Robusthedstestning (DORA)

DORA kræver, at finansielle enheder regelmæssigt tester den digitale operationelle robusthed af deres IKT-systemer. Testprogrammet spænder fra grundlæggende sårbarhedsscanninger til avanceret trusselsbaseret penetrationstest (TLPT) for de mest systemisk vigtige institutioner.

Tilbage til ordbog

Hvad er robusthedstestning under DORA?

DORA kapitel IV (artikel 24-27) fastlægger kravene til digital operationel robusthedstestning. Formålet er at verificere, at organisationens IKT-systemer faktisk fungerer, som de skal, under pres -- og at identificere svagheder, der kan udnyttes af angribere.

Testprogrammet under DORA er niveaudelt: alle finansielle enheder skal gennemføre grundlæggende tests, men kun de mest systemisk vigtige institutioner er forpligtet til at gennemføre avanceret TLPT.

Typer af tests

DORA artikel 25 specificerer, at det grundlæggende testprogram skal inkludere:

Sårbarhedsvurderinger og -scanninger: Systematisk identifikation af kendte sårbarheder i systemer og applikationer.
Open source-analyser: Vurdering af risici fra anvendelse af open source-komponenter.
Netværkssikkerhedsvurderinger: Test af netværkskonfigurationer og adgangskontroller.
Gapanalyser: Vurdering af huller i sikkerhedsforanstaltningerne.
Fysiske sikkerhedsgennemgange: Vurdering af fysisk adgangssikkerhed.
Scenariebaserede tests: Tests baseret på realistiske angrebsscenarier.
Kompatibilitetstests: Tests af integriteten af sikkerhedsopdateringer og patches.
Ydeevnetest: Tests af systemers ydeevne under belastning.
End-to-end-tests: Tests af kritiske funktioner fra brugerinterface til back-end.
Penetrationstest: Simulerede angreb mod specifikke systemer.

Testfrekvens og krav

DORA kræver, at robusthedstests gennemføres 'mindst en gang om året' for de fleste testtyper. Tests skal:

Gennemføres af interne eller eksterne testere med tilstrækkelig kompetence.
Dokumenteres grundigt med fund og afhjælpningsplaner.
Have resultater der kommunikeres til ledelsen.
Sikre at identificerede svagheder prioriteres og adresseres.

Test af live-systemer: DORA fremhæver, at tests -- særligt TLPT -- skal gennemføres på live produktionssystemer, ikke kun testmiljøer. Dette er en væsentlig skærpelse sammenlignet med traditionel praksis.

Ofte stillede spørgsmål om robusthedstestning (dora)

Hvad er robusthedstestning under DORA?

Robusthedstestning under DORA er den systematiske proces, hvor finansielle enheder tester robustheden af deres IKT-systemer. Det inkluderer sårbarhedsscanninger, scenariebaserede tests, penetrationstest og for betydelige enheder trusselsbaseret penetrationstest (TLPT).

Hvad er minimumsfrekvensen for robusthedstests under DORA?

DORA kræver, at de grundlæggende robusthedstests gennemføres mindst en gang om året. TLPT skal gennemføres mindst hvert tredje år for de finansielle enheder, der er forpligtet til det.

Hvem skal gennemføre TLPT under DORA?

TLPT er obligatorisk for de mest systemisk vigtige finansielle institutioner, som udpeges af kompetente myndigheder. Mindre enheder er ikke forpligtet til at gennemføre TLPT, men skal stadig gennemføre det grundlæggende testprogram.

Kan robusthedstests udføres af internt personale?

Ja, grundlæggende robusthedstests kan udføres af internt personale, forudsat at de har tilstrækkelig kompetence og uafhængighed. TLPT skal dog udføres af eksterne testere, der opfylder specifikke kvalifikationskrav fastsat i DORA.

Skal robusthedstests gennemføres på produktionssystemer?

DORA fremhæver, at tests, særligt TLPT, skal gennemføres på live produktionssystemer for at give en realistisk vurdering af robustheden. Dette er en væsentlig afvigelse fra den gængse praksis med kun at teste i isolerede miljøer.