na kraju ovog poglavlja sagledane su mogućnosti sanacije eventualno nastale štete. Prilikom razmatranja sanacije štete definisane su politike i načini izrade rezervnih kopija koje se mogu upotrebiti u slučaju da dođe do oštećenja ili brisanja podataka. Prilikom neovlašćenog otuđenja podataka, na žalost, sanacija štete nije moguća.

Upravljanje ICT incidentima podrazumeva upravljanje, klasifikaciju i izveštavanje nadležnih institucija kao što je CERT (Computer Emergency Response Team) bilo da se radi o nacionalnom nivou ili nivou finansijskih institucija. Između ostalog funkcija CERT-a je distribucija informacija o sajber opasnostima zainteresovanim stranama kako bi se izbegli napadi koji su prethodno otkriveni u drugim entitetima.

Posebno poglavlje je posvećeno testiranju bezbednosti ICT sistema pre svega metodom Penetration Testig što je regulisano PTes standardom. Pen Test je već duže vreme uobičajen i propisan način provere otpornosti sistema na sajber napade.

Naročita pažnja je obraćena na odgovornost trećih strana koje učestvuju u radu ICT sistema, misli se pre svega na vendore i provajdere, i sagledan je njihov deo odgovornosti u slučaju napada na sistem. Definisana je i uloga nadzora kritičnih ICT partnera.

DORA je de facto ozvaničila procedure i principe koji se već koriste u cilju odbrane ICT sistema, što je svakako korak u dobrom smeru. Ipak, treba imati na umu da je inicijativa na strani napadača a da zvanični akti zapravo predstavljaju odgovor na već poznate napade. U tom smislu bi vredelo razmisliti o načinima sprovođenja ofanzivne bezbednosti kao i donošenju akata koji bi propisivali osnovne smernice delovanja u smislu promovisanja ofanzivnih načina odbrane ICT sistema.

Blog


Ostale objave iz ove kategorije:

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Srbija i katastrofalni rizici

sep 30, 2023

Srbija je osetljiva na razne prirodne i antropogene opasnosti. Rizik nije ujednačen širom zemlje i varira u zavisnosti od vrste opasnosti i procenjenog potencijala štete. Seizmički hazardi, klizišta, odroni kamenja, poplave,..

Pročitaj više...

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Sprečiti a ne lečiti

avg 7, 2023

I prošle i ove godine smo u aprilu u Beogradu gledali snežne pahulje. Prošle godine u junu smo „umirali“ od vrućine, ovog juna su nam zimske jakne još uvek bile na čiviluku u hodniku. A onda smo s ulaskom u jul počeli da..

Pročitaj više...

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Povreda na team building-u

mar 25, 2023

Da li se povreda na team building-u može smatrati povredom na radu i kako se obavlja njena kvalifikacija? Da li su zaposleni osigurani za vreme team buildinga i da li postoji odgovornost poslodavca za bezbednost zaposlenih na team..

Pročitaj više...

Šta donosi DORA - Zakon o operativnoj digitalnoj otpornosti?
Kako da sprečimo digitalne prevare i krađu podataka i novca?

mar 13, 2023

Kada je Lazarus Group, severnokorejska hakerska grupa pod kontrolom države, ukrala 625 miliona dolara digitalnih tokena početkom 2022. godine od Ronin network, to je bio najveći sajber napad u istoriji decentralizovanih finansija (DeFi) i druga najveća..

Pročitaj više...