Será possível automatizar o DORA?

Com a entrada em vigor do DORA (Digital Operational Resilience Act) na União Europeia a 16 de janeiro de 2023, o setor financeiro viu-se confrontado com um período de implementação de 24 meses, isto é, até 17 de janeiro de 2025. Aproximando-se o fim deste período, há necessidade de cumprir com as normas da regulação intensifica, bem como a procura por soluções que possam ajudar.

O que é o DORA?

O Digital Operational Resilience Act é uma legislação da União Europeia destinada a fortalecer a resiliência operacional dos sistemas de tecnologia de informação e comunicação (TIC) no setor financeiro.

Por norma, antes desta legislação, as instituições financeiras resolviam os riscos operacionais ao alocar capital para a cobertura de potenciais perdas. Contudo, este método não cobria todos os aspetos cruciais para garantir uma forte resiliência operacional, sobretudo no que considera os sistemas de TIC.

O principal objetivo do DORA é garantir que as entidades financeiras e os seus fornecedores são capazes de se defender, de responder e de recuperar de incidentes relacionados com os sistemas de TIC, como é o caso de ataques cibernéticos ou ransomware. A implementação das medidas impostas irão representar custos elevados para as instituições financeiras, sobretudo no setor segurador, uma vez que, dada complexidade e fragmentação da sua cadeia de valor, o investimento na implementação será mais elevado.

Quais são os requisitos impostos pela DORA nas instituições financeiras?

O DORA assenta em 6 pilares fundamentais para a resiliência operacional dos sistemas TIC:

1. Gestão de Riscos: O DORA estabelece uma framework para gestão de riscos, que inclui uma abordagem com base no risco para a gestão de redes e infraestruturas, a implementação de políticas para vulnerabilidades, a utilização de mecanismos de autenticação robustos e a limitação do acesso físico e virtual aos recursos e dados dos sistemas de TIC;
2. Notificação de Incidentes: Obriga à monitorização e reporte de incidentes significativos às autoridades, com relatórios inicial, intermédio sobre a progressão na resolução e final após a realização da análise;
3. Testes de Resiliência Operacional Digital: Requer testes regulares de vulnerabilidade, incluindo testes anuais independentes e testes avançados de penetração;
4. Partilha de Informação e Inteligência: Promove a partilha de ameaças e boas práticas para reforçar os processos de cibersegurança no setor financeiro;
5. Gestão de Risco de Terceiros: O DORA coloca um foco significativo na gestão dos riscos associados a prestadores de serviços de TIC externos. Os prestadores de TIC críticos estarão sujeitos a uma framework de supervisão com regras rigorosas, e as entidades financeiras devem garantir que estes cumprem os requisitos do DORA;
6. Ciber-resiliência e Continuidade Operacional: Assegura a integridade operacional e continuidade dos negócios, incluindo medidas relacionadas com a proteção, deteção, contenção e recuperação de incidentes nos sistemas TIC.

Como é que as start-ups podem ajudar?

Vários dos requisitos impostos por esta regulação irão causar fricção nas organizações e a utilização de soluções externas será crucial. Um exemplo é a realização dos testes de resiliência operacional digital que serão difíceis de implementar, requerendo a realização de testes avançados tal como é o caso da metodologia TLPT (Threat-Led Penetration Testing) de forma a simular potenciais ataques que possam acontecer.

Qual é o problema? Além da exigência que a realização destes testes requer ao nível de mobilização de recursos e tempo, que no caso de equipas de seguranças de bancos e seguradoras de menor dimensão é muito escasso a não existente, as próprias equipas não estão preparadas para o fazer, já que, antes do DORA, os únicos testes impostos por regulação eram apenas testes mais simples e genéricos que não tinham como objetivo simular um ataque cibernético de forma realista.

Desta forma, a solução mais eficiente em termos de custos poderá não ser constituir novas equipas internas, mas recorrer a empresas externas com soluções dedicadas ao red teaming. Este é o caso da Ethiack, uma empresa sediada em Coimbra, que desenvolveu uma solução para a realização de testes de penetração de forma contínua e automática.

A empresa desenvolveu uma solução de hacking ético autónomo, que simula a abordagem e criatividade de um hacker ético (um hacker contratado pela própria organização), que permite realizar testes em escala e com um menor custo. Adicionalmente, uma vez que utiliza generative AI, a Ethiack consegue melhorar a performance de forma contínua. Este tipo de soluções são críticas para auxiliar as instituições financeiras a cumprir com os requisitos impostos sobre a realização dos testes de penetração mais avançados, sem o gasto substancial associado a produzir os mesmos. Um outro caso importante é, por exemplo, a ajuda na gestão de riscos de terceiros. De acordo com um estudo feito pela Verizon, o setor financeiro foi o segundo setor mais afetado por ataques à sua cadeia de valor, em comparação com outras 19 indústrias. O setor viu, em 2023, um total de 3.348 incidentes de segurança, cerca de 11% do valor total de todos os incidentes reportados.

Um exemplo de uma empresa a combater este problema é a Codacy. Sediada em Lisboa, desenvolveu uma solução para a monitorização contínua do código para vulnerabilidades, CVEs (Common Vulnerabilities and Exposures) e outros riscos. Ao permitir a monitorização em tempo real, a solução garante a não introdução de vulnerabilidades na cadeia de valor desde o início do ciclo de desenvolvimento.

O que se pode esperar nos próximos tempos?

Com a perspetiva de um escrutínio regulatório mais apertado sobre o setor financeiro nos próximos tempos, será imperativo que as equipas de segurança procurem soluções externas que os consigam apoiar no cumprimento das medidas impostas, de forma eficiente e, sobretudo, que consigam garantir um maior grau de segurança para a organização.