Odată cu reglementări precum DORA, riscul asociat părților terțe atrage după sine noi implicații. Reglementările care impun managementul riscului terților și reziliența operațională ca piloni esențiali pentru siguranță și evitarea amenzilor – ar putea reprezenta picătura care umple paharul securității cibernetice, mai ales dacă managerii IT nu sunt pregătiți să se implice total.

Probabil că nu erau nici înainte, motiv pentru care reglementări precum Legea privind Reziliența Operațională Digitală (DORA) a UE reprezintă o povară atât de mare acum. Și aceasta, deoarece regulamentul pune un accent major pe reziliența operațională - inclusiv pe gestionarea riscurilor terților (precum furnizorii de servicii cloud) - iar băncile, asiguratorii, firmele de investiții și alții se văd acum vizați de conformitate și se întreabă: Sunt oare acoperit?

Ideile principale ale acestui articol:
– Atingerea unor noi culmi ale productivității prin soluții cloud nu înseamnă că nu există riscuri cuantificabile implicate.
– Soluțiile bazate pe cloud public, precum mașinile virtuale (VM), nu sunt lipsite de vulnerabilități, iar straturile conexe, cum ar fi serviciile de identitate în cloud, prezintă de asemenea riscuri.
– Observând aceste aspecte, autoritățile de reglementare iau măsuri drastice împotriva riscurilor asociate terților, emițând reglementări precum DORA pentru a stabili un standard de bază privind reziliența și responsabilitatea actorilor financiari și a furnizorilor acestora.
– Firmele sunt prinse între ciocan și nicovală: atacatorii avansați sunt tot mai activi, în timp ce autoritățile de supraveghere sunt gata să penalizeze orice răspuns deficitar în cazul unui incident, iar companiile din segmentul mid-market au cel mai mult de pierdut.
– Soluția? Simplificarea protecției sarcinilor de lucru în cloud, făcând-o eficientă și accesibilă prin extinderea securității de bază, cu toate funcționalitățile sale (vizibilitate optimizată, gestionare simplificată), către mediul cloud.
– ESET Cloud Workload Protection (ECWP) este o extensie naturală a securității endpoint-urilor, ducând expertiza dincolo de acestea, pentru a facilita apărarea împotriva amenințărilor în continuă evoluție.

Risc de breșe în cloud

Am mai discutat despre Digital Operational Resilience Act (DORA) pe blogul ESET; este într-adevăr un act legislativ unic, menit să ghideze entitățile financiare către o postură de securitate de bază mai solidă. De asemenea, pune accent pe responsabilitate, stipulând că nu doar compania, ci și conducerea poate fi trasă la răspundere în caz de neconformitate.

Sună destul de bine, nu-i așa? Desigur, nu este pe cât de simplu pare. Cerințele sunt destul de stricte, în special în ce privește managementul riscului terților¹, precizând că inițiatorul contractului își asumă responsabilitatea pentru evaluarea și monitorizarea rezilienței furnizorilor săi. Cu alte cuvinte, dacă rulați mașini virtuale într-un mediu de cloud public și serviciul vă este exploatat, dvs. sunteți cel răspunzător pentru posibila expunere a datelor sensibile care rulează pe acele VM-uri compromise.

Ați putea crede că este puțin probabil să se întâmple. Din păcate, au existat cazuri reale în care atacatorii de tip ransomware au exploatat vulnerabilități critice de virtualizare; de exemplu, o breșă majoră în sistemele SSO și LDAP ale Oracle Cloud din 2025 a dus la exfiltrarea a 6 milioane de înregistrări de la peste 140.000 de clienți (tenants). Deși nu a afectat direct mașinile virtuale, a fost o compromitere a stratului de identitate utilizat de clienții VM, punând în pericol utilizatorii finali (din lanțul de distribuție). Iar acesta s-ar putea să fie doar vârful icebergului.

Adoptarea globală a soluțiilor cloud este în plină ascensiune

Oamenii trec de granițele endpoint-urilor, iar securitatea trebuie să îi urmeze. Firmele, în special cele din segmentul mid-market (imaginați-vă, de exemplu, o mică bancă de investiții care deservește companii de mărime medie) și furnizorii de servicii gestionate (MSP), au adoptat constant servicii cloud (precum mașinile virtuale) pentru a-și spori productivitatea. Conform raportărilor, în 2025, aproximativ 69% dintre companii utilizau o formă de infrastructură cloud publică ca mediu principal, AWS (30%), Azure (20%) și GCP (13%) deținând împreună circa 63% din piața globală de cloud public.

Cifrele sunt impresionante și se preconizează că ratele de adopție vor continua să crească. Totuși, la fel vor crește și tentativele de exploatare a mediilor cloud. Până la 44% dintre organizații au suferit deja o breșă de date în cloud, costul mediu ridicându-se la cifra de 5,17 milioane de dolari per incident – cel mai ridicat cost dintre toate tipurile de medii IT. Aceeași sursă precizează că aproximativ 32% dintre breșe s-au soldat cu amenzi.

De ce un număr atât de mare? Realitatea este că sarcinile de lucru în cloud sunt dinamice, distribuite și, adesea, invizibile pentru instrumentele de securitate clasice. Astfel, sunt vizate cu atacuri tot mai sofisticate. Dacă ați avea o singură sarcină de lucru configurată greșit care expune date sensibile ale clienților, repercursiunile ar fi imediate și foarte costisitoare.

Oh, DORA!

Să ne oprim puțin asupra acestor costuri. Vă amintiți că am menționat managementul riscului terților ca fiind un pilon central al regulamentului DORA? Aplicându-se oricărei entități financiare cu prezență într-o țară din UE, neconformitatea este penalizată cu până la 2% din cifra de afaceri anuală globală a unei firme sau 10 milioane EUR (oricare dintre acestea este mai mare). În cazul unei persoane fizice (cum ar fi responsabilul din conducerea firmei), amenda poate ajunge până la 1 milion EUR.

Date fiind aceste reguli, chiar și o bancă din Marea Britanie sau din SUA care are un birou în orice stat membru UE trebuie să se conformeze. Fără excepții.

Furnizorii de servicii IT terți nu sunt nici ei omiși; cei considerați critici de către Autoritățile Europene de Supraveghere pot primi amenzi de până la 5 milioane EUR (sau până la 1% din cifra de afaceri anuală globală), respectiv 500.000 EUR pentru o persoană fizică. Așadar, dacă soluția SaaS în cloud a firmei dvs. de investiții eșuează, nu doar firma ar putea fi considerată vinovată.

Securitate scalabilă odată cu mediul cloud

Așadar, cum gestionați provocările cloud aduse de DORA? Deoarece companiile jonglează adesea cu sarcini de lucru între infrastructura locală (on-prem) și cloud (cum ar fi AWS, Azure sau Google Cloud Platform), tind să creeze breșe de securitate. De asemenea, se pare că doar 23% dintre organizații raportează o vizibilitate completă asupra mediilor lor cloud, un fapt cel puțin îngrijorător, mai ales când reglementările impun transparență.

O singură mașină virtuală (VM) compromisă prin credențiale furate, configurații greșite sau servicii neactualizate, se poate transforma rapid într-un incident care afectează întregul ecosistem. De menționat aici sunt atacurile de tip VM escape, în care atacatorii forțează programele să „evadeze” din VM-uri pentru a interacționa cu sistemul de operare gazdă – un scenariu demonstrat recent prin câteva vulnerabilități de tip zero-day la VMware ESXi.

Clar, acest lucru impune o regândire a managementului riscului. Organizațiile au nevoie de protecție în timp real pentru a bloca astfel de exploit-uri, auto-izolând VM-urile problematice și partajând, în același timp, telemetria pentru o izolare rapidă. Toate, fără a cheltui sume mari pe soluții de securitate proprietare suplimentare. Prin urmare, scalarea este răspunsul. O singură politică, aplicată întregului mediu, fără a adăuga complexitate și, în tot acest timp, aducând lumină asupra sarcinilor de lucru din cloud, adesea invizibile. Aceasta este miza jocului.

Faceți cunoștință cu ESET Cloud Workload Protection

Companiile cu expertiză redusă în securitate, echipele mici de IT sau cei care preferă soluțiile de tip „set and forget” nu trebuie să se teamă că vor da peste cap strategiile de securitate deja stabilite. O reziliență complexă nu trebuie să fie neapărat complicată.

ESET este recunoscut pentru soluțiile sale ergonomice care, printr-o combinație de mai multe straturi de securitate distincte, funcționează ca un tot unitar. Acestea abordează flexibil problemele de securitate – de la instalări de malware de bază până la atacuri ransomware avansate – printr-un mix de codare inteligentă, automatizare și multă muncă în culise pentru a găsi cea mai bună metodă de protecție împotriva celor mai recente amenințări.

Nu ne credeți pe cuvânt? Verificați numărul de fluxuri și rapoarte de ESET Threat Intelligence puse la dispoziție. Toate acele date (și nu numai) sunt inspectate și disecate regulat pentru a ne îmbunătăți motoarele de detecție. Când luăm în considerare toate problemele menționate anterior – de la peisajul periculos al amenințărilor din cloud până la reglementările care cer o rigoare de fier în ce privește reziliența – este evident că a încerca de unul singur, fără o schimbare de abordare, nu este inspirat.

Prin urmare, pentru a înfrunta această realitate, ESET trece dincolo de endpoint-uri cu noul său modul ESET Cloud Workload Protection (ECWP). Acesta protejează mașinile virtuale din mediile de cloud public, integrând datele VM-urilor în componenta XDR a platformei ESET PROTECT. Procesul îmbogățește semnificativ telemetria pentru detecție și răspuns, consolidând în același timp managementul securității (endpoint și cloud) într-o singură consolă centralizată. Principalul beneficiu constă în obținerea protecției împotriva unui alt vector de atac puternic, oferind totodată o modalitate de a valida regulat controalele și de a genera dovezi de audit pentru cadre de reglementare precum NIST, CIS, HIPAA, PCI DSS... deci nu doar pentru DORA.

Fără costuri suplimentare pentru securitate
Printr-o mișcare decisivă față de concurenții care au, de obicei, oferte separate pentru protecția sarcinilor de lucru în cloud, noi includem protecția VM-urilor în abonamentele noastre standard, începând cu ESET PROTECT Advanced, pentru a acoperi chiar și cele mai mici afaceri. Mai multă protecție la același preț. ECWP îmbogățește portofoliul de securitate cloud al ESET, compus în prezent din protecția aplicațiilor de productivitate (ESET Cloud Office Security), și suntem hotărâți să lansăm noi soluții de securitate cloud în viitorul apropiat.

Nimic în cloud

Cloud-ul a devenit iremediabil un alt factor de creștere exponențială a expunerii la amenințări. Riscurile sale sunt adesea subestimate, însă evenimentele recente sugerează că lucrurile sunt pe cale să se schimbe. Conducerile companiilor ar putea fi îngrijorate că pozițiile lor de securitate de bază sunt compromise într-un fel sau altul și că reziliența devine doar un mit, având mereu norii negri ai amenințărilor cibernetice la orizont. Nimic mai departe de adevăr. Răspunsul la amenințări noi prin măsuri preventive aplicate cu seriozitate și colaborarea cu furnizori de securitate cu experiență dovedită, pot face diferența necesară pentru a fi capabili să înfruntăm orice furtună.

Note de subsol: [1] Capitolul V, Articolele 28-44 din DORA detaliază regulile pentru monitorizarea riscului asociat terților, prevederile contractuale cheie care trebuie gestionate și cadrul general de supraveghere a furnizorilor critici de servicii terțe.