随着金融部门准备推出《数字运营弹性法案》(Digital Operations Resilience Act,简称DORA),该法案将于周五生效,英国企业和员工的成本上升。
该法规旨在通过引入对ICT风险管理、操作测试和应急计划的要求,提高金融体系对网络威胁的抵御能力。
Orange Cyberdefence最近的数据显示,预计近一半(43%)的英国金融服务将错过DORA的最后期限。
Fladgate的技术律师蒂姆?赖特(Tim Wright)评论道:“从我们看到的活动来看,许多金融机构并没有为DORA的实施做好充分准备,这表明它们的准备程度各不相同。”
“由于资源限制和DORA 500多项要求的复杂性,以及必须与广泛的第三方服务提供商打交道,小公司尤其面临更大的挑战。”
根据Rubrik Zero Labs的研究,尽管有必要,但金融业正在倾尽全力做好准备,在DORA发布之前的过去两年里,47%的公司在合规方面的支出超过100万欧元(84.2万英镑)。
28%的受访者表示支出在50万欧元至100万欧元之间(合42.1万英镑至84.2万英镑)。
这些费用包括技术栈的升级、雇佣承包商和建立审计委员会,随着组织继续建立长期弹性,预计会有更多的成本。
Rubrik发现,它的实施也对网络安全团队造成了影响,英国近80%的首席信息安全官(ciso)表示,由于满足监管要求的压力,他们精神紧张。
然而,DORA的框架在为组织提供网络弹性方面是必要的。
Rubrik的研究发现,勒索软件仍是英国金融机构面临的最大威胁,46%的受访者表示,这是他们最大的网络安全担忧。
报告的其他主要风险包括第三方妥协和软件供应链中的漏洞。
Rubrik销售副总裁兼企业首席技术官James Hughes表示:“鉴于勒索软件和第三方入侵的威胁日益增加,实施法规是必要的,而且成本高昂。
“了解哪些数据是最关键的,这些数据在哪里,谁可以访问它,对于识别、评估和减轻ICT风险至关重要。如果不遵守这些良好的卫生习惯,组织现在可能会受到英国金融市场行为监管局(FCA)的罚款。”
首席信息安全官(ciso)和其他高管之间也存在脱节,近四分之三的首席信息安全官表示,他们的IT预算与董事会级别的法规遵从性优先事项不一致。
休斯补充道:“董事会层面的理解与现实之间存在着重大差距。尽管监管机构越来越严格,但许多首席信息安全官认为,他们的预算并没有充分反映出企业对合规的承诺。”
他表示:“这种脱节不仅危及企业的安全态势,也危及它们满足不断变化的监管要求的能力。”
