Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。
DORA 与金融服务业的网络弹性
与《通用数据保护条例》(GDPR) 协调数据隐私的监管一样,DORA 将金融服务业的 ICT 风险管理与网络风险管理整合到一起并进行了升级。
DORA 致力于减轻金融业数字化转型带来的风险。同时提升金融服务生态系统的网络弹性,帮助银行业、金融业和金融系统预防和应对网络安全事件并构建复原能力。为实现这一目标,DORA 对支持金融实体业务流程的网络及信息系统的安全性提出了统一的要求。这些要求包括 ICT 风险管理、报告重大的 ICT 相关事件、数字运营弹性测试、信息共享,以及与使用 ICT 第三方服务相关的措施和要求。
DORA 是一项立法措施,适用于在欧盟从事 21 类金融活动的金融企业。下面列出了在金融行业开展运营并受 DORA 影响的部分企业:
- 信贷机构
- 支付机构
- 电子货币机构
- 投资公司
- 加密资产服务提供商
- 另类投资基金
- 保险经理
- ICT 第三方服务提供商
Akamai 解决方案对您的企业有何帮助
Akamai 平台的 Zero Trust 模式可以实施更精细的安全策略,对企业资产、访问控制和网络流量进行深度监测。Akamai 对企业资产、访问权限和网络流量的监测是企业实施 Zero Trust 安全策略的基础,这种策略可以进一步运用于 ICT 第三方风险的管理。我们的威胁搜寻团队可以帮助检测极为隐蔽的威胁,并在发生入侵攻击事件时限制横向移动。
Akamai 全球平台可以帮助企业检测并阻止现有的和新出现的威胁,同时能够适应不断变化的安全格局。
DORA 对企业有何影响?
DORA 的要求侧重于 ICT 系统的网络弹性。DORA 基准包括:
- 独立的各方必须进行年度弹性测试和漏洞测试,还需要定期进行威胁主导的渗透测试。
- DORA 要求采取基于风险的全面保护措施。DORA 安全措施包括:采用基于风险的方法进行网络和基础架构管理;针对漏洞采取恰当、全面的策略,例如提供补丁和更新;使用强大的身份验证机制;限制对 ICT 系统资源和数据的物理访问和虚拟访问。
- 要求制定相应的程序来“检测、管理和通知 ICT 相关事件,并应设置预警指标以作为告警”。
- 通过制定相应的流程来监控和描述 ICT 相关的重大事件并向 DORA 主管机构报告此类事件,促进了网络安全事件的报告。
- DORA 针对管理和安全责任的要求涵盖了信息共享方面基本的网络安全管理和响应规则。
DORA 与金融服务
在调查后, 国际货币基金组织(IMF) 发现金融业由于防御薄弱而面临着风险,随即开始呼吁金融业同行采取紧急保障措施。英格兰银行对此表示认同,该银行的 H2 系统性风险调查 发现,74% 的受访者认为网络攻击是金融业面临的最大风险。
DORA 等框架和指南对于帮助金融机构及其相关供应商(例如 ICT 提供商)了解如何管理风险至关重要。此外, Verizon 在《2022 年数据泄露调查报告》 (DBIR) 中指明了对金融业影响最为严重的网络威胁,其中包括数据泄露、DDoS 和勒索软件攻击。该报告指出,凭据盗用是金融业大多数网络攻击得逞的关键所在。不仅如此, 美国商品期货交易委员会近日指出,他们在 2022 年对全球 130 家金融机构的调查中发现,74% 的金融机构在上一年至少发生过一次勒索软件攻击事件。
DORA 与 ICT 提供商
DORA 的一个重要方面是第三方风险管理。根据 Verizon 2022 年 DBIR 报告所载,金融业是供应链攻击的第二大目标。DORA 法规旨在改变这种现状,防止针对供应商和金融机构的网络攻击。根据 欧盟网络安全局(ENISA) 的报告,供应链攻击日趋复杂,数量也不断增长,攻击者将目标对准供应链,意图窃取数据和金融资产。DORA 使用《欧洲银行管理局 (EBA) 外包指南》等现有的框架来协调不同的要求。
任何被欧洲监管局标示为“关键”级别的 ICT 服务提供商都将受到一个监督框架的约束,该框架制定了严格的规则,由指定的首席监督人进行直接监督。
Zero Trust 解决方案可以实现对整个广义供应商网络(包括 ICT 提供商在内)的监测。通过采取各种安全措施,包括实施最低权限以及对敏感区域和数据进行主动控制,可以有效防止数据泄露和勒索软件感染。
Akamai 解决方案
Akamai 提供了一套完整的解决方案,其中涵盖特定要求,可以帮助金融企业实现运营弹性。Akamai 的安全解决方案在业内享有盛誉,使用这些解决方案来保护关键资产的客户对其评价颇高。我们的安全产品组合已从一系列单点解决方案发展成为强大的综合性 Zero Trust 平台。Akamai 的先进解决方案提供了满足严格要求所需的控制措施,包括对 ICT 提供商风险进行管理以及保护关键资产。我们的 Zero Trust 安全策略可以覆盖所有类型的 IT 环境,而不受资产类型、流量类型(南北向、东西向)或遗留设备的制约。Akamai 可以帮助您深度监测整个基础架构中的 IT 环境、关键资产、访问要求和网络流量。
DORA 与 ESA
DORA 的出台离不开欧洲保险和职业养老金管理局 (EIOPA)、欧洲银行管理局、欧洲证券和市场管理局的过往工作成果(这些机构均属欧洲监管机构,即 ESA)。由于整个金融和保险价值链的数字化转型,DORA 的作用举足轻重。DORA 的监管要求对于管理转型过程中新出现的风险十分必要,有助于企业采取恰当的保障措施来防范网络攻击。
DORA 下的事件报告
各相关实体报告网络安全事件是 DORA 的一个重要方面。这些实体必须制定相应的流程,用于监控和描述 ICT 相关的重大事件并向 DORA 主管机构报告此类事件。
此外,关键 ICT 提供商的报告规则非常严格,其中包括向主管机构发出事件初始通知,随后提交关于事件解决进度的中间报告,并在执行根源分析之后提交最终报告。ESA 目前正在制定有关事件分类、强制性报告事件和报告截止日期的指南。
《数字运营弹性法案》(DORA) 差距分析
DORA 将于 2025 年 1 月 17 日开始实施,因此,金融实体和关键第三方 ICT 服务提供商在此期间必须进入遵守该法案的启动状态。为确保满足 DORA 法案的要求,相关实体应执行差距分析,以检查当前部署的措施是符合部分还是全部的适用要求。
常见问题
DORA 是《数字运营弹性法案》(Digital Operational Resilience Act) 的缩写,这是 欧盟 围绕欧盟金融服务业提出的一项新法案,明确了维持网络安全弹性所需满足的相关规范。
不是,DORA(《数字运营弹性法案》)并非政府机关,而是欧盟最近推出的一项法案,目的是制定与运营弹性相关的措施标准,银行、交易所和金融市场的其他实体必须遵守这些标准。