Role log management při plnění požadavků nařízení DORA

Log management je důležitou součástí plnění požadavků regulace DORA. V tomto článku se podíváme na oblasti, ve kterých pomáhá zajistit soulad, lepší dohled a vyšší úroveň provozní odolnosti.

Co je DORA?

Nařízení o digitální provozní odolnosti (DORA) je nařízení Evropské unie, jejímž cílem je zvýšit odolnost finančních institucí vůči kybernetickým a ICT hrozbám. Jedná se o legislativu, právně závazný předpis, který má přímý účinek ve všech členských státech EU (a nemusí být tedy transponována jako například NIS2).

Nařízení stanovuje pravidla pro řízení ICT rizik, zvládání bezpečnostních incidentů, testování kybernetické odolnosti, dohled nad poskytovateli ICT služeb třetích stran a sdílení informací o kybernetických hrozbách.

Jedná se o další evropskou regulací zaměřenou na kybernetickou bezpečnost. Doplňuje širší směrnici NIS2 (v České republice reprezentované novým zákonem o kybernetické bezpečnosti) tím, že přináší detailnější a specificky zaměřené požadavky pro finanční sektor.

Nařízení DORA vstoupilo v platnost na začátku roku 2023 a od ledna 2025 se jím povinné subjekty působící v EU musí řídit.

Na koho se vztahuje nařízení DORA?

Nařízení DORA se vztahuje na široké spektrum finančních subjektů působících v EU. Dopadá tak například na:

• banky,
• pojišťovny,
• investiční firmy,
• poskytovatele platebních služeb,
• poskytovatele ICT služeb ve finančním sektoru.

Jak log management souvisí s nařízením DORA?

DORA vyžaduje, aby finanční instituce měly velmi detailní přehled o dění ve svém IT prostředí. K tomu jsou mimo jiné potřeba nástroje nástroje pro detekci, analýzu a reakci na kyberbezpečnostní hrozby a provozní incidenty.

Log management a analýza logů úzce souvisí s požadavky DORA především kvůli schopnostem zajistit:

• centralizovaný sběr logů,
• log monitoring a upozornění v reálném čase na hrozby, anomálie a provozní incidenty,
• dlouhodobé uchovávání logů pro auditiní a forenzní účely,
• analytické nástroje pro investigaci příčin a dopadů.

Podívejme se nyní na konkrétní ustanovení regulace DORA, u kterých log management pomáhá zajistit soulad s nařízením (IT compliance).

Klíčové povinnosti a požadavky na odolnost dle DORA

Níže uvádíme přehled hlavních požadavků nařízení DORA, které mají vztah k nástrojům pro správu logů. Na příkladech ukážeme, jak efektivní log management pomáhá tyto požadavky naplňovat.

1. Řízení a organizační rámec (článek 5)

Tento článek ukládá odpovědnost za řízení ICT rizik přímo na bedra vedení organizace.

Vazba na log management:

Centralizované nástroje pro správu logů poskytují přehled o aktivitách systémů, incidentech a anomáliích. Ty jsou užitečné především administrátorům a dalším IT specialistům při jejich každodenní práci.

Logy ale zároveň slouží jako zdroj dat pro pro reporting rizik a trendů, které umožňují činit informovaná rozhodnutí na manažerské úrovni. Celkově tak podporují obeznámenost vedení o stavu IT prostředí a vyžadovaný dohled nad souladem s regulací.

2. Řízení ICT rizik (ICT Risk Management Framework, článek 6)

Tento článek definuje jádro povinností pro finanční subjekty, tzv. rámec řízení ICT rizik. Framework ukládá finančním institucím povinnost rychle a efektivně řešit digitální rizika a zajistit vysokou úroveň odolnosti proti nim. Mimo jiné sem spadá:

• identifikace ICT rizik,
• ochranná a preventivní opatření,
• detekce anomálií,
• reakce a obnova po incidentu,
• průběžné zlepšování a sdílení informací.

Veškeré procesy, nástroje, politiky a strategie k tomu musí být kvalitně zdokumentovány.

Požadavky na řízení ICT rizik vyplývající z DORA jsou vysoké. Navíc, jak vyplývá z článku 5, vedení organizace odpovídá za schválení a dohled nad strategií řízení ICT rizik, a musí tak mít dostatečné znalosti.

Vazba na log management:

Logování podporuje více částí rámce řízení ICT rizik:

• Detekce: Díky upozorněním v reálném čase a detekci anomálií.
• Reakce: Logy pomáhají investigovat rozsah a dopad incidentu.
• Obnova po incidentu a učení: Historická data umožňují analýzu příčin, přezkoumání incidentu, optimalizaci a zavedení nápravných opatření do budoucna.

3. ICT systémy, protokoly a nástroje (článek 7)

Tento článek ukládá povinnost zajistit, aby ICT systémy a nástroje byly spolehlivé, bezpečné a nepřetržitě monitorované.

Vazba na log management:

Log management nástroje se běžně využívají pro udržování bezpečnosti a spolehlivosti IT prostředí. Tyto nástroje zajišťují kontrolu nad správnou funkčností IT systémů, a jejich aktivní monitoring z hlediska bezpečnostních incidentů, poklesů výkonu nebo provozních anomálií.

Například průmyslový závod Panasonicu používá Logmanager právě tímto způsobem – pro monitoring důležitých zdrojů, jako jsou switche, Wi-Fi přístupové body, Windows servery, přístupové logy a firewally. Více se dozvíte v naší případové studii.

4. Detekce anomálií (článek 10)

Článek 10 nařízení DORA se zaměřuje na schopnost finančních institucí včas detekovat anomálie ve svém IT prostředí. Tedy aktivity, které mohou signalizovat bezpečnostní incidenty nebo jiná rizika.

Dle DORA finanční instituce musí:

• Zavést mechanismy pro detekci anomálií.
• Zajistit, aby tyto mechanismy umožňovaly monitoring v reálném čase nebo téměř reálném čase a byly schopny odhalit jak interní chyby, tak externí útoky.
• Používat automatizované monitorovací nástroje tam, kde je to možné.
• Nastavit předdefinovaná pravidla a prahové hodnoty pro identifikaci neobvyklého chování.
• Zajistit fungující systém notifikací a upozornění, které spustí reakci na incident.

Ve své podstatě článek 10 vyžaduje, aby finanční instituce disponovaly robustními a proaktivními monitorovacími a alertovacími mechanismy, které dokážou rychle odhalit a přispět k promptnímu řešení ICT hrozeb a incidentů.

Vazba na log management:

DORA v článku 10 výslovně požaduje mechanismy pro „včasné odhalování neobvyklých aktivit“ a ICT incidentů. Centralizovaná správa logů a analýza se běžně využívají k včasnému upozornění na hrozby či provozní selhání, stejně jako pro následnou analýzu příčin.

Reálným příkladem využití log managementu tímto způsobem je nasazení nástroje Logmanager v IT prostředí telekomunikačního operátora Telco Pro Services. Více se dozvíte v naší případové studii.

5. Hlášení a řízení ICT incidentů (články 17–20)

Řízení ICT incidentů je jedním ze stěžejních pilířů regulace DORA. DORA vyžaduje zavedení postupů pro „identifikaci, sledování, zaznamenávání, kategorizaci a klasifikaci ICT incidentů podle jejich priority a závažnosti“ (článek 17).

Závažné incidenty musí být neprodleně hlášeny vedení organizace a následně i příslušným dozorovým orgánům (článek 19). Takové hlášení by mělo obsahovat vysvětlení incidentu, jeho dopadu, popis přijatých opatření v reakci na incident, a rovněž posouzení případných dopadů mimo povinný subjekt.

DORA dále ukládá povinnost provádět zpětné vyhodnocení incidentů a implementovat získaná ponaučení (článek 16).

Vazba na log management:
Centralizované a podrobné logování je pro správu a hlášení incidentů podle DORA zcela zásadní. Logy poskytují důkazy a časovou osu nutnou k pochopení toho, co se stalo, ke správné klasifikaci incidentů a k dodržení stanovených termínů pro hlášení regulátorům. Umožňují také určit, které služby byly zasaženy, vyhodnotit dopad, identifikovat příčiny a navrhnout opatření k posílení obrany a prevenci do budoucna.

6. Penetrační testování a testování odolnosti (články 24–27)

Nařízení DORA zavádí přísné požadavky na testování digitální odolnosti organizace. Instituce musí pravidelně provádět hodnocení odolnosti, včetně penetračního testování zaměřeného na kybernetické hrozby (Threat-Led Penetration Testing, TLPT), a to minimálně jednou za tři roky (článek 26).

Tyto testy, připomínající tzv. „red-team“ cvičení, simulují reálné kybernetické útoky za účelem prověření schopnosti detekce, ochrany a reakce. Organizace musí zároveň adresovat všechny zjištěné slabiny prostřednictvím přijetí nápravných opatření (článek 27).

Vazba na log management:
Centralizovaná správa logů je pro TLPT testy velmi důležitá. Log management systémy poskytují upozornění na podezřelé aktivity, což je zásadní pro bezpečnostní monitoring. Uchovávané logy navíc podporují dokumentaci výsledků a jsou podkladem pro následné nápravné kroky vyžadované po testu.

7. Sdílení informací o kybernetických hrozbách (článek 45)

Nařízení DORA podporuje finanční instituce v tom, aby se dobrovolně zapojovaly do iniciativ zaměřených na sdílení informací o kybernetických hrozbách (článek 45).

Cílem je přirozeně posílit kolektivní odolnost prostřednictvím sdílení indikátorů kompromitace (Indicators of Compromise, IOC) a best practices při boji s hrozbami.

Vazba na log management:

Logy umožňují organizacím získávat prakticky využitelné IOC a detekovat již známé indikátory sdílené ostatními subjekty. To posiluje spolupráci a podporuje cíl DORA zvýšit kybernetickou odolnost napříč celým finančním sektorem.

Mapování log managementu na požadavky regulace DORA

Centralizovaný sběr logů
Podpora: články 6, 10, 17, 24–27, 45
Centralizovaná správa logů umožňuje shromažďovat a uchovávat záznamy o událostech z různých systémů na jednotné platformě. Tím podporuje požadavek DORA na konzistentní a integrovaný dohled nad ICT riziky a incidenty.

Monitoring a upozornění v reálném čase
Podpora: články 6, 10, 17, 26
Monitoring v reálném čase umožňuje okamžité odhalení hrozeb a anomálií. DORA klade důraz na včasnou detekci a reakci, kterou tento mechanismus přímo podporuje.

Uchovávání logů a auditní stopy
Podpora: články 17–20, 26, 27
Dlouhodobě uchovávané logy a auditní stopy poskytují důkazy pro zpětné vyhodnocení incidentů, regulatorní reporty a implementaci nápravných opatření.

Detekce anomálií a analýza
Podpora: články 6, 10, 20, 26
Detekce anomálií je nástrojem pro odhalování hrozeb i provozních problémů, přispívá k proaktivnímu řízení incidentů a tím k průběžnému zlepšování digitální odolnosti organizace. 

Požadavek DORA	Jak log management podporuje compliance s DORA
Řízení ICT rizik (články 5–7)	Centralizovaný sběr logů umožňuje viditelnost do chování digitálních aktiv. Log monitoring podporuje rychlou detekci bezpečnostních a provozních rizik.
Detekce a reakce na incidenty (články 10, 17–20)	Monitoring a upozornění v reálném čase pro detekci anomálií. Logy incidentů a auditní stopy pro klasifikaci, vyšetřování a nápravu.
Reportování incidentů (závažných incidentů) (články 19–20)	Detailní záznamy o aktivitách pro analýzu dopadů a příčin. Uchovávání logů pro splnění regulatorních compliance požadavků.
Penetrační testování (TLPT) (články 24–27)	SIEM a analýza logů pro detekci simulovaných útoků. Zaznamenávání výsledků testů a následných kroků jako důkaz o nápravě.
Sdílení informací o kybernetických hrozbách (článek 45)	Extrakce indikátorů kompromitace (IOC) z logů pro sdílení informací o hrozbách. Zpracování sdílených dat o hrozbách v nástrojích pro monitoring logů za účelem detekce nových hrozeb.

Tab 1: Požadavky nařízení DORA a log management

Závěrem

DORA představuje komplexní regulaci digitální odolnosti ve finančním sektoru. Log management je pak jedním z klíčových pilířů usnadňujícím naplnění souladu s tímto nařízením.

Centralizovaný sběr logů, upozornění v reálném čase, auditní stopy, uchovávání záznamů a analytika naplňují cíle DORA v oblastech transparentnosti, připravenosti a odpovědnosti.

Pokud finanční instituce sladí správu logů s právními požadavky DORA, zajistí si nejen soulad s regulací, ale i vyšší odolnost vůči rostoucím kybernetickým hrozbám.

Nástroj Logmanager běžně využívají organizace všech velikostí pro naplnění zákonných požadavků na kybernetickou bezpečnost. Chcete-li se dozvědět více o tom, jak vám může pomoci se souladem s regulací DORA, neváhejte nás kontaktovat.