Tashatuvango – stock.adobe.com
Nije baš iznenađenje toliko su organizacija propustilo rok za usklađenost u EU, ali nema izgovora za odlaganje, kaže Azul EMEA VP James Johnston
Od
- James Johnston, Azul
Objavljeno: 14. maja 2025. godine
Nije iznenađenje da su organizacije za financijske usluge propustile 17. januar2025. Ja lično nisam upoznao Cio ili Ciso koji su mislili da je taj rok realan.
Još uvijek u januaru, istraživanje narančaste CyberDefense vidjele su 43% ispitanika u industriji priznati da ne bi bili u skladu s rokom. U martu je jasan Junction otkrio 86% organizacija za finansijske usluge nije bilo u potpunosti u potpunosti i zabrinjavaštva izvještaj o spremnosti DORA-a pokazao je ogromnu varijaciju u otpornosti IT infrastrukture ovih institucija. Bankarski i pojmovnik podsektorica su se istakli kao najmanje pripremljeni za poštivanje, dok je podsektor za obradu financijskih transakcija bio najugroženiji na cyber pretnje.
S obzirom da smo znali da ovaj rok dolazi, zašto takva nedosljednost kada je u pitanju spremnost?
Realnost je da se strategije cyber sigurnosti uvijek bave pokretnim ciljevima. Danas bi se vaša organizacija mogla osjećati sigurnom i u skladu sa Dorom, ali sutra se pejzaž ranjivosti mogao promijeniti. Nove prijetnje se uvode cijelo vrijeme. Na primjer, mogli biste implementirati novu dobavljaču tehnologiju koja bi mogla stvoriti nove ranjivosti u lancu opskrbe ili su se propisi mogli promijeniti. U Velikoj Britaniji još uvijek očekujemo račun za cyber sigurnost i otpornost u nekom trenutku ove godine. Vlada je najavila svoje prijedloge, ali tek treba potvrditi kada će stupiti na snagu.
Pogledajte Doru kao priliku
Realnost je da mnoge kompanije još uvijek nisu sigurne koje mjere trebaju poduzeti za uspostavljanje usklađenosti sa Dora, a zahtijeva značajan iznos budnosti širom IT infrastrukture za razumijevanje vaše izloženosti.
Jedno područje koje je obično previdjelo ili sniženo je Java okruženje. S obzirom na Java sastoji se od 51% softverskog koda u finansijskom sektoru, kompanije bi trebale obavezati da svoje Java aplikacije daju odgovarajuće razmatranje, jer je ovo u tome što nalaze mnoge usklađenosti i sigurnosni rizici. Azul 2025. država Java anketiranje i izvješće otkrilo je da 41% ispitanika susreće se s kritičnim proizvodnim pitanjima sigurnosti u svojim Java ekosustavima na tjednoj ili dnevnoj osnovi. Dok su tri godine nakon incidenta Log4j, 49% još uvijek ima sigurnosne slabosti u proizvodnji od ranjivosti daljinskog koda (RCE).
Finansijske institucije moraju osigurati svoj Java otisak, te da su njihovih pružatelja ili usluga trećih strana, u skladu sa propisima Dora. Kao rezultat toga, ulaganje u spremnost za otkrivanje i spremnost nakon kršenja može pomoći značajno smanjiti troškove kršenja za financijske firme i njihove kupce. Zajedno će morati preuzeti inventar rizika povezanih sa svojim aplikacijama kako bi se osigurala poštivanje i sigurnost.
Taj bi rizik mogao pojačati ako organizacije koriste nespornute verzije Java (i u osnovi programskim programskim jezikom nazvanim programskim kompletom Java na koji se nazivaju finansijske usluge, a ne osiguravajući da su sistemi za javu, ne osiguravajući vaš osnovni sustavi, posebno kao što vas izlaže u skladu s propisima poput Dore.
Za garantovanje poštivanja, igrači u industriji finansijskih usluga moraju se baviti tim pet stubova:
Garantovati IKT upravljanje rizikom: Nepodržane OpenJDK distribucije mogu izložiti financijske institucije značajnim rizicima, poput prepažnih sigurnosnih ranjivosti i pitanja izvedbe. Neophodno je imati openjdk distribuciju koja može pružiti sigurnosne zakrpe kako bi se osiguralo da Java aplikacije ostanu otporne i u skladu sa zahtjevima upravljanja.
Brzo prijavi incidente: Nisu sva otvorena distribucija OpenJDK pružaju sigurnosna ažuriranja i kritička ažuriranja zakrpa (CPU), što dovodi do neprijavljenih i nezapaženih incidenata koji mogu dovesti do neusklađenosti. Igrači industrije moraju se opremiti alatima koji mogu pružiti kontinuirano praćenje ranjivosti i neiskorištenog ili mrtvog kodeksa u proizvodnji. To omogućava organizacijama da brzo i precizno otkriju, izvještavaju i sanaciju ranjivosti.
Izvršite redovne i rigorozne testove prodora i sigurnosti: Korištenje zastarjelih ili ranjivih ažuriranja Jave ne mogu precizno odražavati proizvodne okruženja, što dovodi do lažnih sigurnosnih pretpostavki. Stoga je važno imati ažurne i testirane Java distribucije, uključujući naslijeđene verzije poput Java 6 i 7 i arhitekture poput Windows X86 32-bitnog, omogućavajući pouzdanu i tačnu testiranje za financijske institucije.
Ojačati upravljanje rizikom treće strane. Pridružujući se ne podržanom OpenJDK distribucijom od trećih strana povećava rizik od sigurnosnih ranjivosti i operativnih kvarova. Potrebno je osigurati da se treće strane aplikacije i usluge zasnovane na Javi ispunjavaju najveće sigurnosne i performanse, na taj način smanjuju rizike treće strane.
Sudjelujte u dijeljenju informacija o cyber prijetnji. Korištenje nepodržane distribucije OpenJDK-a mogu rezultirati nedostatkom svijesti o ažuriranjima i sigurnosnim zakrpama, ispadajući ove aplikacije i usluge da postanu slaba veza u lancu dijeljenja informacija. Organizacije moraju osigurati da su svjesne najnovijih ranjivosti i mogu dijeliti relevantnu prijetnju inteligenciju s drugim entitetima za poboljšanje kolektivnog cyber sigurnosnog krila.
Cyber sigurnost je od suštinskog značaja za stabilne i visoke performanse poslovanja danas. Osiguravanjem sigurnog java distribucije, brzo rješavanje ranjivosti i kontinuirano praćenje njihovog Java okruženja, kompanije mogu napraviti veliki dio svoje IT imovine Dore-usklađen i ojačati njihovu otpornost na Cyberattatks.
James Johnston potpredsjednik je EMEA na Java specijalističkom azulu. On je odgovoran za sve veće prihoda softvera Azula širom EMEA-e. Prije ulaska u Azul, James je održao niz liderskog položaja sa Clouderom, Fujitsu i HPE. James ima počast diplomu u poslovnim studijama iz Uwe-a.
Pročitajte više o usklađenosti o regulatoru i standardnim zahtjevima
-
VMware i Oracle licenciranje: vrijeme za razmatranje alternativa
Napisao: Cliff Saran
-
Kako se Java pretvara 30, programeri se prebacuju na OpenJDK
Napisao: Cliff Saran
-
Oracle Java licenciranje objasnjeno: bavljenje složenošću, troškovima i revizijom
Napisao: Cliff Saran
-
Azul Prednosti od indirektne strategije
Napisao: Simon Quicke