Euroopan unionissa sääntely kiristyy. DORA-asetus (Digital Operational Resilience Act) on EU:n asetus finanssialan digitaalisesta häiriönsietokyvystä. Se astui voimaan 17. tammikuuta 2023 ja sitä sovelletaan käytännössä 17.1.2025 alkaen. Asetus koskee rahoitusalan toimijoita ja niiden kriittisten järjestelmien ja palveluiden kyberturvallisuutta.
Asetuksen tavoitteena on varmistaa, että finanssialan toimijat ovat kestäviä, kykenevät selviytymään digitaalisista uhkista – kuten kyberhyökkäyksistä – ja pystyvät palautumaan nopeasti mahdollisista häiriötilanteista.
Vaaditut toimenpiteet vastaavat pitkälti niitä vaatimuksia, joita valvottavilta jo edellytetään nykyisessä lainsäädännössä, Finanssivalvonnan määräyksissä ja ohjeissa sekä Euroopan rahoitusmarkkinaviranomaisten ohjeistuksissa. Asetuksen sisältö tähtää pakottavasti, mutta samalla käytännöllisesti liiketoiminnan jatkuvuuden suunnitteluun ja varmistamiseen digitaalisessa toimintaympäristössä.
Tämä vanha viisaus on myös DORA-asetuksen ytimessä: finanssitoimijoiden on kartoitettava kaikki toimintansa kannalta kriittiset (digitaaliset) järjestelmät ja palvelut sekä arvioitava niihin kohdistuvat riskit. Ilman syvällistä ymmärrystä siitä, miten palvelut liittyvät liiketoimintaan – esimerkiksi millaista tietoa niissä käsitellään ja mihin muihin järjestelmiin ne ovat kytköksissä – kokonaisuuden suojaaminen on haastavaa.
Kun järjestelmät ja riskit on kartoitettu, seuraava vaihe on laatia "vankka ja kattava digitaalisen häiriönsietokyvyn testausohjelma". Tavoitteena on tunnistaa ja korjata tietoturvapuutteet, heikkoudet ja aukot mahdollisimman nopeasti.
Testausohjelma ei ole kertaluonteinen projekti, vaan jatkuva ja pitkäjänteinen prosessi, joka tähtää säännölliseen tietoturvan parantamiseen. Testaaminen toimii keinona tunnistaa puutteita, mutta niiden korjaaminen vaatii kokonaisvaltaista lähestymistapaa.
DORA-asetuksen 25 artikla listaa seuraavat testausohjelmaan liittyen seuraavat soveltuvat testausmenetelmät:
Menetelmien tarkkaa sisältöä ei asetuksessa avata, eikä myöskään määritellä, mikä testausmenetelmä sopii mihinkin tilanteeseen. Näiden päätösten tekeminen jää kunkin toimijan vastuulle osana testausohjelman suunnittelua. Keskeistä kuitenkin on, että valitut menetelmät suhteutetaan kunkin järjestelmän riskitasoon. Esimerkiksi Internetin kautta käytettävä kuluttajasovellus voidaan testata eri menetelmin kuin suljetussa sisäverkossa oleva palvelin.
Esimerkki: Kuluttajakäyttöön tarkoitetun mobiilisovelluksen testaaminen
Mobiilisovelluksen riskitasoa nostavat muun muassa seuraavat tekijät:
Tällaisen sovelluksen testausohjelmassa tulisi huomioida esimerkiksi:
Kuten esimerkki osoittaa, yksittäinen testausmenetelmä ei riitä kattamaan kaikkia korkean riskin järjestelmän näkökulmia. Erityisesti Internetin kautta käytettävät palvelut vaativat monipuolista testausta. Sopivan testausmenetelmän valintaan ja testausohjelman suunnitteluun kannattaa hyödyntää osaavaa kumppania.
Silverskin auttaa valitsemaan sopivat testausmenetelmät erityisesti verkko- ja mobiilisovelluksiin. Suunnittelemme testausohjelmat riskiperusteisesti ja toteutamme muun muassa haavoittuvuusarvioinnit, tunkeutumistestaukset (eli penetraatiotestaukset) sekä niiden osana tehtävät lähdekoodin tarkastelut.