DORA määrus: finantssektor peab leidma rohtu küberohtude vastu

Määrus puudutab pankasid, kindlustusandjaid ja investeerimisettevõtteid, kes peavad küberohtude vältimiseks astuma mitmeid samme. Ennekõike rakendama tugevaid protsesse ja süsteeme, et tuvastada, maandada ja raporteerida IKT-ga seotud riske ja intsidente.

DORA ignoreerimise hind võib olla väga ränk – finantsasutuse töö peatub või on põhjalikult häiritud, mis ohustab kogu finantsstabiilsust. Küberintsidendid on väga tõenäolised, kuna aasta-aastalt on juhtumite arv kordades kasvanud. KPMG rahvusvaheliste uuringute põhjal on 90 protsenti kõigist ettevõtetest elanud läbi vähemalt ühe küberrünnaku ning 26 protsenti neist juhtumitest pani firma tegevuse ajutiselt seisma.

Isegi kui nii hullusti ei lähe, siis sanktsioonide alla kuuluvad regulatiivsed sanktsioonid või rahatrahvid. Kõige selle kohal varitseb mainekahju, sest finantsasutuse usaldusväärsus satub küsimärgi alla ka väiksemate IKT-valdkonna möödalaskmiste korral.

Mida peab finantsettevõte DORA määrust silmas pidades ette võtma?

Viis peamist tegevussuunda on järgmised:

1. IKT riskijuhtimine: finantsettevõtted peavad arendama ja rakendama IKT riskijuhtimise raamistikke, mis hõlmavad riskide hindamist, maandamist ja jälgimist. See hõlmab ka asjakohaseid poliitikaid, protseduure ja kontrollimeetmeid.

2. Küberintsidentidest teavitamine: ettevõtted peavad looma süsteemid ja protseduurid intsidentide kiireks tuvastamiseks. Samuti peab info juhtumitest jõudma kiiresti küberintsidentidega tegeleva ametiasutuseni – Eesti puhul on selleks RIA juures asuv CERT-EE. Samuti tuleb teavitada kõiki asjakohaseid osapooli.

3. Küberkaitse võimekuse testimine: regulaarselt tuleb korraldada teste, et hinnata ettevõtte süsteemide ja protsesside vastupanuvõimet erinevatele küberrünnakutele. Sealhulgas tuleb vähemalt iga kolme aasta tagant läbi viia testrünnakuid, nagu näiteks Red Teaming.

4. Koostööpartnerite riskide juhtimine: tuleb hinnata ja juhtida riske, mis tulenevad kolmandatest osapooltest nagu näiteks IKT-teenusepakkujad ja tarkvaratarnijad. Tuleb tagada, et nende tegevus ei ohusta ettevõtte tegevuskerksust.

5. Info jagamine ja teadlikkuse tõstmine: DORA kutsub finantssektori ettevõtteid omavahel infot jagama, et anda edasi oma teadmisi ja töötavasid küberkaitse vallas. Nii saab paremini vastu seista potentsiaalsetele ohtudele.

Küberkaitse kriitilist tähtsust rõhutab ka Euroopa Keskpanga (EKP) poolt jaanuaris 2024 käivitatud stressitest (Cyber Resilience Stress Test, CRST). Esmakordselt toimuv test hõlmab enam kui sadat EKP järelevalve alla kuuluvat olulisemat panka ning tõsisemalt mõõdetakse ligi 30 panga küberkaitse protseduure. DORA valguses on oodata, et sellised aktsioonid muutuvad eri tasanditel regulaarseks.

DORA nõuete täitmiseks tasub mõelda väliste konsultantide ja ekspertide kaasamisele. Nende oskusteave ja kogemus aitavad vältida nii võimalikke trahve ja regulatiivseid sanktsioone, kui ka tugevdada ettevõtte IKT-ala vastupidavust, mis on kriitilise tähtsusega pidevalt muutuvas tehnoloogiamaailmas. Esiteks aitavad ekspertide erialateadmised ja kogemused tuvastada peidetud IKT-riske, mille peale ettevõtte enda tiim ei pruugi tulla. Teiseks võivad nad pakkuda objektiivset vaadet ettevõtte tegevusele, aidates sellega tuvastada probleemseid kohti. Samuti aitavad eksperdid säästa aega ja ressursse, juhtides keerulisi vastavusprotsesse ja tagades, et kõik regulatiivsed nõuded oleksid täidetud tõhusalt ja õigeaegselt.