Upplýsingaöryggi - InfoSec

DORA - kynning

Stafrænn viðnámsþróttur fjármálamarkaðar

Kynning

(Biðst afsökunar að notað sé lénið betriakvordun.is, en vefsíða SECPRICO er í smíðum og verður greinin flut yfir á hana, þegar hún er tilbúin.)

DORA stendur fyrir Digital Operational Resilience Act, en á íslensku er talað um stafrænan viðnámsþrótt fjármálamarkaða eða rekstraröryggi fyrirtækja á fjármálamarkaði.  Með reglunum eru settar fram kröfur sem allir aðilar á fjármálamarkaði þurfa að uppfylla um öryggi net- og upplýsingakerfa í þeim tilgangi að auka viðnámsþrótt fyrirtækjanna, draga úr áhrifum netárása og áhættu sem tengist rekstri kerfanna.  Reglurnar taka gildi í ársbyrjun 2025 og er tíminn því farinn að styttast fyrir þá aðila, sem undir reglurnar falla, að innleiða þær ráðstafanir sem eru nauðsynlegar.

Eins og segir í reglugerðinni er hugtakið „stafrænn viðnámsþróttur“ í forgrunni og eiga aðilar á fjármálamarkaði að viðhafa virka og viðeigandi áhættustýringu tengda notkun net- og upplýsingatækniþjónustu. 

Stærri fjármálafyrirtæki hafa lengi talist til mikilvægra starfsemi, en með DORA er þessi skilgreining útvíkkuð til mun fleiri fyrirtækja á fjármálasviði, en einnig til mikilvægra þriðju aðila sem veita þessum fyrirtækjum þjónustu.  Krafan til fjármálafyrirtækja til að hafa eftirlit að þriðju aðilum sem veita þeir þjónustu er aukin verulega.

Aðilar sem falla undir DORA

Samkvæmt 2. gr. DORA reglnanna falla eftirfarandi aðilar undir reglurnar:

(a)    lánastofnanir, sbr. lög nr. 161/2002 um fjármálafyrirtæki,

(b)    greiðslustofnanir og reikningsupplýsingaþjónustuveitendur, sbr. lög nr. 114/2021 um greiðsluþjónustu, þó ekki póstgíróstofnanir,

(c)     rafeyrisfyrirtæki, sbr. lög nr. 17/2013 um útgáfu og meðferð rafeyris,

(d)    verðbréfafyrirtæki, viðskiptavettvangar og veitendur gagnaskýrsluþjónustu, sbr. lög nr. 115/2021 um markaði fyrir fjármálagerninga, þó með undantekningum,

(e)    verðbréfamiðstöðvar, sbr. lög nr. 7/2020 um verðbréfamiðstöðvar, uppgjör og rafræna eignarskráningu fjármálagerninga,

(f)     miðlægir mótaðilar og afleiðuviðskiptaskrár, sbr. lög nr. 15/2018 um afleiðuviðskipti, miðlæga mótaðila og afleiðuviðskiptaskrár,

(g)    rekstraraðilar sérhæfðra sjóða, sbr. lög nr. 45/2020 um rekstraraðila sérhæfðra sjóða, þó með undantekningum,

(h)    rekstrarfélög verðbréfasjóða, sbr. lög nr. 116/2021 um verðbréfasjóði,

(i)      vátrygginga- og endurtryggingafélög, sbr. lög nr. 100/2016 um vátryggingastarfsemi, þó ekki félög sem undanþegin eru gildissviði laga nr. 100/2016 skv. 3. gr. þeirra,

(j)      vátryggingamiðlarar og aðilar sem dreifa vátryggingu sem aukaafurð, sbr. lög nr. 62/2019 um dreifingu vátrygginga, þó með undantekningum,

(k)    stofnanir sem sjá um starfstengdan lífeyri, sbr. lög nr. 78/2007 um starfstengda lífeyrissjóði, þó með undantekningum,

(l)      lánshæfismatsfyrirtæki, sbr. lög nr. 50/2017 um lánshæfismatsfyrirtæki,

(m)   stjórnendur mikilvægra viðmiðana, sbr. lög nr. 7/2021 um fjárhagslegar viðmiðanir,

(n)    þjónustuveitendur á sviði net- og upplýsingatækni (skv. skilgreiningu DORA).

Einnig eftirfarandi aðilar:

- þjónustuveitendur hópfjármögnunar, í merkingu reglugerðar (ESB) 2020/1503 um evrópska þjónustuveitendur hópfjármögnunar fyrir fyrirtæki, og

- verðbréfunarskrár, í merkingu reglugerðar (ESB) 2017/2402 um almennan ramma fyrir verðbréfun og gerð sértæks ramma fyrir einfalda, gagnsæja og staðlaða verðbréfun.

 

Efnisatriði DORA

Eins og áður segir fjallar DORA um stafrænan viðnámsþrótt fjármálamarkaðar.  Í stuttu máli nær það til eftirtalinna atriða, að baki hverju atriði eru ítarlegri kröfur:

(a)   kröfur sem aðilar tilgreindir að ofan þurfa að uppfylla:

(i)      áhættustjórnun fyrir upplýsinga- og samskiptatækni (UST),

(ii)    skýrslugjöf um stærri UST-tengd atvik og tilkynningar um, að eigin frumkvæði, meiriháttar netógnir til lögbærra yfirvalda,

(iii)   skýrslugjöf um stærri greiðslutengd atvik, rekstrarleg og öryggis, til lögbærra yfirvalda frá aðilum tilgreindum í liðum (a) til (c) að ofan,

(iv)   prófanir á stafrænum viðnámsþrótti rekstrar;

(v)    deilingu upplýsinga og þekkingar í tengslum við netógnir og -veilur,

(vi)   stjórnun UST áhættu þriðja aðila,

(b)   kröfur í samningum á milli þriðju aðila þjónustuveitenda UST og fjármálafyrirtækja,

(c)    rammi um eftirlit með mikilvægum UST þriðja aðila þjónustuveitendum, þegar þeir veita fjármálafyrirtækjum þjónustu,

(d)   hlutverk lögbærra yfirvalda vegna reglnanna.

Hvað þýða kröfurnar?

Í fljótu bragði þýða kröfurnar, að fjármálafyrirtæki þarf að innleiða stjórnunarkerfi um áhættu- og öryggisstjórnun og eftirlit með þriðju aðila þjónustuveitendum, auk þess að deila upplýsingum sem það verður áskynja um ógnir í UST umhverfi sínu.  Dæmi gert stjórnunarkerfi um áhættu- og öryggisstjórnun er ISO/IEC 27001 og mælir höfundur að bætt sé við stjórnunarkerfi um persónuvernd samkvæm ISO/IEC 27701.  ISO/IEC 27001 veitir grófa innsýn í hvernig standa skuli að áhættumati, en aðferðir ISO/IEC 27005 eða ISO 31000 eru ítarlegri og því mælt með þeim.

Atriði (a) (ii) og (iii) bæta við kröfum sem ekki eru taldar upp í stýringum ISO/IEC 27001, viðauka A, þ.e. að tilkynna atvik til lögbærra yfirvalda.  Stýring A.5.5 Tengsl við yfirvöld í nýjustu útgáfu staðalsins gerir kröfu um tengsl við yfirvöld og stýringar A.5.24 Skipulagning og undirbúningur vegna stjórnunar á upplýsingaöryggisatvikum og A.5.26 Viðbrögð við upplýsingaöryggisatvikum gera ekki neinar slíkar kröfur.  Hafa má hliðsjón af sambærilegum greinum 6.2.24 og 6.2.26 í ISO/IEC DIS 27701 um hvernig breyta má ferlum um stjórnun atvika til að innifela tilkynningar til lögbærra yfirvalda.

Seðlabanki Íslands hefur innleitt svo kallaðar TIBER-IS prófanir, en með því býðst fjármálafyrirtækjum aðferð til að prófa ytri varnir sínar og þar með stafrænan viðnámsþrótt rekstrarins (sbr. lið (a)(iv) að ofan).  Bæta þarf þessum prófunum inn í ferla um netárásaprófanir (penetration tests).  Kröfur um netárásaprófanir eru gerðar í stýringum A.5.21 Stjórnun upplýsingaöryggis í aðfangakeðju UST, A.8.8 Stjórnun tækniveila, A.8.16 Vöktunarathafnir, A.8.25 Öruggt þróunarferli og A.8.29 Öryggisprófanir við þróun og viðtöku í viðauka A í ISO/IEC 27001.  Nánari upplýsingar um TIBER-IS er að finna undir Netöryggisprófanir á vef Seðlabankans.

Í stýringu A.5.7 Ógnagreind í viðauka A í ISO/IEC 27001 er gerð krafa um að safna upplýsingum um sem tengjast ógnum við upplýsingaöryggi.  Í innleiðingarleiðbeiningum í ISO/IEC 27002 er mælt með því að miðla og deila upplýsingum og þekkingu um ógnir.  DORA gerir kröfu um þessa deilingu (sjá (a)(v)).  Þetta er almennt gert í dag, en þá innan þröngs hóps aðila með samstarf sín á milli.  Hér er gerð krafa um víðtækara samstarf eða opinbera deilingu.  Mjög margar vefsíður eru aðgengilegar, þar sem upplýsingum og þekkingu um ógnir er deilt og þá uppfærðar eins oft og þörf er.

Að fylgjast með áhættu hjá þriðju aðilum (sjá (a)(vi)) í aðfangakeðju UST getur verið flókið og er líklegast erfiðasti hluti DORA reglnanna.  Almennt þekkja fyrirtæki sína þjónustuaðila, en oft er alls ekki ljóst hverjir eru undirþjónustuaðilar, undirundirþjónustuaðilar, o.s.frv.  Samkvæmt DORA ber fyrirtækjum að hafa fullnægjandi yfirsýn á alla aðfangakeðju mikilvægra þjónustuaðila.  Er fjallað um þetta í löngu máli bæði í inngangsgreinum reglugerðarinnar og í reglugerðinni sjálfri.  Við þetta bætast síðan liðir (b) og (c) um samninga við þriðju aðila og eftirlit með þeim.  Er það tilfinning höfundar, að þessir þrír liðir, þ.e. (a)(vi), (b) og (c), endi sem umfangsmestu kröfurnar sem fjármálafyrirtæki þurfa að uppfylla af kröfum DORA.

Síðasta atriði í listanum (d) beinist hér á landi að Seðlabanka Íslands.

Um höfund

Höfundur skjalsins er Marinó G. Njálsson, ráðgjafi á svið áhættustjórnunar, upplýsingaöryggis og persónuverndar.  Marinó var öryggisstjóri hjá Íslenskri erfðagreiningu frá 1997-2000 og hefur eftir það unnið sem ráðgjafi.  Hann hefur framkvæmt áhættumat hjá mörgum stórum fyrirtækjum.  Á Íslandi hjá VÍS, Landsbanka Íslands, nær öllum lífeyrissjóðum landsins, fyrir dómsmálaráðuneyti og ríkislögreglustjóra vegna Schengen upplýsingakerfisins, Valitor (nú Rapyd), nær alla grunnskóla landsins, nær alla leikskóla í landinu og hjá Lögreglustjóranum á höfuðborgarsvæðinu.  Utan Íslands hjá APMM (Danmörku), Nokia (Finnlandi), BMW vegna ISO/IEC 27001, TISAX og persónuverndar (Þýskalandi) og Økonomistyrelsen vegna persónuverndar (Danmörku), svo nokkur séu nefnd. 

Sé frekari upplýsinga óskað má senda tölvupóst á oryggi@internet.is eða Marino G. Njalsson á LinkedIn

Aftur í Greinar og pistlar