ليس من المستغرب بالنسبة لي منظمات الخدمات المالية غاب عن الموعد النهائي 17 يناير 2015 أن تكون في الامتثال لقانون المرونة التشغيلية للاتحاد الأوروبي (DORA). أنا شخصياً لم أقابل CIO أو CISO اعتقدت أن هذا الموعد النهائي كان واقعيًا.
حتى في يناير ، بحث من برتقالي CyberDefense شهد 43 ٪ من المجيبين في الصناعة يعترفون بأنهم لن يتوافقوا مع الموعد النهائي. في مارس ، تقاطع واضح كشفت أن 86 ٪ من مؤسسات الخدمات المالية لم تكن متوافقة تمامًا وأكثر إثارة للقلق تقرير استعداد DORA Skillcast أظهر تباينًا كبيرًا في مرونة البنى التحتية لتكنولوجيا المعلومات في هذه المؤسسات. برز القطاع الفرعي للخدمات المصرفية والإقراض باعتباره أقل استعدادًا للامتثال في حين كان قطاع معالجة المعاملات المالية هو الأكثر عرضة للتهديدات الإلكترونية.
بالنظر إلى أننا عرفنا أن هذا الموعد النهائي كان قادمًا ، فلماذا هذا التناقض عندما يتعلق الأمر بالاستعداد؟
والحقيقة هي أن استراتيجيات الأمن السيبراني تتعامل دائمًا مع الأهداف المتحركة. اليوم ، يمكن أن تشعر مؤسستك بالأمان وفي الامتثال لدورة ، ولكن غدا يمكن أن يتغير مشهد الضعف. يتم تقديم تهديدات جديدة طوال الوقت. على سبيل المثال ، يمكنك تنفيذ تقنية مورد جديدة يمكن أن تخلق نقاط ضعف جديدة في سلسلة التوريد ، أو قد تتغير اللوائح نفسها. في المملكة المتحدة ، ما زلنا نتوقع مشروع قانون الأمن السيبراني والمرونة في مرحلة ما من هذا العام. أعلنت الحكومة مقترحاتها ولكن لا يزال يتعين تأكيد متى سيدخل حيز التنفيذ.
عرض درة كفرصة
والحقيقة هي أن العديد من الشركات لا تزال غير متأكدة من التدابير التي يحتاجون إلى اتخاذها لإنشاء امتثال DORA ، وتتطلب قدرا كبيرا من اليقظة عبر البنية التحتية لتكنولوجيا المعلومات لفهم تعرضك.
أحد المجالات التي يتم تجاهلها أو خصمها هي بيئة Java. تعطى Java يضم 51 ٪ من رمز البرنامج في القطاع المالي ، يجب على الشركات التأكد من إعطاء طلبات Java الخاصة بهم الاعتبار المناسب لأن هذا هو المكان الذي تكمن فيه العديد من المخاطر في الامتثال والأمن. Azul’s 2025 State of Java Survey & Report كشفت أن 41 ٪ من المجيبين يواجهون مشكلات أمنية في الإنتاج الحرجة داخل أنظمة Java البيئية على أساس أسبوعي أو يومي. بينما بعد ثلاث سنوات من حادثة Log4J ، لا يزال 49 ٪ يعانون من نقاط الضعف الأمنية في الإنتاج من قابلية تنفيذ الكود البعيد (RCE).
يجب أن تضمن المؤسسات المالية بصمة Java ، وصناعة مقدمي الخدمات أو الخدمات الطرف الثالث ، مع لوائح DORA. ونتيجة لذلك ، يمكن أن يساعد الاستثمار في أدوات الكشف والتأهب بعد الخدم في تقليل تكاليف الخرق للشركات المالية وعملائها بشكل كبير. سيتعين عليهم معًا اتخاذ جرد للمخاطر المرتبطة بتطبيقاتهم لضمان الامتثال والأمن.
يمكن تضخيم هذه المخاطر إذا استخدمت المؤسسات إصدارات غير مدعومة من Java (والمشروع الأساسي المصدر المفتوح للغة Java Programming Language تسمى Open Java Development Kit (أو OpenJDK لفترة قصيرة). في الصناعات المنظمة ، مثل الخدمات المالية ، حيث تتمثل النظم في Java ، حيث تتم دعم النشاطات المهمة بشكل خاص ، حيث يتم توضيحها بشكل خاص ، حيث يتم تسويتك بشكل خاص ، حيث يتم تسويتها بشكل خاص ، حيث يتم تسويتها بشكل خاص. درة.
لضمان الامتثال ، يجب على اللاعبين في صناعة الخدمات المالية معالجة هذه الأعمدة الخمسة:
تضمن إدارة مخاطر تكنولوجيا المعلومات والاتصالات: يمكن أن تعرض توزيعات OpenJDK غير المدعومة المؤسسات المالية لمخاطر كبيرة ، مثل نقاط الضعف الأمنية غير المشتركة وقضايا الأداء. من الضروري أن يكون هناك توزيع OpenJDK قادر على توفير تصحيحات أمان لضمان أن تظل تطبيقات Java مرنة ومتوافقة مع متطلبات الإدارة.
الإبلاغ عن الحوادث بسرعة: لا توفر جميع توزيعات OpenJDK تحديثات أمان وتحديثات التصحيح الحرجة (وحدة المعالجة المركزية) في نفس الوقت مما يؤدي إلى حوادث غير مُبادة وغير مرغوب فيها والتي يمكن أن تؤدي إلى عدم الامتثال. يجب على لاعبي الصناعة تزويد أنفسهم بأدوات قادرة على توفير المراقبة المستمرة لنقاط الضعف والرمز غير المستخدم أو الميت في الإنتاج. يتيح ذلك للمؤسسات اكتشاف نقاط الضعف والتقرير والتعامل معها بسرعة ودقة.
إجراء اختبارات تغلغل وأمنية منتظمة وصارمة: قد لا يعكس استخدام تحديثات Java القديمة أو الضعيفة بدقة بيئات الإنتاج ، مما يؤدي إلى افتراضات أمنية خاطئة. لذلك من المهم أن يكون لديك توزيعات Java محدثة واختبارها ، بما في ذلك الإصدارات القديمة مثل Java 6 و 7 والبنية مثل Windows X86 32 بت ، مما يتيح بيئات اختبار موثوقة ودقيقة للمؤسسات المالية.
تعزيز إدارة مخاطر الطرف الثالث. التابع لتوزيعات OpenJDK غير المدعومة من قبل أطراف ثالثة يزيد من خطر الضعف الأمني والفشل التشغيلي. من الضروري التأكد من أن تطبيقات وخدمات الطرف الثالث تعتمد على جافا تلبي أعلى معايير الأمن والأداء ، مما يقلل من مخاطر الطرف الثالث.
المشاركة في مشاركة المعلومات حول التهديدات الإلكترونية. قد يؤدي استخدام توزيعات OpenJDK غير المدعومة إلى نقص الوعي حول التحديثات والتصحيحات الأمنية ، وتراجع هذه التطبيقات والخدمات إلى أن تصبح رابطًا ضعيفًا في سلسلة مشاركة المعلومات. يجب على المنظمات التأكد من أنها على دراية بأحدث نقاط الضعف ويمكنها تبادل ذكاء التهديد ذي الصلة مع الكيانات الأخرى لتحسين مرونة الأمن السيبراني الجماعي.
يعد Cyber Security ضروريًا للعمليات التجارية المستقرة والعالية الأداء اليوم. من خلال ضمان توزيع آمن Java ، ومعالجة نقاط الضعف على الفور ، ومراقبة بيئة Java بشكل مستمر ، يمكن للشركات أن تصنع جزءًا كبيرًا من أصول تكنولوجيا المعلومات المتوافقة مع Dora وتعزيز مرونةها ضد الهجمات الإلكترونية.
جيمس جونستون هو نائب رئيس أوروبا الأوروبية للاتصالات في جافا أخصائي أزول. وهو مسؤول عن تنمية إيرادات برامج Azul في جميع أنحاء أوروبا والشرق الأوسط وأفريقيا. قبل انضمامه إلى Azul ، شغل جيمس عددًا من المناصب القيادية مع Cloudera و Fujitsu و HPE. جيمس لديه درجة الشرف في الدراسات التجارية من UWE.
