BLOG – De Digital Operational Resilience Act (Dora) lost een belangrijk probleem op met de regelgeving voor financiële instellingen in de Europese Unie. Dit bindende raamwerk voor risicobeheer heeft ten doel om de veerkracht van digitale omgevingen in de financiële sector te verbeteren. De verordening stelt ook eisen aan het risicobeheer rond externe leveranciers van it-diensten aan deze sector (zoals cloudproviders), of die nu in de EU of daarbuiten zijn gevestigd.
Alle relevante organisaties moeten vanaf 17 januari 2025 aan de eisen van Dora voldoen. Dat betekent dat financiële instellingen minder dan een jaar de tijd hebben om hun zaken op orde te krijgen. Om hun it-infrastructuur veilig te houden en een optimale beschikbaarheid van hun data en diensten te waarborgen, moeten veel van hen investeren in nieuwe oplossingen. Er bestaat geen oplossing die Dora-compliance in zijn geheel dekt. Veel financiële instellingen moeten dus op zoek naar een combinatie van oplossingen die bij hun bedrijf en infrastructuur past en dekking biedt voor de eisen van Dora. Moderne disaster recovery met continuous data protection (cdp) en realtime-encryptiedetectie dekt meerdere artikels van Dora en past dus goed bij financiële instellingen die de dekking omwille van beheersbaarheid met zo weinig mogelijk verschillende oplossingen willen realiseren.
Op het lijf
Artikel 9 van Dora is gericht op de weerbaarheid, continuïteit en beschikbaarheid van ict-systemen. Dit is moderne disaster recovery-oplossingen die gebruikmaken van cdp op het lijf geschreven. De cdp-technologie houdt voortdurend alle wijzigingen in data bij en repliceert die naar een spiegellocatie in plaats van dat met vooraf gedefinieerde intervallen te doen, zoals bij traditionele backups het geval is. Elke versie wordt gerepliceerd naar een externe of interne locatie. Deze oplossingen maken gebruik van journals die een log bijhouden van alle wijzigingen die plaatsvinden. Dit maakt het mogelijk gegevens te herstellen tot op seconden voordat er een beveiligingsincident of storing plaatsvond. Het journal houdt een geschiedenis bij van duizenden herstelpunten, waarmee de cdp-technologie de kans op gegevensverlies minimaliseert. Dit reduceert de impact van de verstoring van bedrijfsprocessen, of die nu het gevolg is van een menselijke fout, kwade wil of een natuurramp. Cdp is daarmee een ideale oplossing om te voldoen aan de kerneisen van artikel 9.
Detectiecapaciteit
Artikel 10 van Dora is bedoeld om de detectiecapaciteit te verbeteren. Financiële instellingen moeten beschikken over ‘mechanismen om afwijkende activiteiten zo spoedig mogelijk te detecteren’, inclusief ‘automatische waarschuwingsmechanismen voor de betrokken personeelsleden die belast zijn met de respons op ict-gerelateerde incidenten’.
Dankzij de combinatie van cdp en het journal weet je precies waar het exacte herstelpunt is
Preventieve beveiligingstools zijn ideaal geschikt voor het detecteren en blokkeren van cyberdreigingen zoals ransomware-aanvallen die data versleutelen. Tools voor realtime-encryptiedetectie maken gebruik van intelligente algoritmen om organisaties binnen enkele seconden op de hoogte te stellen van onregelmatigheden die op het eerste stadium van een ransomware-aanval kunnen wijzen. Cybercriminelen houden op die manier aanzienlijk minder tijd over om data te versleutelen. Dankzij de combinatie van cdp en het journal weet je precies waar het exacte herstelpunt is. Dit maakt het eenvoudiger om data en applicaties te herstellen naar seconden voordat er een beveiligingsincident optrad. Dit draagt bij aan een drastische reductie van downtime en gegevensverlies als gevolg van cyberaanvallen.
Testen
Artikel 11 richt zich op respons en herstel. Het artikel stelt dat financiële instellingen passende continuïteitsplannen moeten implementeren en die regelmatig moeten testen om de effectiviteit daarvan op peil te houden. Het probleem is dat niet alle disaster recovery-oplossingen geavanceerde mogelijkheden bieden voor het testen van failover of geavanceerde gegevensanalyse. Financiële instellingen moeten daarom kiezen voor een disaster recovery-oplossing die voorziet in volledig geautomatiseerde, niet-verstorende en fijnmazige failover-tests in een sandbox-omgeving. Deze testmogelijkheden zouden idealiter gegarandeerd herstel moeten bieden in combinatie met gedetailleerde rapportagemogelijkheden die het mogelijk maken om tijdens audits en inspecties aan te tonen dat de it-omgeving voldoende is beveiligd. Met de juiste disaster recovery-oplossing kan één persoon met een simpele muisklik de effectiviteit van het gegevensherstel testen. Dit is mogelijk in een paar minuten tijd en zonder enige verstoring van de productieomgeving.
One-to-many
Artikel 12 van Dora stelt dat financiële instellingen zich moeten indekken tegen de uitval van een complete locatie. Ze moeten gebruikmaken van minimaal één secundaire locatie ‘met adequate middelen, capaciteiten, functies en personeelsvoorziening om te voorzien in de zakelijke behoeften’. Dit vraagt om een disaster recovery-oplossing die ‘one-to-many’-replicatie biedt, zoals cdp. Dat houdt in dat data op flexibele en efficiënte wijze worden beschermd door die vanuit één bron te repliceren naar doellocaties in twee of meer cloud-omgevingen. Deze functionaliteit maakt het mogelijk te werken met lokale replicatie, replicatie en failover naar doelomgevingen op verschillende externe locaties en om specifieke virtuele instances over te zetten naar een productielocatie. Asynchrone replicatie werkt in tegenstelling tot synchrone replicatie ook tussen locaties die verder van elkaar zijn verwijderd. Wanneer de oplossing op basis van cdp functioneert, doet het dit zonder het dataverlies dat normaal met asynchrone opties wordt geassocieerd. Organisaties verhogen op die manier hun cyberveerkracht en beschermen complete locaties tegen regionale calamiteiten.
Combinatie
Er bestaat geen universele oplossing die compliance met Dora mogelijk maakt. Financiële instellingen zijn dus genoodzaakt om een combinatie van verschillende oplossingen in te zetten. Maar met een moderne disaster recovery-oplossing die cdp combineert met realtime-encryptiedetectie en asynchrone replicatie kunnen organisaties een flinke stap zetten in het afdekken van de vereisten.
Egon van Dongen is systems engineering manager bij Zerto (HPE)
Compliance is altijd een leuke kapstok om je oplossing aan op te hangen en ik geloof direct dat Zerto een aantal opties biedt die interessant zijn als de locaties verder uit elkaar liggen maar in de Benelux is dit niet het geval. In het ‘one-to-many’ schrijven hebben oude SCSI commando’s hun voordelen als we kijken naar een Europese markt die op een aantal strategische punten mijlen ver voorloopt op een Amerikaanse markt. Want niet alleen in de financiële wereld wordt al meer dan 40 jaar met succes vertrouwd op synchrone replicatie als oplossing voor disaster recovery met klassieke storage arrays. En HPE biedt hierin door overnames al meer dan 5 keuzen waardoor ik me kan voorstellen dat er vanuit due diligence uiteindelijk wat vragen komen over mogelijke integraties in de toekomst.