正文

专家们在欧盟的DORA开始发挥作用时发出安全警告

力土飞杨
力土飞杨 V管理员 /77阅读/0评论
0303
文章最后更新时间2025年03月03日,若文章内容或图片失效,请留言反馈!

遵守欧盟数字运营弹性法案(DORA)的最后期限今天(1月17日)过去了 。专家警告说,金融机构必须解决其网络基础问题 ,不仅仅是遵守新法规。

专家们在欧盟的DORA开始发挥作用时发出安全警告

DORA旨在应对对金融实体的威胁。ICT基础设施并增强其抗破坏能力 。

该法案于2023年1月生效,涉及网络弹性 、可审计性以及金融机构、第三方软件和信息技术服务提供商在这些服务支持商业运营时的共同责任的各种要素。

弹性必须融入金融机构的整个链条,包括第三方服务 ,因为银行和其他公司寻求减少停机时间和其他潜在的中断,如果它们受到网络攻击的话。

根据SecurityScorecard的数据,在2023年8月至2024年8月期间 ,98%的欧盟顶级公司经历了涉及第三方供应商的违规行为 。

根据DORA ,金融机构需要根据业务影响和它们构成的风险水平来识别和评估它们使用的第三方服务提供商的重要性 。

关键时刻

产品组合副总裁鲍勃·万巴赫表示,DORA截止日期的过去标志着金融机构的“关键时刻”,他补充称 ,合规“对于保持信任和促进欧洲内外的客户关系至关重要 ”。

然而,万巴赫也警告称:“合规只会让银行走到这一步。欧洲和英国的金融服务公司必须做好准备,不仅要满足DORA的基线要求 ,还要授权他们的团队对运营中断和网络事件做出即时反应 。这意味着超越复选框合规措施。

“组织必须优先考虑对其服务的持续测试,并首先拥抱弹性文化。融合可观察性和安全数据以支持实时、人工智能驱动的异常检测是快速评估风险的最佳方式,以免风险升级为违反合规门槛并暴露客户的全面事件 。

“欧盟监管机构执行DORA相关规定的严格程度还有待观察 ,但有一点是肯定的:没有一家金融机构愿意成为第一个达不到要求的机构。”

这种超越公正合规的观点得到了弹性公司用户参与总监西韦斯特的回应,他警告说,新法规将不成比例地影响较小的金融机构 ,这些机构“在保护敏感的运营细节的同时,往往难以保持与监管机构 、董事会成员和其他利益相关者的透明度”

他补充说,企业领导者需要仔细考虑供应商风险管理。最近的事件 ,包括去年的CrowdStri中断以及MOVEit和Ivanti违规 ,说明了第三方系统如何破坏内部安全框架 。

韦斯特总结道:“随着DORA为运营弹性设定了更高的标准,金融机构必须超越合规性,保护其数字基础设施 ,保护客户数据,并在面临新出现的威胁时保持敏捷。 ”

DORA砰的一声关闭了

欧盟表示,现在截止日期已经过去 ,被发现违反DORA的公司将没有回旋余地。那些没有为合规做好充分准备的公司将容易受到制裁,包括高达其全球年营业额2%的罚款,或者个人最高罚款100万欧元 。

欧盟将如何严格执行这项立法 ,或者谁将成为新规则下第一个受到处罚的人,还有待观察,但影响可能不仅仅是金钱处罚。

Yubico首席解决方案工程师Nic Sarginson强调了不合规风险。

萨尔金森说:“不遵守DORA可能会对金融公司及其技术提供商产生重大影响 。”

“虽然具体的处罚还没有概述 ,但罚款很可能与违规的严重程度成正比,就像欧盟数据保护法一样 。在严重或反复的情况下,当局甚至可能暂停或终止合同。

“然而 ,财务后果只是一个方面 ,因为不遵守规定的组织也有严重声誉受损和失去客户和合作伙伴信任的风险,这在该行业可能极难恢复。

“实现DORA合规不是一蹴而就的任务 。该法规的范围很广,包括对事件报告和第三方风险管理的要求 ,需要持续的努力和细致的规划。

“尽管如此,优先考虑网络卫生和强大的身份验证实践不仅将确保合规性,还将支持卓越的网络安全文化 ,重新定义企业如何应对弹性和风险管理。”

加密和云

艾玛首席执行官德米特里·帕年科夫警告称,新规则可能会给运营混合或多云架构的组织带来具体挑战 。他解释说,这些环境往往缺乏“全面风险管理和合规监督所需的集成 ”。

“另一个关键领域是确保他们有一个专门和成熟的数字弹性框架。组织必须准备好进行必要的年度评估和测试 ,但许多组织仍在建设履行这些义务所需的能力和流程 。

“这包括加强实时风险缓解策略,并确保数据安全流程稳健,能够经受住运营和监管审查 , ”他补充道。

根据Bitpace CPO Can Taner的说法,加密货币公司也必须考虑其合规性,从事加密货币和其他数字货币的公司也应该考虑合规性。

“DORA的影响最终将预示着该行业透明度的新水平 ,并被证明是建立消费者对数字支付信任的积极一步 。坦纳说:“DORA可以帮助提供商为直接的无国界金融商务奠定基础 ,在这种商业中,接受、发送和存储数字支付尽可能顺利。”

“在数字状态下,商业需要不断传输数据 ,在网络威胁和中断不断增加的时代,客户需要保证他们的钱在安全的人手中。

“这就是为什么DORA在所有方面都很重要,它鼓励公司采取更积极主动的安全方法 ,制定稳健的数据战略,而不是通过分配资本来弥补损失来降低运营风险 。

“特别是对于加密货币,DORA与最近推出的MICA指南同时 ,还将提供强有力的监管框架,使资产类别合法化,成为企业可行和可信的支付解决方案 。

他总结道 ,“在许多欧洲企业因各种地缘政治和宏观经济因素而面临运营挑战和高成本的时候,加密货币为他们提供了消除障碍和继续全球交易所需的关键替代门户。”