超越復原:你你未曾聽聞的 DORA 秘辛
Greg van der Gaast
Independent Security Strategist
2024 年 10 月 9 日
第 5 部分(系列共 5 部分)
公平地說,我們大多數從事安全或法規遵循工作的人都聽說過歐盟的《數位營運彈性法案》DORA,將於明年生效。
該法案不僅影響在歐盟境內提供服務的金融實體(包括從銀行到投資公司、保險公司等各種實體),也影響許多為這些實體提供關鍵ICT服務的服務提供商。
在儲存與回覆領域,有不少廠商將他們的解決方案推廣為符合DORA規範的解決方案。在聽到許多行銷部門或多或少地說過同樣的事情之後,你就會原諒你認為DORA完全是因為你能夠從違規事件中恢復而產生的「彈性」。我當然有。
但是,在閱讀了整個法案、大部分的支援歐盟出版物,以及許多法律事務所對該法案的影響的法律解釋後,我仍然堅持糾正並希望分享我所學到的一些東西。
比起恢復能力與回覆能力,更多的是DORA
我也曾為Hitachi Vantara這樣的資料基礎建設供應商撰文,想說DORA完全是為了透過快速回覆來提升企業彈性。但事實並非如此。DORA在很多方面與在發生問題時進行復原一樣,也是為了抵禦攻擊(就像一開始沒有被擊倒一樣)。
這裡有個小秘密。當我開始寫這篇文章時,我最初的意圖是把它當作一個單獨的文章,而不是作為「超越復原」系列的一部分,因為我覺得它不太適合這個系列。出乎我意料的是,在完成研究之後,我們討論過許多概念,這些概念都是針對安全性採取全方位、策略性且著重於根本原因的方法,這些概念與DORA法規遵循非常相關。它們甚至可能是必要的。
DORA要求您持續管理風險。正如我們在此系列中所討論的,純粹的風險管理是不可持續的,或至少成本非常高,而且在DORA的運作下,成本會變得非常昂貴。我相信,轉用更主動的品質管理方法,以降低您一開始需要多少風險管理,是您長期的最佳選擇。
解決DORA問題的新方法
由於我們討論過的趨勢顯示風險正不斷增加,因此要符合監管機構的標準將非常困難。而且隨著風險累積,它們將繼續變得日益嚴重,而且這種狀況是不可持續的。
DORA不只是回覆而已,其嚴重性也非常高,其中一個例子就是,監管者可以要求組織自行處理特定的弱點。如果未能或無法做到這一點,可能會導致罰款甚至刑事處罰。
因此,這不只是備份與復原。事實上,如果您看一下法規技術標準草案(第3節),DORA最先提出的要求之一就是資產管理。
這有道理。如果您不知道哪些系統驅動著哪些業務程式與營收,或是這些系統位於何處,您如何決定企業的重要事項、哪些需要保護,以及需要先回覆哪些專案?您如何保護自己不知道或無法控制的系統?
在DORA中,IT資產與商務程式之間的關聯是反覆出現的主題,我個人也樂意看到這一點。
責任延伸至最高層級
資產管理後,事件管理、分類與報告,以及復原力測試等要求將持續進行。所有這一切均納入強制性ICT管治及控制架構,以儘量減低關鍵業務及IT資產的風險。
這個架構的責任在組織的最高層級。
援引Kemp IT Law的話,「金融實體(一般為董事會)的管理機構將負責此架構,包括政策、角色、業務連續性計畫、審計、對ICT服務提供商的監督、培訓等。」
這些都不代表復原不是DORA的一部分。這是個大案子而且有些部分確實很嚴格。我從未見過任何廠商提到過,關鍵服務(例如進行日終處理的服務)必須在兩小時內回覆。
兩個小時。
再次受到罰款和可能的刑事指控。
做好回覆準備,並能夠證明這一點
還有可能是DORA最重要的因素或差異之一,也就是可證明性的需求。
換句話說,監管機構可能會要求您證明您可在兩小時內回覆,或執行弱點補救,或您的資產登入是全面性的。
若未依規定執行,即使未發生事件,也可能導致不遵守規定並受到處罰。一旦發生違規情況會嚴重惡化。
再想想每個國家都有自己的監管者。這表示每個特定國家的監管者可選擇嚴格執行DORA。若發生事件,或甚至無法回應某歐盟國家的監管者所提出的問題,則可能導致其他歐盟國家面臨挑戰,因為在這些國家,當監管者得知此事件時,您可能會進行作業。
讓我們回顧一下我們現在對DORA的一些瞭解:
- 它要求從管理層到管理層採取一種整體、「全業務」的風險處理方式,對風險進行批准和持續審查。
- 這需要全面檢視企業資產與程序,以評估、減少並降低相關風險,而不僅僅是讓IT專注於安全性。
- 它要求一個計畫或「架構」,以處理您特定業務中所有業務與IT程式的風險,而非一般的IT法規遵循架構。
- 其嚴謹的本質意味著,我們必須審慎且主動地考量我們如何進行作業,將任何業務流程的風險與複雜性降至最低。如此一來,我們就能減少問題數量,並更輕鬆地管理剩餘的問題。只要增加更多的偵測與回應功能,就無法解決問題-我們無法跟上。
- 技術性債務問題,例如無法輕易納入回複方案、更新、修補或套用安全性控制項的系統,將會對法律與法規遵循風險造成重大挑戰。
- 這需要我們非常迅速的恢復並且能夠證明我們有能力這樣做。
這都是關於內在的韌性
因此,雖然大多數人談論DORA時,都好像它完全是為了復原,但實際上它主要是關於我之前所說的「內在的復原力」。 這個詞是我創造的,因為我一直覺得,真正的復原力應該與一開始不被打倒一樣(如果不是更多的話),而不是僅僅是重新站起來。而且考慮到絕大多數的違規都是由已知問題所造成,因此我們可以運用本系列中提出的概念,在這方面做得更好。
再重複一遍,我們必須更具策略性,並專注於問題的根本原因、IT與業務程式,這些因素會帶來可預防的風險與弱點,進而造成大部分的違規事件。正如我們之前所探索的,我們的復甦能力的安全網是這一轉變的最大推動因素和加速器。
此外,還有我們上一期討論過的模擬功能,不僅可以進一步加快我們轉向低風險環境的速度,還能讓我們更輕鬆且符合成本效益地證明法規遵循。更不用說提升企業創新與適應的速度。
Hitachi Vantara所提供的強大模擬能力,能夠以真正真實的方式(利用備份中的數位雙胞胎)模擬並示範回覆功能,同時滿足企業與監管機構的需求。這比許多人所意識到的更為重要,因為在災難或破壞狀況下,很難預測系統與工作負荷之間的關係與相依性,所以回覆工作經常會失敗。
模擬是流程的必要條件
這和為什麼技術債務常常如此難以解決的原因類似。我們知道可能有未知或無法預測的相依性,這些相依性可能會造成潛在的影響,因此害怕進行變更。但利用模擬功能建立基礎建設的「復本」,讓我們能夠消除此障礙,更快速地解決技術債務問題,避免法規遵循等問題。
當然,回覆也是DORA的重要部分,我可以說,Hitachi Vantara擁有全球最快的回覆解決方案,是您滿足其嚴格的回覆時間需求的最佳選擇。
其他機制,例如真正的資料不變性,可進一步增強您成功復原的機會。
但我們不應該忘記這個安全網給予我們的自由和可能性,讓我們進行積極主動的改變,而不是坐等最壞的情況發生。正是這些超越回覆功能的功能,讓這些功能隨時變得如此珍貴,不只是當災難來襲時。
您的回覆解決方案越快速、越可靠、越全面,您就能越快速地推動這項主動式變更,並達成全面的DORA法規遵循。萬一發生問題,這些相同的屬性不僅能讓您更快恢復營運,還能保護您在回覆時間目標方面的法規遵循。
使用DORA作為變更機會
最後,我必須說,我在這系列中的觀點是我自己的,您絕對應該諮詢您自己的律師,並自行決定。我肯定有人會認為我對DORA的看法比實際情況更宏大。但以這種方式回應DORA意味著我們可以利用推動DORA的動力,推動真正的變革,真正改善我們的工作方式,加速轉型,提高靈活性並提升利潤,同時降低風險。
那麼,為什麼要將DORA視為額外的法規遵循成本,卻因為做得不夠而冒犯它的風險呢?與其說這是一個機會,不只是為了改變,而是為了獲得更好的結果、更好的IT和更好的業務。
選擇權在你。
參閱本系列的前幾篇文章
Greg van der Gaast
Greg van der Gaast started his career as a teenage hacker and undercover FBI and DoD operative but has progressed to be one of the most strategic and business-oriented voices in the industry with thought-provoking ideas often at odds with the status quo.
He is a frequent public speaker on security strategy, the author of Rethinking Security and What We Call Security, a former CISO, and currently Managing Director of Sequoia Consulting which helps organizations fix business problems so that they have fewer security ones.
