Đạo luật về Khả năng phục hồi hoạt động kỹ thuật số (DORA) là một quy định quan trọng do Liên minh Châu Âu ban hành, dự kiến có hiệu lực vào ngày 17 tháng 1 năm 2025. DORA được thiết kế chủ yếu để tăng cường khả năng phục hồi hoạt động của các tổ chức tài chính trước các sự cố liên quan đến CNTT-TT, nhưng tác động của nó còn vượt xa hơn các tổ chức tài chính.

DORA thiết lập các yêu cầu và nguyên tắc mà các tổ chức tài chính phải tuân thủ, tập trung vào các kết quả và phương pháp quản lý rủi ro thay vì quy định các biện pháp kiểm soát hoặc công nghệ kỹ thuật cụ thể. Cách tiếp cận này cho phép các tổ chức điều chỉnh các nỗ lực tuân thủ của mình dựa trên hồ sơ rủi ro và nhu cầu hoạt động riêng của họ.

Tuy nhiên, những tác động của DORA không dừng lại ở các tổ chức tài chính. Quy định này cũng ảnh hưởng đáng kể đến các công ty trong chuỗi cung ứng, đặc biệt là những công ty cung cấp dịch vụ Công nghệ Thông tin và Truyền thông (ICT) cho các tổ chức tài chính. DORA công nhận vai trò quan trọng của các nhà cung cấp dịch vụ bên thứ ba này trong khả năng phục hồi hoạt động của các tổ chức tài chính và áp đặt các yêu cầu cụ thể để đảm bảo rằng họ không gây ra những rủi ro không đáng có. Do đó, các công ty có khách hàng là tổ chức tài chính hoặc được xem là một phần của chuỗi cung ứng cũng phải tuân thủ các yêu cầu của DORA để tránh trở thành mắt xích yếu trong chuỗi.

Tận dụng Cequence để đạt được sự tuân thủ DORA

Bảo mật và Bảo vệ

• Bảo mật API toàn diện: Cequence cung cấp các giải pháp bảo mật API giúp bảo vệ chống lại các mối đe dọa như truy cập trái phép, vi phạm dữ liệu và lạm dụng API. Bằng cách bảo mật API, Cequence giúp các tổ chức tài chính bảo vệ các giao diện kỹ thuật số của họ, vốn thường rất quan trọng đối với hoạt động của họ.
• Phát hiện và giảm thiểu mối đe dọa: Bằng cách cung cấp khả năng giám sát và phát hiện theo thời gian thực các hoạt động độc hại nhắm mục tiêu vào API, Cequence giúp các tổ chức tài chính nhanh chóng xác định và giảm thiểu các mối đe dọa, từ đó đảm bảo tính liên tục và giảm thiểu tác động của các sự cố.
• Tuân thủ các tiêu chuẩn bảo mật: Các giải pháp bảo mật API của Cequence có thể được điều chỉnh để đáp ứng các yêu cầu cụ thể được nêu trong DORA, đảm bảo rằng API của các tổ chức tài chính tuân thủ các tiêu chuẩn ngành và các phương pháp hay nhất về an ninh mạng.

Quản lý và ứng phó sự cố

• Ứng phó mối đe dọa tự động: Cequence có thể tích hợp với các hoạt động bảo mật của các tổ chức tài chính để tự động phát hiện và ứng phó với các sự cố liên quan đến API, giảm thời gian ứng phó và hạn chế thiệt hại tiềm tàng từ các sự cố liên quan đến CNTT-TT.
• Báo cáo sự cố: Các công cụ của Cequence có thể được định cấu hình để tạo điều kiện thuận lợi cho việc báo cáo các sự cố nghiêm trọng cho các cơ quan quản lý, theo yêu cầu của DORA. Điều này bao gồm cung cấp nhật ký và phân tích chi tiết giúp phân loại và báo cáo sự cố.

Quản lý rủi ro và kiểm tra khả năng phục hồi

• Đánh giá rủi ro API: Cequence có thể hỗ trợ các tổ chức tài chính thực hiện đánh giá rủi ro thường xuyên đối với API của họ, xác định các lỗ hổng tiềm ẩn và thực hiện các biện pháp để giảm thiểu những rủi ro đó phù hợp với các yêu cầu của DORA.
• Kiểm tra khả năng phục hồi liên tục: Cequence cung cấp các công cụ để kiểm tra liên tục tính bảo mật và khả năng phục hồi của API. Điều này bao gồm quét lỗ hổng, kiểm tra xâm nhập và kiểm tra độ bền để đảm bảo rằng API có thể chịu được các loại tấn công và gián đoạn khác nhau.

Quản lý rủi ro của bên thứ ba

• Giám sát API của bên thứ ba: Cequence cung cấp các giải pháp xác định, giám sát và bảo mật API do nhà cung cấp bên thứ ba cung cấp, giúp các tổ chức tài chính quản lý các rủi ro liên quan đến dịch vụ của bên thứ ba. Điều này đặc biệt quan trọng do DORA nhấn mạnh vào việc quản lý rủi ro của bên thứ ba CNTT-TT.
• Bảo mật chuỗi cung ứng: Cequence có thể giúp các tổ chức tài chính đánh giá và bảo mật các API được sử dụng bởi các nhà cung cấp và đối tác của họ, đảm bảo rằng toàn bộ chuỗi cung ứng có khả năng phục hồi và tuân thủ DORA.

Tự động hóa và điều phối bảo mật

• Tự động hóa các biện pháp kiểm soát bảo mật: Cequence cung cấp các khả năng tự động hóa có thể giúp các tổ chức tài chính triển khai và duy trì các biện pháp kiểm soát bảo mật nhất quán trên môi trường API của họ. Điều này làm giảm khả năng xảy ra lỗi do con người và đảm bảo tuân thủ DORA liên tục.
• Điều phối ứng phó sự cố: Các giải pháp của Cequence có thể giúp điều phối các quy trình ứng phó sự cố trên các nhóm và hệ thống khác nhau, đảm bảo rằng các tổ chức tài chính có thể nhanh chóng ứng phó và phục hồi sau các sự cố liên quan đến CNTT-TT.

Thông tin tình báo về mối đe dọa và chia sẻ thông tin

• Tích hợp thông tin tình báo về mối đe dọa: Cequence cung cấp thông tin tình báo về mối đe dọa các dịch vụ cung cấp cho các tổ chức tài chính thông tin cập nhật về các mối đe dọa mới nổi nhắm mục tiêu vào API. Điều này cho phép các biện pháp phòng thủ chủ động và phù hợp với khuyến khích của DORA về chia sẻ thông tin giữa các tổ chức.
• Nền tảng cộng tác: Cequence có thể tạo điều kiện cho các nền tảng an toàn để chia sẻ thông tin tình báo về mối đe dọa và các phương pháp hay nhất về bảo mật giữa các tổ chức tài chính, giúp họ cùng nhau cải thiện khả năng phục hồi trước các mối đe dọa chung.

Hỗ trợ tuân thủ và chuẩn bị kiểm toán

• Báo cáo tuân thủ: Cequence có thể hỗ trợ các tổ chức tài chính tạo ra các báo cáo và tài liệu cần thiết theo yêu cầu để tuân thủ DORA, bao gồm bằng chứng về các biện pháp bảo mật API và quy trình ứng phó sự cố.
• Sẵn sàng kiểm toán: Các công cụ của Cequence giúp các tổ chức tài chính chuẩn bị cho các cuộc kiểm toán bằng cách cung cấp khả năng hiển thị toàn diện về tư thế bảo mật API của họ, đảm bảo rằng họ có thể chứng minh sự tuân thủ DORA trong quá trình đánh giá theo quy định.

Mặc dù Đạo luật về Khả năng phục hồi hoạt động kỹ thuật số (DORA) rõ ràng nhằm mục đích tăng cường bảo mật CNTT cho các tổ chức tài chính châu Âu như ngân hàng, công ty bảo hiểm và công ty đầu tư, nhưng nó cũng áp dụng rõ ràng cho rủi ro của bên thứ ba mà các nhà cung cấp và đối tác chuỗi cung ứng có thể gây ra. Khi các tổ chức tài chính tiếp tục áp dụng công nghệ để phục vụ khách hàng tốt hơn, rút ngắn thời gian đưa sản phẩm ra thị trường và kiểm soát chi phí, rõ ràng là việc có các công cụ phù hợp để giám sát và bảo vệ cơ sở hạ tầng này là rất quan trọng. Các tổ chức phải có khả năng khám phá bề mặt tấn công API của họ, đảm bảo tuân thủ quản trị nội bộ và các quy định bên ngoài, đồng thời phát hiện và giảm thiểu các cuộc tấn công vào các ứng dụng và API của họ. Các trụ cột bảo mật này không còn là “điều tốt đẹp nên có”, mà là các khả năng cần thiết để đảm bảo thành công trong tương lai.

Thuật ngữ:

• DORA (Digital Operational Resilience Act): Đạo luật về Khả năng phục hồi hoạt động kỹ thuật số, một quy định của Liên minh Châu Âu nhằm tăng cường khả năng phục hồi của các tổ chức tài chính trước các rủi ro liên quan đến công nghệ.
• API (Application Programming Interface): Giao diện lập trình ứng dụng, cho phép các ứng dụng khác nhau giao tiếp và trao đổi dữ liệu với nhau.
• ICT (Information and Communication Technology): Công nghệ thông tin và truyền thông, bao gồm các hệ thống và thiết bị được sử dụng để xử lý và truyền tải thông tin.