De Europese financiële sector helpen te voldoen aan DORA- Digital Operational Resilience Act

De Europese financiële sector is in hoge mate gedigitaliseerd en afhankelijk geworden van IT. Men vertrouwt op digitale technologieën om vooruitgang te boeken en innovatie te bevorderen. De digitalisering en dus afhankelijkheid van IT vergroten echter ook de mogelijkheid tot cyberaanvallen. Als gevolg hiervan zijn banken, verzekeringsmaatschappijen, beleggingsmaatschappijen en andere financiële dienstverleners genoodzaakt om hun cyberbeveiligingsmaatregelen te verbeteren om de weerbaarheid te vergroten. Men moeten de eigen online ecosystemen en de afhankelijkheid van derde partijen inrichten en nauwlettend controleren om deze te beschermen en de voortdurend veranderende bedreigingen.

De jaarlijkse verdubbeling van cyberaanvallen, benadrukt het belang van cyberbeveiliging en het verbeteren van de weerbaarheid in het volledige IT-landschap. Volgens de wereldwijde rapportage van Check Point zijn er in 2021 de financiële sector 53% meer wekelijkse cyberaanvallen uitgevoerd ten opzichte van het jaar ervoor. In 2022 was er een toename van 52%. Uit regionaal onderzoek blijkt ook dat cyberaanvallen in alle sectoren in Europa tussen 2021 en 2022 met 25% zijn toegenomen.

Als ‘best practices’ om aanvallen te beperken, hebben veel Europese landen hun eigen richtlijnen voor informatiebeveiliging ontwikkeld. Voorbeelden hiervan zijn onder andere Good Practice Information Security document van de Nederlandse Bank, de Supervisory Requirements for IT in Financial Institutions (BAIT) van Duitsland en de Financial Crime Guide (FCG) van Groot-Brittannië. Ondanks de vele proactieve maatregelen, is het zorgelijk dat de cybercriminaliteit blijft toenemen.

Introductie van DORA

De Europese Unie (EU) heeft gereageerd op de toegenomen cybercriminaliteit in de financiële sector en de wens tot meer standaardisatie en samenwerking. Namelijk door een nieuwe Europese standaard voor IT-beveiliging te introduceren genaamd Digital Operational Resilience Act ofwel DORA. DORA introduceert een raamwerk voor informatiebeveiliging die van toepassing is op financiële ondernemingen actief binnen de EU-lidstaten. Het raamwerk op het gebied van ICT Raamwerk, Governance en Technologie vereist een hoog niveau van weerbaarheid. Volgens de EU-raad zorgt deze weerbaarheid ervoor dat bedrijven “bestand zijn tegen, kunnen reageren op en herstellen van alle soorten informatie- en communicatietechnologie (ICT)-gerelateerde verstoringen en bedreigingen” op een manier die de bedrijfscontinuïteit en economische belangen waarborgt en tegelijkertijd klanten beschermt.

De wet is niet beperkt tot de financiële sector – zoals Europese banken en dochterondernemingen van buitenlandse banken in Europa – die actief zijn in EU-lidstaten. De wet is ook van toepassing op technologiepartners waar deze mee samenwerken, zoals adviesbureaus op het gebied van gegevensrapportage of cloud serviceproviders. Als een bedrijf onder een van deze categorieën valt, is het cruciaal dat men voor januari 2025 voldoet aan de DORA regelgeving om mogelijke boetes te voorkomen. Dit geeft je dus minder dan een jaar om de nodige voorbereidingen door te voeren. In de financiële sector heeft men inmiddels een beter zicht op de verbetermaatregelen, die ze nog moeten nemen.

De belangrijkste stappen om aan DORA te voldoen

De kern van DORA is gericht op het beperken van cyberaanvallen. Dit wordt bereikt door gestandaardiseerde vereisten op te stellen voor het beheren van ICT-risico’s, het melden van ICT-incidenten, het doorlichten van het ICT-risico van derde partijen, het testen van de weerbaarheid van digitale operaties en het delen van informatie.

ICT Incident rapportage omvat de acties die men onderneemt om ‘business-as-usual’ mogelijk te maken bij verstoringen. Het is een proces dat incidenten bewaakt, registreert, categoriseert, prioriteert, communiceert en tenslotte aanpakt. Het omvat vele factoren zoals communicatieplannen om het personeel op de hoogte te houden, de back-upstrategie van het bedrijf en incidentresponsplanning. De digitale operationele weerbaarheidstest moet regelmatig door een onafhankelijk en dus derde partij uitgevoerd worden, ook op “Technical Debt”. Om zo goed inzicht te krijgen in de actuele kwetsbaarheden van het bedrijf. Dit houdt in dat de detectiecapaciteiten van de organisatie voortdurend op de proef worden gesteld. Door kwetsbaarheden te identificeren, is men in staat de responsplanning voor incidenten te verbeteren.

ICT-risicobeheer omvat het documenteren van kritische activiteiten binnen de organisatie en de digitale infrastructuur die deze activiteiten ondersteunt. Hieronder valt het vaststellen van kaders en processen voor het identificeren, het classificeren en beperken van ICT-risico’s en het creëren van actieplannen en herstelstrategieën om deze risico’s aan te pakken. Het is belangrijk om de bestaande volwassen basis van informatiebeveiliging uit te bouwen met de additionele vereisten van DORA.

Een belangrijke vraag om te stellen is welke personen er betrokken zijn bij elke individuele stap van de kritische bank- en verzekeringsprocessen, welke toegangscontrole er is voor deze medewerkers en welke technologieën deze processen ondersteunen – van meervoudige verificatie (MFA) en virtueel particulier network (VPN) tot remote desktopprotocollen (RDP) en Endpoint Detection and Response (EDR). Het gedetailleerd in kaart brengen van de scope van deze activiteiten is cruciaal om inzicht te krijgen in de kwetsbaarheden en hun mogelijke impact in het geval van een cyberaanval.

Bedrijven moeten ook inzicht krijgen in hun eigen risicoprofiel door een framework op te stellen voor de classificatie, documentatie en rapportage van cyberbedreigingen door het inhuren van derde partijen. Op het gebied van ICT-risicobeoordeling door derden ligt een van de meest uitdagende taken in het beoordelen van de externe ICT-leveranciers waarmee het bedrijf samenwerkt. Contracten met deze externe leveranciers moeten regelmatig worden gecontroleerd om zeker te zijn dat men aan DORA voldoet. Verder is een risicostrategie nodig om de mogelijke gevolgen van inbreuken door derden te beperken.

Tot slot dienen financiële dienstverleners processen te implementeren om te leren van zowel interne als externe ICT-gerelateerde incidenten. DORA bevordert de deelname aan vrijwillige overeenkomsten voor de uitwisseling van threat intelligence. Samenwerken op het gebied van kennis van externe bedreigingen zal het individuele risicoprofiel mogelijk verbeteren.

Het ondersteunen van financiële dienstverleners op hun reis naar compliance

Voldoen aan DORA lijkt op het eerste gezicht eenvoudig. Er zijn slechts vijf kerngebieden waar op gelet moet worden. Echter, het venijn zit hem in de details. Het begrijpen van de zwakke punten in het bestaande digitale beveiligingslandschap vereist expertise in zowel compliance-regelgeving als technische cyberbeveiliging. Elke financiële dienstverlener heeft immers een uniek beveiligingslandschap met verschillende volwassenheidsniveaus, afhankelijk van eerder geïmplementeerde maatregelen. Dit betekent dat het compliance proces geen one-size-fits-all oplossing zal zijn.

Als een bedrijf met een volwassen informatiebeveiliging biedt Capgemini een end-to-end oplossing voor financiële dienstverleners die moeten voldoen aan de vereisten van de wet. Capgemini’s aanpak respecteert het feit dat een bedrijf niet vanaf nul hoeft te beginnen met de naleving van de wet – de organisatie beschikt mogelijk al over enkele van de benodigde beveiligingsmaatregelen. Door de huidige staat van je organisatie te beoordelen, kan Capgemini een op maat gemaakte modulaire en praktisch implementeerbare oplossing aanbevelen. Dit is een kosteneffectieve aanpak om de geïdentificeerde kwetsbare gebieden aan te pakken door verder te bouwen op bestaande inspanningen op het gebied van cyberbeveiliging. Zodra je risicoprofiel in kaart is gebracht, kan Capgemini passende herstel-, respons- en mitigatieplannen opstellen om te helpen bij het prioriteren van acties om goed voorbereid te zijn op worstcasescenario’s.

Capgemini kan ook helpen bij het doorlichten van derde partijen en het uitvoeren van penetration testing. Beide onderwerpen vereisen voortdurende aandacht. Het is belangrijk om te erkennen dat het voldoen aan de DORA-vereisten niet een eenmalige taak is maar een continu proces. Daarom bestaat een deel van de gepersonaliseerde oplossing uit het implementeren van veilige geautomatiseerde systemen voor constante dreigingsbewaking die actieve, reële reacties op potentiële beveiligingsproblemen mogelijk maken. Capgemini kan in samenwerking met de klant een zodanig ICT Risk Management Framework neerzetten, wat bestendig is voor de toekomst en nieuwe wetgeving kan absorberen – Continuous Compliance.

Automatisering bestaat uit vele vormen. Oplossingen zoals SIEM (Security Information and Event Management) kunnen financiële dienstverleners helpen bij het sneller verzamelen en analyseren van beveiligingsgegevens uit verschillende bronnen. Zo kunnen afwijkingen en bedreigingen snel worden geïdentificeerd. Net als geautomatiseerde tools zijn geautomatiseerde incidentresponssystemen ook waardevol voor penetratietests die het testbereik versnellen en verbreden om het beveiligingsniveau van de organisatie op peil te houden. Geautomatiseerde patchmanagementsystemen zijn van vitaal belang om ervoor te zorgen dat de nieuwste beveiligingsupdates consistent worden toegepast in het hele IT-landschap. Om de toegangsautorisatie en het wijzigingsbeheer te versterken, geeft automatisering via een AI-geleide Identity and Access Management (IAM)-oplossing meer controle, zodat de gebruikerstoegang tot belangrijke systemen bewaakt worden. Tools voor configuratiebeheer bieden financiële dienstverleners ook een geautomatiseerde manier om systeemconfiguraties bij te houden, waardoor het eenvoudiger wordt om wijzigingen bij te houden en aan DORA te voldoen.

Naleving van regelgeving in het algemeen en specifiek voor het IT Landschap speelt een cruciale rol in het succes van organisaties binnen de financiële sector. Veel financiële dienstverleners zijn actief op zoek naar deskundige begeleiding en willen graag gebruikmaken van GenAI geautomatiseerde tools. De sleutel ligt in het kiezen van een DORA-conforme dienstverlener die niet alleen helpt bij het voldoen aan de initiële compliance vereisten, maar ook een uitgebreide routekaart biedt voor veerkracht en de essentiële technologie-infrastructuur heeft om deze te ondersteunen en te verbeteren.