Закон ЕС о цифровой операционной устойчивости требует, чтобы банки и страховые компании восстанавливали критически важные ИТ-системы в течение двух часов, начиная с пятницы.

Что должны знать ИТ-директора в связи с вступлением в силу правил DORA

Закон Европейского союза о цифровой операционной устойчивости вступает в силу в пятницу, требуя от банков и страховых компаний, ведущих бизнес в странах ЕС, поддерживать планы резервного копирования и восстановления для ИТ-систем. szakalikus через Getty Images

Банки и страховые компании существуют в мире аудита, снижения рисков и требований соответствия, призванных гарантировать их финансовую платежеспособность. С пятницы эти отрасли столкнутся с более жестким контролем со стороны регулирующих органов в отношении своих ИТ-систем, если они ведут бизнес в Европейском союзе.

Закон ЕС о цифровой операционной устойчивости вступил в силу в январе 2023 года. Закон дал пострадавшим компаниям двухлетнее окно для того, чтобы привести в порядок свой ИТ-дом и привести свою технологическую и коммуникационную инфраструктуру в соответствие со стандартами с помощью регулярных испытаний безопасности и устойчивости.

«Цель DORA — предотвратить сбои в работе ИТ, особенно долгосрочные, чтобы защитить потребителя», — сказал CIO Dive Джон Кроссно, директор по управлению продуктами в Rocket Software. «Неважно, связан ли сбой с киберпреступностью или нет. Вы должны иметь возможность быстро восстановить и запустить свои системы».

Небольшие сбои в работе ИТ-систем — обычное дело, и они обходятся дорого. Поставщик программного обеспечения Splunk обнаружил, что пострадавшие организации теряют в среднем 200 миллионов долларов в год из-за сбоев в работе цифровых систем. По данным Splunk, штрафы регулирующих органов за типичный инцидент могут превышать 20 миллионов долларов.

Даже при отсутствии сценариев программ-вымогателей и последующих мер регулирующих органов перебои в обслуживании отвлекают ИТ-персонал от другой работы, замедляют бизнес-процессы и могут нанести ущерб репутации бренда.

Глобальные кризисы, такие как инцидент CrowdStrike, который остановил тысячи коммерческих рейсов на несколько дней и нарушил финансовые транзакции в июле 2024 года, могут стоить миллиарды. Delta Air Lines сообщила об убытках в размере 500 миллионов долларов в результате инцидента.

Руководители компаний ожидают, что в следующем году еще один кризис уровня CrowdStrike повлияет на ИТ-системы, согласно декабрьскому отчету PagerDuty.

Стандарты обеспечения непрерывности бизнеса, изложенные в DORA ЕС, требуют, чтобы банки, страховщики, фондовые биржи, торговые площадки и другие поставщики финансовых услуг поддерживали резервные системы для быстрого восстановления после инцидентов. ЕС ожидает, что пострадавшие стороны смогут восстановить критически важные функции в течение двух часов после инцидента сбоя, согласно DORA.

PwC оценивает, что более 22 200 финансовых организаций и поставщиков ИТ-услуг попадают под действие этого акта.

Положения и потенциальные последствия должны быть в поле зрения CIO в компаниях, расположенных в странах-членах ЕС или ведущих бизнес с ними.

«Первой заботой CIO должно быть определение того, затронута ли их организация и как делегировано соответствие», — сказал Кроссно.

В большинстве крупных организаций, подпадающих под действие акта, есть команды по управлению рисками, которые уже внедрили соответствие DORA в корпоративную политику и поручили CISO принять защитные меры. Когда критически важные системы выходят из строя, CIO также оказываются в затруднительном положении.

«Вам необходимо иметь надлежащие резервные копии или моментальные снимки ваших сред», — сказал Кроссно. Помимо того, что это предписано законом, системы восстановления являются ключом к сокращению времени простоя и ограничению стоимости инцидента.

Протоколы восстановления также имеют решающее значение, поскольку системы резервного копирования полезны только при наличии эффективных процедур.

«Вы будете удивлены, как много компаний делают резервные копии, но не тестируют процесс восстановления», — сказал Кроссно.

Действительно, согласно отчету Cohesity, опубликованному в прошлом году, большинство компаний значительно переоценивают свои возможности обеспечения непрерывности бизнеса. Решения по резервному копированию и восстановлению могут создать иллюзию готовности, которую критические инциденты быстро развеивают.

«Продукты для резервного копирования создают аудиторские отчеты, в которых говорится, что вы сделали резервную копию этих данных, чтобы вы могли доказать аудитору, что вы соответствуете требованиям», — сказал Кроссно. «Но если никто никогда не проверяет и не проверяет вашу способность к восстановлению, то вы на самом деле не знаете».

Как минимум, ИТ-директора должны быть в курсе решений о соответствии, чтобы гарантировать наличие процессов восстановления резервных копий, проведения регулярных тестов на проникновение и сканирования на наличие вредоносных программ, а также проверки контроля доступа к критически важным системам, рекомендует Rocket.

Хотя окно для достижения соответствия закрывается 17 января, у ИТ-директоров все еще есть время, чтобы усилить меры по обеспечению устойчивости ИТ.

«Это своего рода ускорение», — сказал Кроссно. «Вы можете значительно превысить скорость, и все будет в порядке, пока вас не остановят. Если ничего не произойдет, никто не узнает. Но если произойдет инцидент и вы не будете соблюдать правила, вот тогда и начнутся штрафы, а также проблемы с репутацией и расходы на устранение последствий».