Hệ sinh thái tài chính ngày càng phụ thuộc sâu vào hạ tầng số khiến rủi ro không chỉ đến từ biến động thị trường mà còn từ các sự cố công nghệ có thể làm gián đoạn toàn bộ hệ thống. DORA regulation được Liên minh Châu Âu ban hành nhằm tăng cường khả năng phục hồi hoạt động kỹ thuật số trước các cú sốc công nghệ. Cùng Learning Chain đi tìm hiểu DORA regulation, khuôn khổ mới chuyển trọng tâm từ an ninh mạng đơn thuần sang năng lực duy trì vận hành bền bỉ trong mọi tình huống.
DORA regulation là một khung pháp lý thống nhất của EU nhằm đảm bảo rằng tất cả các định chế tài chính, từ ngân hàng truyền thống đến các công ty Fintech, đều có khả năng chịu đựng, phản ứng và phục hồi sau các sự cố liên quan đến công nghệ thông tin và truyền thông. Mục tiêu của đạo luật này là ngăn chặn sự gián đoạn hoạt động có thể gây bất ổn cho hệ thống kinh tế châu Âu bằng cách chuẩn hóa các quy tắc bảo mật trên toàn khối.
Khác với các quy định trước đây chỉ tập trung vào vốn, DORA regulation đặt sức khỏe kỹ thuật số lên hàng đầu, yêu cầu các doanh nghiệp phải chứng minh được sức đề kháng của hạ tầng công nghệ trước mọi kịch bản rủi ro.
Cấu trúc của đạo luật dựa trên năm trụ cột chiến lược, tạo nên một bức tường phòng thủ toàn diện bao phủ mọi khía cạnh của hoạt động kỹ thuật số trong ngành tài chính.
Trụ cột đầu tiên và quan trọng nhất yêu cầu các tổ chức tài chính phải thiết lập một khung quản trị rủi ro CNTT vững chắc và toàn diện. Doanh nghiệp buộc phải xác định chính xác các tài sản kỹ thuật số quan trọng, các lỗ hổng tiềm ẩn và thiết lập các biện pháp bảo vệ tương ứng để giảm thiểu tác động của sự cố. Quy trình này không được phép tĩnh tại mà phải liên tục được cập nhật và cải tiến để đối phó với các mối đe dọa mạng ngày càng tinh vi, đảm bảo tính liên tục của các dịch vụ tài chính cốt lõi trong mọi tình huống.
DORA regulation chuẩn hóa quy trình báo cáo sự cố trên toàn EU, yêu cầu các doanh nghiệp phải thông báo cho cơ quan quản lý về các sự cố CNTT nghiêm trọng trong khung thời gian cực ngắn. Việc này nhằm mục đích giúp các nhà chức trách có cái nhìn tổng quan theo thời gian thực về tình hình an ninh mạng và ngăn chặn hiệu ứng lây lan rủi ro giữa các tổ chức. Các báo cáo phải tuân theo các mẫu quy định chung, bao gồm phân tích nguyên nhân gốc rễ và đánh giá thiệt hại, giúp tạo ra một cơ sở dữ liệu chung để cả ngành cùng học hỏi và phòng ngừa.
Thay vì chỉ dựa vào lý thuyết, các tổ chức phải thực hiện kiểm thử khả năng phục hồi kỹ thuật số định kỳ thông qua các bài kiểm tra thực tế như quét lỗ hổng và kiểm tra thâm nhập. Đối với các tổ chức có tầm quan trọng hệ thống, DORA regulation bắt buộc thực hiện các cuộc diễn tập TLPT hay Threat-Led Penetration Testing quy mô lớn ba năm một lần. Đây là các cuộc tấn công giả lập có kiểm soát dựa trên thông tin tình báo đe dọa thực tế, nhằm đánh giá khả năng phòng thủ và phản ứng của hệ thống trong điều kiện tác chiến thực sự.
Quản lý rủi ro bên thứ ba TPRM là điểm mới mang tính đột phá, buộc các tổ chức tài chính phải chịu trách nhiệm về rủi ro phát sinh từ các nhà cung cấp dịch vụ CNTT như điện toán đám mây hay phân tích dữ liệu. Bên cạnh đó, trụ cột Chia sẻ thông tin tình báo mối đe dọa khuyến khích sự hợp tác giữa các tổ chức tài chính để cùng nhau đối phó với tội phạm mạng.
Việc chia sẻ các dấu hiệu tấn công và chiến thuật của hacker giúp tạo ra một mạng lưới phòng thủ cộng đồng, nâng cao khả năng cảnh báo sớm cho toàn bộ hệ sinh thái tài chính.
Đối với các công ty Fintech vốn sinh ra trên nền tảng công nghệ, DORA regulation vừa là áp lực tuân thủ vừa là cơ hội để khẳng định sự trưởng thành trong quy trình vận hành.
Các doanh nghiệp Fintech thường phụ thuộc nặng nề vào hạ tầng đám mây của các ông lớn công nghệ, và DORA regulation yêu cầu họ phải có chiến lược giám sát và thoát ly rõ ràng. Fintech không thể phó mặc toàn bộ trách nhiệm bảo mật cho nhà cung cấp mà phải có kế hoạch dự phòng để chuyển đổi dữ liệu sang nhà cung cấp khác nếu đối tác hiện tại gặp sự cố. Điều này buộc các Fintech phải đàm phán lại các hợp đồng dịch vụ SLA phức tạp hơn và xây dựng kiến trúc đa đám mây để tránh rủi ro tập trung vào một nhà cung cấp duy nhất.
Quy trình ứng phó thảm họa phải được nâng cấp từ các bản kế hoạch trên giấy thành các quy trình hành động thực tế đã được kiểm chứng qua diễn tập. Ban lãnh đạo cấp cao C-suite của các công ty Fintech giờ đây phải chịu trách nhiệm giải trình cá nhân về sự tuân thủ DORA regulation, không thể đổ lỗi cho bộ phận kỹ thuật. Điều này đòi hỏi các giám đốc điều hành phải nâng cao kiến thức về an ninh mạng và tham gia trực tiếp vào việc phê duyệt các chiến lược quản lý rủi ro kỹ thuật số của công ty.
Công nghệ không chỉ là đối tượng quản lý mà còn là công cụ đắc lực giúp các doanh nghiệp đáp ứng các yêu cầu khắt khe của đạo luật này.
Trí tuệ nhân tạo đang được ứng dụng để giám sát mạng lưới 24/7, phát hiện các hành vi bất thường và dấu hiệu tấn công mạng với độ chính xác cao hơn con người. Các hệ thống tự động hóa báo cáo sự cố theo thời gian thực giúp doanh nghiệp thu thập dữ liệu và điền vào các biểu mẫu tuân thủ của DORA regulation chỉ trong vài phút. Việc này giúp giảm thiểu sai sót hành chính và đảm bảo đáp ứng các mốc thời gian báo cáo ngặt nghèo mà cơ quan quản lý châu Âu yêu cầu.
Các công cụ giả lập tấn công tự động BAS Breach and Attack Simulation cho phép doanh nghiệp thực hiện kiểm tra thâm nhập liên tục thay vì chỉ làm định kỳ hàng năm. Công nghệ này giúp mô phỏng các kỹ thuật tấn công mới nhất của hacker để tìm ra các lỗ hổng trong hệ thống phòng thủ trước khi chúng bị khai thác thực sự. Đây là phương pháp hiệu quả nhất để chứng minh khả năng phục hồi kỹ thuật số của doanh nghiệp đáp ứng được các tiêu chuẩn cao nhất của DORA regulation.
Con đường tiến tới sự tuân thủ đầy chông gai với những rào cản lớn về tài chính và nguồn lực con người mà các Fintech phải đối mặt.
Chi phí đầu tư cho hạ tầng bảo mật, phần mềm giám sát và các dịch vụ kiểm toán độc lập để tuân thủ DORA regulation là một gánh nặng tài chính đáng kể đối với các startup. Ngoài ra, việc đàm phán lại hợp đồng với các nhà cung cấp công nghệ lớn để bổ sung các điều khoản về quyền kiểm toán và giám sát là một cuộc chiến không cân sức. Các Fintech nhỏ thường gặp khó khăn trong việc yêu cầu các ông lớn công nghệ thay đổi điều khoản dịch vụ để phù hợp với quy định riêng của họ.
Thị trường đang khan hiếm trầm trọng các chuyên gia có kiến thức sâu rộng về cả an ninh mạng và quy định pháp lý tài chính như DORA regulation. Việc tuyển dụng và giữ chân nhân tài để xây dựng đội ngũ tuân thủ nội bộ trở thành bài toán nan giải, đẩy chi phí nhân sự lên cao ngất ngưởng. Sự thiếu hụt này có thể dẫn đến việc triển khai các biện pháp bảo mật không đồng bộ, tạo ra các lỗ hổng mà tội phạm mạng có thể khai thác.
Bước đầu tiên trong lộ trình tuân thủ là thực hiện đánh giá khoảng cách Gap Analysis để so sánh năng lực hiện tại với các yêu cầu của DORA regulation. Doanh nghiệp cần xác định rõ những điểm yếu trong hệ thống CNTT và quy trình quản trị để lập kế hoạch khắc phục ưu tiên. Learning Chain khuyến nghị việc xây dựng khung quản trị rủi ro linh hoạt, có khả năng thích ứng với sự thay đổi của công nghệ, kết hợp với sự tư vấn từ các chuyên gia luật để đảm bảo lộ trình tuân thủ đi đúng hướng ngay từ đầu.
CÂU HỎI THƯỜNG GẶP
Vì sao EU phải ban hành DORA?
Vì chỉ cần một sự cố IT lớn cũng có thể làm tê liệt cả hệ thống tài chính, không kém gì khủng hoảng thị trường.
DORA khác gì các quy định an ninh mạng trước đây?
DORA không chỉ lo “chống hack” mà tập trung vào khả năng chịu đựng – phục hồi – vận hành liên tục sau sự cố.
Những tổ chức nào phải tuân thủ DORA?
Tất cả ngân hàng, công ty tài chính, bảo hiểm, Fintech và cả nhà cung cấp dịch vụ CNTT cho họ tại EU.
DORA có bắt buộc báo cáo sự cố công nghệ không?
Có. Các sự cố nghiêm trọng phải được báo cáo rất nhanh theo mẫu thống nhất toàn EU.
Kiểm thử TLPT trong DORA là gì?
Là các cuộc tấn công giả lập sát thực tế để kiểm tra xem hệ thống có “chịu đòn” nổi không.
