Skip to content

DORA: miks formaalne vastavus ei tähenda veel IT-vastupidavust

Lühidalt: DORA-le vastavus on digitaalse vastupidavuse jaoks vajalik, kuid mitte piisav – vaja on järjepidevalt üles ehitatud ja tsentraalselt juhitavat turbearhitektuuri, mille fookuses on identiteedi- ja krüptograafiahaldus.

Digitaalse tegevuse vastupidavuse määrus (DORA) kehtestab pankadele ja kindlustusseltsidele siduvad nõuded IT-riskide ja kolmandatest osapooltest teenusepakkujate käsitlemiseks. Kuid pelgalt regulatiivne vastavus ei taga tegelikku digitaalset vastupidavust – selleks on vaja järjepidevalt üles ehitatud turbearhitektuuri.

DORA sõnastab selged kohustused kõigile Euroopa Liidu järelevalve alla kuuluvatele finantsettevõtjatele: töökindlad struktuurid IKT-riskide juhtimiseks, määratletud kaitsemeetmed, protsessid küberrünnaku puhuks ning kolmandatest osapooltest teenusepakkujate kontroll. Paljud institutsioonid on sellele reageerinud juhtimisstruktuuride kohandamisega ning on dokumenteerinud eeskirjad, määratlenud teavitusprotsessid ja loonud allhankeregistrid.

Probleem peitub lõhes formaalse täitmise ja tegeliku turvalisuse vahel. Regulaatorid hindavad, kas struktuurid on olemas ja protsessid on määratletud. Tegelik vastupidavus aga avaldub alles igapäevases töös reaalsetes tingimustes. Näidetena võib tuua mitmes rakenduses laialdaselt kasutatavad sertifikaadid, detsentraliseeritult hallatavad krüptograafilised võtmed või ebajärjekindlalt rakendatud identiteedi- ja õiguste haldamise kontseptsioonid. Pilve- ja kolmandate osapoolte keskkondades puudub sageli läbipaistvus turvalisusega seotud protsesside osas. Formaalselt see reegleid ei riku, kuid suurendab oluliselt keerukust ning sellega kaasnevaid nõudeid kontrollile ja reageerimisvõimele.

Küberjulgeolekuohud finantssektoris teravdavad olukorda veelgi: rünnakute intensiivsus ja professionaalsus kasvavad, samal ajal kui paljud ettevõtted võitlevad aastate jooksul välja kujunenud keerukate IT-maastikega. Pangad ja kindlustusseltsid on ründajatele atraktiivsed sihtmärgid suurte varade ja tundlike andmete tõttu; riskid, nagu andmevargus ja lunavara, püsivad aktuaalsetena.

Tõhus digitaalne vastupidavus eeldab pöördumist compliance-mõtteviisist eemale: turvalisust ei tohi käsitleda üksikute meetmete summana, vaid tuleb luua järjepidevalt üles ehitatud, tsentraalselt juhitav ja pidevalt auditeeritav turbearhitektuur. Kaks keskset hooba on siinjuures digitaalsete identiteetide ja krüptograafia tsentraalne juhtimine. Kaasaegsetes, detsentraliseeritud infrastruktuurides, kus on arvukalt liideseid, kaotavad klassikalised võrgupiirid oma tähtsuse – juurdepääs toimub sageli üle asukohtade ja organisatsioonide piiride, kaasates väliseid osapooli. Sellised lähenemised nagu Zero Trust lahendavad seda, tuginedes autentimisel ja autoriseerimisel selgelt määratletud identiteetidele, mitte võrgu perimeetrile.


Allikas: www.it-daily.net · Avaldatud 3. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 poolt.

Share on: