ال قانون المرونة التشغيلية الرقمية (DORA) دخلت حيز التنفيذ في 16 يناير 2023. وبعد فترة تنفيذ مدتها سنتان، اعتبارًا من 17 يناير 2025، يجب على المؤسسات المالية الامتثال الكامل للائحة الجديدة، التي تهدف إلى ضمان بقائها مرنة في مواجهة الاضطرابات الرقمية التشغيلية الشديدة.
يغطي القانون عددًا من جوانب المرونة الإلكترونية وقابلية التدقيق والمسؤوليات المشتركة بين المؤسسات المالية وبرامج الطرف الثالث ومقدمي خدمات تكنولوجيا المعلومات عند استخدام هذه المنتجات والخدمات لتشغيل العمليات التجارية.
على الرغم من أنها لائحة أوروبية تؤثر على الشركات التي تعمل في الاتحاد الأوروبي (EU)، إلا أن مناطق أخرى تطبق أيضًا المرونة السيبرانية. وتشمل هذه الهيئات هيئة التنظيم الحصيفة الأسترالية وبنك إنجلترا في المملكة المتحدة. وفي الولايات المتحدة، تدرس هيئة الأوراق المالية والبورصة (SEC) أيضًا المرونة السيبرانية.
المرونة عبر سلسلة توريد تكنولوجيا المعلومات
لقد حظيت المرونة في مواجهة العيوب ونقاط الضعف في منتجات وخدمات الطرف الثالث باهتمام عالمي. أحد الأمثلة على ذلك هو خلل CrowdStrike، الذي تسبب في اضطراب كبير في أنظمة تشغيل Windows. وكما أشارت شركة Juniper Research في ذلك الوقت، كانت البنوك من بين ضحايا انقطاع التكنولوجيا في جميع أنحاء العالم، مما أدى إلى عدم تمكن بعض العملاء من الوصول إلى خدماتهم المصرفية عبر الإنترنت. كما تأثرت أجهزة الصراف الآلي وأنظمة الدفع بالبطاقات.
الهدف من DORA هو الحد من التعطيل المحتمل للأنظمة المصرفية الناجم عن مشكلات تكنولوجيا المعلومات، ولكن هناك علاقة مباشرة بين فعاليتها ونضج المنظمات من حيث الأمن السيبراني.
بين أغسطس 2023 وأغسطس 2024، قامت SecurityScorecard بتقييم أداء الأمن السيبراني لأكبر 100 شركة في أوروبا، مع النظر في عوامل مثل أمان الشبكات، وإصابات البرامج الضارة، وأمن نقطة النهاية، وإيقاع التصحيح، وأمن التطبيقات ونظام اسم النطاق (DNS).
ومع وضع لوائح مثل DORA لإعادة تشكيل معايير الأمن السيبراني، يجب على الشركات الأوروبية إعطاء الأولوية لإدارة مخاطر الطرف الثالث والاستفادة من أنظمة التصنيف لحماية أنظمتها البيئية.
ريان شيرستوبيتوف، بطاقة الأداء الأمني
ووجد البحث أن 98% من أكبر 100 شركة أوروبية تعرضت لانتهاكات شملت موردين خارجيين خلال فترة الـ 12 شهرًا تلك. DORA تتطلب المؤسسات المالية لتحديد وتقييم مدى أهمية مقدمي خدمات الطرف الثالث الذين يستخدمونهم بناءً على تأثير الأعمال ومستوى المخاطر التي يشكلونها.
يتم تناول منتجات وخدمات تكنولوجيا المعلومات والاتصالات التابعة لجهات خارجية المادة 28 من قانون دورا، والذي ينص على أنه يجب على الكيانات المالية إدارة مخاطر الطرف الثالث في مجال تكنولوجيا المعلومات والاتصالات باعتبارها جزءًا لا يتجزأ من مخاطر تكنولوجيا المعلومات والاتصالات ضمن إطار إدارة مخاطر تكنولوجيا المعلومات والاتصالات الخاص بها. تتحمل المؤسسات المالية التي تستخدم خدمات الطرف الثالث كجزء لا يتجزأ من عملياتها المسؤولية عن الأمن السيبراني الشامل للشركة ويجب عليها أيضًا إجراء تقييم كامل للمخاطر للموردين.
وبالنظر إلى التعرض للمخاطر السيبرانية الناشئة عن نقاط الضعف ونقاط الضعف الأمنية في المنتجات والخدمات التي توفرها أطراف ثالثة، يقول ريان شيرستوبيتوف، نائب الرئيس الأول لأبحاث التهديدات والاستخبارات في SecurityScorecard: “لا تزال نقاط الضعف في سلسلة التوريد تشكل تهديدًا خطيرًا، حيث يستغل الخصوم هذه الثغرات الأمنية”. روابط ضعيفة لاختراق الشبكات العالمية. ومع وضع لوائح مثل DORA لإعادة تشكيل معايير الأمن السيبراني، يجب على الشركات الأوروبية إعطاء الأولوية لإدارة مخاطر الطرف الثالث والاستفادة من أنظمة التصنيف لحماية أنظمتها البيئية.
بطاقة الأداء الأمني تقرير اختراق الأمن السيبراني العالمي من طرف ثالث يكشف أن 75% من خروقات الطرف الثالث تستهدف سلسلة توريد البرمجيات والتكنولوجيا – وهو اتجاه تعززه الخروقات البارزة الأخيرة التي شملت سولارويندز، Log4j وMOVEit.
يقول رومان ديسلوريوكس، مدير الشراكات الإستراتيجية للحماية السحابية في شركة تاليس: “تجعل DORA إدارة أمن المعلومات تفويضًا قانونيًا”. “لضمان الامتثال، ستحتاج المؤسسات إلى العمل على تبسيط وأتمتة خدمات الأمن السيبراني الخاصة بها للتأكد من حماية تطبيقاتها وبياناتها وهوياتها بشكل مناسب. وهذا يشمل كل شيء من API [application programming interface] حماية؛ تصنيف ومراقبة وحماية البيانات الحساسة؛ من خلال توفير وصول آمن وموثوق للعملاء والموظفين والشركاء.
تدقيق تكنولوجيا المعلومات
مارتن طومسون، محلل ومؤسس منتدى ايتام، توصي المؤسسات بإجراء عملية اكتشاف لمساعدتها على تصنيف المخاطر المرتبطة بمنتجات وخدمات تكنولوجيا المعلومات التي تستخدمها.
في مدونة سبتمبر 2024، قال شين أونيل، الشريك في مكتب جرانت ثورنتون في دبلن، واقترح أن المؤسسات المالية الاستثمار في المنصات التي يمكنها مركزية كتالوجات أصول تكنولوجيا المعلومات والاتصالات الخاصة بها. وقال إن هذا ينبغي أن يقدم نظرة شاملة لمقدمي الطرف الثالث، مما يمكّن الشركات من فهم المخاطر المحتملة التي يشكلونها على الأعمال، وتمكينهم من اتخاذ الإجراءات اللازمة للتخفيف من هذه المخاطر.
وأشار أونيل إلى أن معظم منصات إدارة أصول تكنولوجيا المعلومات توفر ميزات التشغيل الآلي، والتي يمكن استخدامها لتبسيط عملية المراجعة. وكتب: “كحد أدنى، تتطلب DORA مراجعة سنوية لأصول تكنولوجيا المعلومات والاتصالات والوثائق المصاحبة لها، وبالنسبة للأطراف الثالثة التي تعتبر عالية المخاطر، فإن دورة المراجعة تحدث بشكل متكرر أكثر”.
“تعمل الأتمتة على تقليل العبء الإداري لتنسيق المراجعة وتقليل عدد المكونات اليدوية ضمن دورة المراجعة، وبالتالي تقليل احتمالية الخطأ البشري أو احتمال تفويت دورة المراجعة.”
كما أشار أونيل، يمكن لمنصات إدارة أصول تكنولوجيا المعلومات تشغيل عملية المراجعة تلقائيًا عن طريق إنشاء بريد إلكتروني يذكر أصحاب المصلحة بمراجعة مخزون أصولهم، ولأن أصحاب المصلحة يقومون بالمراجعة داخل النظام، فإن النظام الأساسي يسجل نشاطهم تلقائيًا، وبالتالي ضمان جميع يمكن تدقيق جوانب العملية بسهولة من منظور تنظيمي.
في حين أن المؤسسات المتضررة يجب أن تكون متقدمة بشكل جيد بالفعل في تنفيذ برامج الامتثال، تقول مادلين فان دير هوت، كبيرة محللي Forrester، إنها حتى نوفمبر 2024، كانت لا تزال تتلقى مكالمات من عملاء Forrester للاستفسار عما يتعين عليهم القيام به. وتقول: “إذا بدأت في نوفمبر/تشرين الثاني، فلن يكون هناك وقت كافٍ”.
في حين أن معظم المؤسسات المالية تتمتع بالفعل بوضع أمني جيد، وفقًا لفان دير هوت، فإن جميع المؤسسات المالية ستظل بحاجة إلى النظر في الأطراف الثالثة، وتنويع البنية التحتية لتكنولوجيا المعلومات الخاصة بها والاعتماد المتبادل.
ووفقاً لألان تريل، المستشار في شركة المحاماة العالمية لاثام آند واتكينز، فإن الكثيرين يكافحون من أجل تحقيق الامتثال. وهو يحث تلك المنظمات التي ما زالت تتفق مع DORA على إجراء تحليل للفجوات لتحديد الأماكن التي لا تلتزم فيها.
“بالنسبة للكيانات المالية داخل النطاق، والتي تشمل مؤسسات الأموال الإلكترونية ومقدمي الأصول المشفرة، بالإضافة إلى الشركات المنظمة تقليديًا مثل المؤسسات الائتمانية، يتضمن الامتثال تحليل الفجوة في تدابير المرونة الحالية مقابل المتطلبات الصارمة لـ DORA، وتحديث سلاسل الحوكمة والسياسات والسياسات. “الإجراءات – مع إيلاء اهتمام خاص لمجالات التركيز الأساسية لـ DORA مثل الاستجابة للحوادث واختبار المرونة – واستكمال عملية جرد العقود المتعمقة وممارسة العلاج”.
تأثير تكنولوجيا المعلومات
وبما أن DORA تنص على أن المؤسسات بحاجة إلى تقييم مرونة سلسلة توريد تكنولوجيا المعلومات الخاصة بها، فإن الأطراف الثالثة – بما في ذلك مزودي تكنولوجيا المعلومات – تحتاج أيضًا إلى فهم مسؤولياتها بموجب DORA. يقول تريل إن شركات تكنولوجيا المعلومات يجب أن تقوم بتحديث شروط العقد وربما إنشاء كيان تابع للاتحاد الأوروبي.
“يحتاج جميع مقدمي خدمات تكنولوجيا المعلومات والاتصالات الذين لم يتم تصنيفهم على أنهم “حرجون” ولكن لديهم عملاء يمثلون كيانات مالية ضمن النطاق – بما في ذلك مجموعة واسعة من مقدمي البرامج والمنتجات ذات الصلة، والتي غالبًا ما يكون مقرها خارج الاتحاد الأوروبي – إلى اتخاذ خطوات لتمكين يجب على هؤلاء العملاء الامتثال، بما في ذلك من خلال مراجعة وتحديث العمليات والسياسات وتحديث شروط العقد.
“تعد التدابير الاستباقية أمرًا بالغ الأهمية للتوافق مع متطلبات DORA وتجنب العواقب الوخيمة، بما في ذلك – بالنسبة للكيانات المالية ومقدمي خدمات تكنولوجيا المعلومات والاتصالات “المهمين” – الغرامات الكبيرة.”
تعتبر التدابير الاستباقية ضرورية للتوافق مع متطلبات DORA وتجنب العواقب الجسيمة، بما في ذلك الغرامات الكبيرة
آلان تريل، لاثام وواتكينز
يوصي Van der Hout من شركة Forrester بأن ينظر قادة تكنولوجيا المعلومات في المؤسسات المالية التي تحتاج إلى الالتزام بـ DORA بشكل تعاقدي إلى تكنولوجيا المعلومات التي يقومون بتنفيذها.
وتقول: “هناك آثار إذا لم يلتزم موردو تكنولوجيا المعلومات الذين تستخدمهم بشكل كافٍ بمعايير DORA”. في حين أن قادة تكنولوجيا المعلومات لديهم خيار إنهاء مثل هذه العقود غير المتوافقة، يحذر فان دير هوت من أن “فصل تكنولوجيا المعلومات الخاصة بهم عن البنية التحتية لتكنولوجيا المعلومات لديك أمر صعب”.
إلى جانب العمل اللازم لضمان المرونة الإلكترونية لمقدمي خدمات تكنولوجيا المعلومات من الأطراف الثالثة، يشير ديسلوريوكس من شركة Thales إلى أن DORA تكلف المؤسسات صراحةً بتحديد وتنفيذ سياسات لتشفير البيانات أثناء تخزينها وأثناء نقلها واستخدامها، وإدارة مفاتيح التشفير بشكل شامل. يعتمد على. ويقول: “يجب على الخدمات المالية أيضًا أن تعمل على تحديث أو تغيير تكنولوجيا التشفير على أساس التطورات في تحليل التشفير”.
لقد أدرك الخبراء الذين تحدثت إليهم شركة Computer Weekly أن هناك حاجة إلى العمل لتنفيذ الامتثال لـ DORA ولضمان الصيانة المستمرة للامتثال المستمر. هذه تكاليف إضافية.
سيعتمد التنفيذ، وفقًا لشركة Forrester، بشكل كامل على نضج الأمن السيبراني للشركة، لكن DORA تعتمد على أطر عمل أمن تكنولوجيا المعلومات الحالية، مما يعني أن الكثيرين ربما قاموا بمعظم العمل اللازم لتحقيق الامتثال للوائح الجديدة.
ويشير فان دير هوت إلى أن التكاليف المستمرة هي التي سيكون لها المزيد التأثير طويل المدى على ميزانيات تكنولوجيا المعلومات. وتقدر أن الحفاظ على الامتثال لـ DORA يمكن أن يضيف 10% إلى تكاليف الأمن السيبراني للمؤسسة.
