Vorbereitung auf den EU Digital Operational Resilience Act (DORA)
Europas politische Entscheidungsträger sind zunehmend besorgt über Cyberangriffe auf die kritische digitale Infrastruktur der Region.
Um sicherzustellen, dass der Finanzsektor besser mit veränderten Bedrohungen umgehen kann, hat die EU die Digital Operational Resilience Act ( DORA )-Verordnung ausgearbeitet, die ab Januar 2025 gelten wird.
DORA verfügt über eine beträchtliche Reichweite und umfasst mehr als 22.000 Finanzunternehmen und deren IKT-Dienstleister, die innerhalb der EU tätig sind. Dies wird auch Auswirkungen auf diejenigen außerhalb der EU haben, die mit diesen Organisationen interagieren.
Im Wesentlichen ist die Einhaltung von DORA die Grundlage, auf der Akteure im Finanzdienstleistungssektor eine robustere und ganzheitlichere Sicherheitsstrategie aufbauen können, die den Risiken Rechnung trägt, mit denen sie zu kämpfen haben.
Während die meisten Banken schon seit langem strenge Sicherheitsmaßnahmen eingeführt haben, soll DORA die Abwehrmaßnahmen im gesamten Finanzökosystem durch die Einbeziehung spezialisierterer Akteure stärken, darunter Kredit- und Zahlungsinstitute, Anbieter von Krypto-Asset-Diensten, Zentralverwahrer und Kreditratingagenturen. Es verlangt von Finanzinstituten, Minimieren Sie das Risiko einer Beschädigung oder eines Verlusts von Daten, verhindern Sie unbefugte Zugriffe und technische Mängel, die die Geschäftstätigkeit behindern könnten, und stellen Sie sicher, dass ihre IKT-Systeme verfügbar bleiben.
Sicherstellung der Einhaltung
Für Finanzinstitute und die meisten anderen Unternehmen sind Apps und Daten heutzutage von entscheidender Bedeutung. Der umfassende Schutz dieser Vermögenswerte durch Technologien wie eine robuste Web Application Firewall (WAF) ist von entscheidender Bedeutung, sowohl um die DORA-Vorschriften einzuhalten als auch um den fortlaufenden Betrieb während eines Distributed-Denial-of-Service-Angriffs (DDoS) und anderer Angriffe sicherzustellen.
DORA verlangt von Finanzinstituten außerdem die umgehende Erkennung anomaler Aktivitäten, darunter Leistungsprobleme bei IKT-Netzwerken und damit zusammenhängende Vorfälle, sowie die Identifizierung potenzieller wesentlicher einzelner Ausfallpunkte. Im Falle eines schwerwiegenden Vorfalls muss das Finanzinstitut die Aufsichtsbehörden sowie die betroffenen Kunden und Partner benachrichtigen. Anschließend müssen sie über die Fortschritte bei der Lösung des Vorfalls berichten und einen Abschlussbericht mit einer Analyse der Grundursachen erstellen.
Um diese Anforderungen zu erfüllen, benötigen Finanzunternehmen vollständige Transparenz über den Leistungs- und Sicherheitsstatus ihrer Apps. Hier kann die F5 Distributed Cloud Console eine große Rolle spielen. Es wurde entwickelt, um eine konsolidierte End-to-End-Sichtbarkeit des gesamten App-Bestands zu bieten und erfüllt die meisten Anforderungen an die digitale Belastbarkeit von DORA.
Die F5 Distributed Cloud Console hilft auch bei einigen der differenzierteren Anforderungen von DORA. Beispielsweise müssen Finanzunternehmen ihre IKT-Tools, -Systeme und -Prozesse mindestens alle drei Jahre mittels Penetrationstests prüfen.
Bis vor kurzem war diese Art von Aktivität eine Domäne erfahrener und oft kostspieliger „White Hat“-Hacker. Dies ist nicht mehr der Fall und es ist jetzt möglich, den gesamten Prozess zu automatisieren.
Anfang des Jahres brachte F5 seine Lösung „Distributed Cloud Web App Scanning“ auf den Markt, mit der Unternehmen das Internet, öffentliche Repositories, exponierte Server und andere Quellen kontinuierlich überwachen können, um nach außen gerichtete App-Dienste, Daten und Schwachstellen zu konsolidieren. Darüber hinaus können sie auch automatisierte Penetrationstests durchführen, potenzielle Schwachstellen identifizieren, Hinweise auf Probleme erhalten und Anleitungen zur Behebung dieser Probleme erhalten, um die Sicherheit zu verbessern und die Einhaltung von Vorschriften zu gewährleisten.
Durch eine stärkere Automatisierung ist es kostengünstiger, Penetrationstests kontinuierlich statt projektbezogen durchzuführen, um die rechtzeitige Veröffentlichung neuer Produkte und Dienste zu gewährleisten.
Sicherheit in die IKT-Infrastruktur integrieren
Alle Unternehmen sollten einen ganzheitlichen Ansatz zur digitalen Sicherheit anstreben, anstatt zu versuchen, spezifische Punktlösungen einzusetzen, um DORA-Konformität zu gewährleisten. Eine verstärkte Automatisierung, die durch Fortschritte in der künstlichen Intelligenz ermöglicht wird, macht es wesentlich einfacher, Sicherheit in Design, Entwicklung und Bereitstellung von IKT-Infrastrukturen, Komponenten, Apps und den zugehörigen Anwendungsprogrammierschnittstellen (APIs) zu integrieren.
Von besonderer Bedeutung sind dabei die APIs, die heute praktisch das zentrale Nervensystem der digitalen Wirtschaft bilden. Unternehmen sollten alle Hebel in Bewegung setzen, um die Erkennung von Schwachstellen in die Anwendungsentwicklungsprozesse zu integrieren und sicherzustellen, dass Risiken identifiziert und Richtlinien implementiert werden, bevor APIs in die Produktion gehen.
Als direkte Antwort auf diesen wachsenden Bedarf bietet F5 Distributed Cloud Services die umfassendste, KI-fähige API-Sicherheitslösung der Branche . Vorbei sind die Zeiten, in denen Unternehmen gezwungen waren, unterschiedliche Tool-Sets und Funktionen zu verwenden, um ihre APIs während der Erstellung und zur Laufzeit zu sichern. F5 ermöglicht die Erkennung und Beobachtung von Schwachstellen im Anwendungsentwicklungsprozess und stellt sicher, dass Risiken identifiziert und Richtlinien implementiert werden, bevor APIs in die Produktion gehen. In einer Zeit, in der API-Sicherheit wichtiger oder komplexer denn je ist, macht F5 es für Kunden überflüssig, für separate API-Sicherheitslösungen zu bezahlen und diese zu verwalten. API-Erkennung, Tests, Posture-Management und Laufzeitschutz – alles auf einer einzigen Plattform – können ein großer Vorteil sein, um die bevorstehenden Komplexitäten von DORA vorherzusehen.
Letztlich sollte DORA nicht als Problem betrachtet werden. Vielmehr handelt es sich um eine große Chance, grundlegende Sicherheitsmaßnahmen im gesamten Unternehmen zu verfeinern und zu verstärken. Dennoch ist es ein langer Weg und manche werden wahrscheinlich ihre Vorstellungen davon ändern müssen, was Sicherheit eigentlich bedeutet und wie sie ausgedrückt wird.
Zum Glück für alle, die sich mit den bevorstehenden Herausforderungen auseinandersetzen, verfügt F5 über viele der notwendigen Tools, um die Überwachungs- und Berichtsanforderungen von DORA zu erfüllen – ganz zu schweigen davon, dass das Risiko lähmender Cybersicherheitsangriffe deutlich gesenkt wird.