DORA (Digital Operational Resilience Act) ve Guardium

DORA (Digital Operational Resilience Act): Finansal Sektörde Dijital Dayanıklılık

Dijital dönüşüm, finans sektördeki kuruluşlar için sayısız fırsat ve kolaylıklar sunarken, beraberinde önemli siber güvenlik risklerini de getiriyor. Siber saldırılar, veri erişim ihlalleri, kontrolsüz erişimler ve kritik güvenlik zafiyetleri gibi tehditler, finansal sistemlerin bütünlüğünü ve sistematik çalışmasını tehdit etmektedir. Bu bağlamda, Avrupa Birliği, finansal kuruluşların dijital operasyonel dayanıklılıklarını artırmak amacıyla DORA (Digital Operational Resilience Act) regülasyonunu devreye aldı. Bu yazıda, DORA regülasyonunu ne olduğunu, amaçlarını ve finansal kuruluşlara getirdiği yenilikleri ve sorumlulukları inceleceğiz.

DORA Nedir?

DORA, Avrupa Birliği (EU) tarafından dijital operasyonel dayanıklılığı artırmak amacıyla tasarlanmış yeni bir regülasyondur. Temel amacı, finansal kuruluşların dijital risklere (siber saldırılar, veri erişim ihlalleri, veri kaybı vs.) karşı daha hazırlıklı olmalarını sağlamak ve bu riskleri etkin bir şekilde yönetebilmeleri için gerekli çerçeveyi ve temelleri belirlemektir.

DORA’nın Amaçları ve Temel Bileşenleri

1. Dijital Dayanıklılığı Artırmak

A. Siber Saldırılara Karşı Koruma

DORA, finansal kuruluşların siber saldırılara karşı dirençlerini artırmayı amaçlar. Bu kapsamda:

• Siber güvenlik önlemleri: Güçlü siber güvenlik politikaları ve prosedürlerinin belirlenmesi ve uygulanması gereklidir. Günümüzde siber güvenlik tehditleri çok hızlı şekilde değişkenlik gösteren ve gelişen bir yapıdadır. Siber güvenlik politikaların kurumun kritik uygulama ve işleyişine göre tasarlanmalıdır.
• Proaktif Savunma: Siber tehdit istihbaratı, anomali tespiti, sürekli ve gerçek zamanlı izleme gibi proaktif savunma mekanizmalarının kullanılması teşvik edilir. Dijital operasyonlar siber tehditlere karşı çok kırılgan bir yapıdadır, operasyonel devamlılık için siber riskleri her alanda minimuma seviyelere indirecek savunma, tespit ve izleme sistemlerinin doğru şekilde konumlandırılmış olması önemlidir.

B. Veri Kaybını Önlemek

Veri bütünlüğünü ve güvenliğini korumak amacıyla:

• Veri Yedekleme ve Kurtarma: Düzenli veri yedeklemeleri yapılmalı ve etkin bir veri kurtarma planı oluşturulmalıdır. Yedeklenen verilerin fidye tabanlı saldırılardan etkilenmeyecek şekilde saklanması önemlidir, modern yedekleme çözümleri bu tip güvenlik risklerini minimuma indirecek şekilde çalışmaktadır.
• Veri şifreleme: Hassas verilerin korunması için güçlü şifreleme teknikleri kullanılmalıdır. Hassas verilerin herhangi bir güvenlik zafiyetinden kaynaklı ifşa olma riskine karşın şifreli olarak saklanması önemlidir. Eğer hassas veriler kalıcı olarak şifrelenemiyorsa mutlaka dinamik veri maskeleme ve tokenizasyon tekniklerinin uyarlaması önemlidir.

2. Risk Yönetimi

A. Dijital Operasyonel Risk Yönetim Çerçevesi

Finansal kuruluşların, dijital operasyonel riskleri yönetmek için kapsamlı bir çerçeve geliştirmeleri gerekmektedir:

• Risk Değerlendirmesi: Dijital operasyonel risklerin düzenli olarak değerlendirilmesi ve analiz edilmesi. Günümüzde dijital operasyonlar çok dinamik ve ihtiyaçlara göre hızlıca değişim göstermektedir, risk değerlendirme sürecinin de bu değişimle uyumlu olması önemlidir.
• Risk Azaltma Stratejileri: Riskleri azaltmak için uygun stratejiler ve kontrollerin uygulanması. Dijital operasyonların büyük bir kısmı siber güvenlik ve insan kaynaklı riskleri barındırmaktadır, risk azaltıcı stratejiler bu temel üzerinde dizayn edilmeli ve etkin şekilde uygulanmalıdır.

B. Sürekli İyileştirme

• İzleme ve Raporlama: Dijital operasyonel performansın sürekli izlenmesi ve düzenli raporlama yapılması. Erişim ve güvenlikle ilgili noktaların sürekli izlenmesi ve sonuçlarının ölçülebilir olması operasyonel devamlılık için kritik önem taşır.
• Denetim ve İnceleme: Risk yönetim süreçlerinin düzenli olarak iç kontrol ve denetim ekipleri ile denetlenmesi ve iyileştirilmesi. İç kontrol ve denetim ekiplerinin tespit ettiği bulguların önceliklendirilmesi ve kritik öneme sahip bulguların ivedi şekilde kapatılması.

3. Gözetim ve Denetim

A. Yetkili Otoriteler Tarafından İzleme

DORA, yetkili otoritelerin finansal kuruluşların dijital operasyonel risklerini izlemelerini ve değerlendirmelerini sağlar:

• Raporlama Yükümlülükleri: Finansal kuruluşların, dijital operasyonel olayları ve risk yönetim süreçlerini düzenli olarak raporlamaları gerekmektedir. Kurum, bu süreçler için gerekli alt yapı ve teknoloji yatırımlarını yapmış olmalı, yeni çıkan ihtiyaçlar için de bu yatırımları yapmaya devam etmelidir.
• Denetim ve Uyumluluk Kontrolleri: Yetkili otoriteler tarafından düzenli denetimler ve uyumluluk kontrolleri yapılır. Bu denetimler iç ve dış denetimler şeklide periyodik olarak yapılmaktadır.

B. İşbirliği ve Bilgi Paylaşımı

• Bilgi Değişimi: Yetkili otoriteler arasında iş birliği ve bilgi paylaşımı teşvik edilir. Yetkili otoritelerin herhangi bir konu için bilgi istemesi durumunda bu bilgiler şeffaf şekilde paylaşılmalıdır.
• Koordinasyon: AB genelinde tutarlı ve uyumlu denetim uygulamalarının sağlanması. Her kurumda bu süreçlerin belirli bir standart çerçevesinde düzenlenmesi gerekir.

4. Harmonizasyon

A. AB Genelinde Tutarlılık

DORA, dijital operasyonel dayanıklılık standartlarının AB genelinde tutarlı ve uyumlu bir şekilde uygulanmasını sağlar:

• Standartlar ve Kılavuzlar: AB genelinde ortak standartlar ve kılavuzlar geliştirilir. Bu, uyumluluk ve denetim süreçlerini kolaylaştırır.
• Uyumlu Uygulamalar: Finansal kuruluşların bu standartlara uyum sağlamaları teşvik edilir.

B. Uluslararası İşbirliği

• Global Uyumluluk: DORA, uluslararası düzeyde de uyumlu güvenlik ve dayanıklılık standartlarının benimsenmesini ve uyarlanmasını teşvik eder.
• Sınır Ötesi Etkileşimler: Sınır ötesi finansal işlemler ve iş birlikleri için ortak dayanıklılık ve güvenlik çerçeveleri oluşturulur.

5. Üçüncü Taraf Risk Yönetimi

A. ICT Hizmet Sağlayıcıları ile İlişkiler

DORA, finansal kuruluşların kritik bilgi iletişim teknolojisi (ICT) hizmet sağlayıcıları ile olan ilişkilerini dikkatle yönetmelerini gerektirir:

• Sözleşme Yönetimi: Hizmet sağlayıcılarla yapılan tüm sözleşmelerde güvenlik ve dayanıklılık koşullarının net bir şekilde belirlenmesi.
• Risk Değerlendirmesi: Üçüncü taraf hizmet sağlayıcıların risklerinin düzenli olarak değerlendirilmesi ve izlenmesi.

B. Gözetim ve Denetim

• Denetim Hakları: Finansal kuruluşların, hizmet sağlayıcılarının dijital operasyonel dayanıklılıklarını denetleme hakları olmalıdır.
• Acil Durum Planları: Hizmet sağlayıcılarla birlikte acil durum planları ve iş sürekliliği stratejileri geliştirilmelidir.

Kimler Kapsam Dahilinde?

• Banka ve Kredi Kuruluşları:

1. • Ticari bankalar
   • Yatırım bankaları
   • İpotek bankaları

• Sigorta ve Reasürans Şirketleri:

1. • Hayat sigortası şirketleri
   • Sağlık sigortası şirketleri
   • Reasürans şirketleri

• Yatırım Firmaları ve Varlık Yönetimi Şirketleri:

1. • Portföy yönetim şirketleri
   • Yatırım danışmanlığı firmaları
   • Kolektif yatırım kuruluşları

• Ödeme ve Elektronik Para Kuruluşları:

1. • Ödeme hizmeti sağlayıcıları
   • Elektronik para kuruluşları

• Finansal Piyasa Altyapısı Sağlayıcıları:

1. • Takas ve merkezi karşı taraf (CCP) kuruluşları
   • Merkezi saklama kuruluşları (CSD’ler)

• Ticaret Platformları:

1. • Borsalar
   • Çoklu işlem platformları (MTF’ler)
   • Organize ticaret sistemleri (OTF’ler)

• Kredi Kuruluşları ve Kredilendirme Hizmeti Sağlayıcıları:

1. • Tüketici kredisi sağlayıcıları
   • Faktoring ve leasing şirketleri

• Emeklilik Fonları ve Yönetim Şirketleri:

1. • Mesleki emeklilik fonları
   • Emeklilik fonu yönetim şirketleri

• Finansal Danışmanlık ve Aracılık Hizmetleri:

1. • Sigorta ve yatırım danışmanlık firmaları
   • Aracı kurumlar

• Kritik Üçüncü Taraf Bilgi İletişim Teknolojisi (ICT) Hizmet Sağlayıcıları:

1. • Bulut hizmeti sağlayıcıları
   • Veri merkezleri
   • Diğer kritik IT hizmet sağlayıcıları

DORA, bu kuruluşların dijital operasyonel dayanıklılıklarını artırmak amacıyla belirli gereksinimleri ve standartları karşılamalarını zorunlu kılar. Bu kapsamda, bilgi iletişim teknolojisi (ICT) risk yönetimi, operasyonel dayanıklılık testleri, olay raporlama, üçüncü taraf risk yönetimi ve dijital operasyonel dayanıklılık stratejilerinin belirlenmesi gibi alanlarda düzenlemelere uyulması gerekmektedir.

IBM Guardium’un DORA Regülasyonuna Katkıları

Guardium, IBM tarafından geliştirilen bir veri güvenliği ve uyumluluk çözümüdür. Finansal kuruluşların DORA (Digital Operational Resilience Act) düzenlemelerine uyum sağlamasına önemli katkılar sağlar. Guardium çözümünün DORA’ya katkıları:

1. Veri Güvenliği ve Koruma:

1. • Gerçek Zamanlı İzleme ve Alarm: Guardium, veri tabanları (RDBMS), veri ambarları (DWH), büyük veri platformları (big data, no-sql)  ve bulut ortamları dahil olmak üzere çeşitli veri depolama sistemlerini gerçek zamanlı olarak izler ve elde ettiği iz kayıtlarını değiştirilemeyecek şekilde saklar. Şüpheli etkinlikleri tespit ettiğinde anında alarm üreterek potansiyel tehditlere karşı hızlı müdahale sağlar.
   • Veri Maskeleme ve Şifreleme: Hassas verilerin yetkisiz erişimlerden korunmasını sağlamak için veri maskeleme ve şifreleme teknikleri kullanır. Bu, özellikle finansal verilerin güvenliği için kritik öneme sahiptir.
2. Uyum ve Denetim:
   • Detaylı Denetim Kayıtları: Guardium, tüm veri erişimlerini ve işlemlerini ayrıntılı bir şekilde saklayarak, uyumluluk denetimleri için gerekli olan denetim izlerini sağlar. Bu, DORA’nın gerektirdiği düzenleyici raporlama ve denetim gereksinimlerini karşılamaya yardımcı olur.
   • Raporlama ve Uyum Yönetimi: Guardium, finansal kuruluşların veri güvenliği politikalarına uyumlarını izlemelerine ve raporlamalarına yardımcı olan kapsamlı raporlama araçları sunar. Bu raporlarla hem uyumluluk hem de siber güvenlik süreçleri için detaylı çıktılar sunar.
3. Risk Yönetimi ve Analiz:
   • Tehdit Analizi ve Risk Değerlendirme: Guardium, potansiyel tehditleri, veri erişim ihlallerini ve zafiyetleri analiz ederek risk değerlendirmesi yapar. Bu analizler, finansal kuruluşların siber güvenlik risklerini daha iyi yönetmelerine ve azaltmalarına yardımcı olur. Guardium veri erişimleri için tam görünürlük sağlar, legal ve illegal erişimleri tek noktadan gösterir.
   • Kullanıcı Davranışı Analitiği: Anormal kullanıcı davranışlarını tespit etmek için gelişmiş analitik araçlar kullanır. Bu, iç tehditlerin ve yetkisiz erişim girişimlerinin erken aşamada belirlenmesine yardımcı olur. İzlediği her kullanıcı ve uygulama için risk puanlaması yapar, herhangi bir alarm kuralı yazmadan riskli kullanıcıların yaptığı işlemler için alarm çıktıları üretir.
4. Engelleme, İzolasyon(Karantina) ve Yanıt:
   • Olay Müdahale: Şüpheli veya yetkisiz faaliyetler tespit edildiğinde, Guardium bu faaliyetleri bloklayıp, izole edebilir ve gerektiğinde otomatik olarak belirli eylemleri SOAR entegrasyonları ile başlatabilir. Bu, olası veri ihlallerini minimize etmek için hızlı müdahale sağlar.
   • Otomatik Yanıt Mekanizmaları: Tehditlere karşı SOAR sistemleri üzerinden otomatik yanıt mekanizmaları oluşturarak, olay müdahale süreçlerini hızlandırır ve insan hatasını azaltır.
5. Üçüncü Taraf Risk Yönetimi:

• • Veri Erişim Kontrolleri: Üçüncü taraf hizmet sağlayıcılarının veri erişimlerini kontrol altında tutar ve bu erişimlerin sürekli olarak izlenmesini sağlar. Bu, üçüncü taraflarla ilgili risklerin yönetilmesine yardımcı olur. Hizmet sağlayıcıların yapmış olduğu kritik işlemler için sayısal kanıt niteliği taşıyan iz kayıtları sunar.
  • İşbirliği ve Uyum Yönetimi: Guardium, üçüncü taraflarla işbirliği yaparken veri güvenliği politikalarının uygulanmasını ve uyum süreçlerinin yönetilmesini kolaylaştırır.

Guardium çözümü, DORA’nın getirdiği gereksinimlere uygun olarak veri güvenliği, uyumluluk, risk yönetimi ve olay müdahale süreçlerini güçlendirir. Bu, finansal kuruluşların dijital operasyonel dayanıklılıklarını artırmalarına ve düzenleyici gereksinimlere uyum sağlamalarına önemli ölçüde katkıda bulunur.