Οι εταιρείες χρηματοπιστωτικών υπηρεσιών και οι προμηθευτές ψηφιακής τεχνολογίας τους βρίσκονται υπό έντονη πίεση να επιτύχουν συμμόρφωση με τους αυστηρούς νέους κανόνες της ΕΕ που απαιτούν από αυτούς να ενισχύσουν την ανθεκτικότητά τους στον κυβερνοχώρο.
Μέχρι τις αρχές του επόμενου έτους, οι εταιρείες χρηματοπιστωτικών υπηρεσιών και οι προμηθευτές τεχνολογίας τους θα πρέπει να βεβαιωθούν ότι συμμορφώνονται με έναν νέο εισερχόμενο νόμο από την Ευρωπαϊκή Ένωση γνωστό ως DORA ή Digital Operational Resilience Act.
Το CNBC αναλύει όλα όσα πρέπει να γνωρίζετε για το DORA – συμπεριλαμβανομένου του τι είναι, γιατί έχει σημασία και τι κάνουν οι τράπεζες για να βεβαιωθούν ότι είναι προετοιμασμένες για αυτό.
Το DORA απαιτεί από τις τράπεζες, τις ασφαλιστικές εταιρείες και τις επενδύσεις να ενισχύσουν την ασφάλεια των πληροφοριακών συστημάτων τους. Ο κανονισμός της ΕΕ επιδιώκει επίσης να διασφαλίσει ότι ο κλάδος των χρηματοπιστωτικών υπηρεσιών είναι ανθεκτικός σε περίπτωση σοβαρής διαταραχής των δραστηριοτήτων.
Τέτοιες διαταραχές θα μπορούσαν να περιλαμβάνουν μια επίθεση ransomware που προκαλεί το κλείσιμο των υπολογιστών μιας χρηματοπιστωτικής εταιρείας ή μια επίθεση DDOS (κατανεμημένη άρνηση υπηρεσίας) που αναγκάζει τον ιστότοπο μιας επιχείρησης να τεθεί εκτός σύνδεσης.
Ο κανονισμός επιδιώκει επίσης να βοηθήσει τις επιχειρήσεις να αποφύγουν σημαντικά γεγονότα διακοπής, όπως η ιστορική κατάρρευση της πληροφορικής τον περασμένο μήνα που προκλήθηκε από την εταιρεία κυβερνοχώρου CrowdStrike όταν μια απλή ενημέρωση λογισμικού που εκδόθηκε από την εταιρεία ανάγκασε το λειτουργικό σύστημα Windows της Microsoft να καταρρεύσει.
Πολλές τράπεζες, εταιρείες πληρωμών και εταιρείες επενδύσεων – από την JPMorgan Chase και τη Santander, μέχρι τη Visa και τον Charles Schwab— δεν ήταν σε θέση να παράσχουν υπηρεσίες λόγω της διακοπής. Οι επιχειρήσεις αυτές χρειάστηκαν αρκετές ώρες για να αποκαταστήσουν τις υπηρεσίες προς τους καταναλωτές.
Στο μέλλον, ένα τέτοιο συμβάν θα εμπίπτει στο είδος της διακοπής της υπηρεσίας που θα υπόκειται σε έλεγχο βάσει των εισερχόμενων κανόνων της ΕΕ.
Ο Mike Sleightholme, πρόεδρος της εταιρείας fintech Broadridge International, σημειώνει ότι ένας ξεχωριστός παράγοντας της DORA είναι ότι δεν επικεντρώνεται μόνο στο τι κάνουν οι τράπεζες για να διασφαλίσουν την ανθεκτικότητα – εξετάζει επίσης προσεκτικά τους προμηθευτές τεχνολογίας των επιχειρήσεων.
Στο πλαίσιο του DORA, οι τράπεζες θα πρέπει να αναλάβουν αυστηρή διαχείριση κινδύνων πληροφοριακών συστημάτων, διαχείριση συμβάντων, ταξινόμηση και υποβολή εκθέσεων, δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, ανταλλαγή πληροφοριών και πληροφοριών σε σχέση με απειλές και τρωτά σημεία στον κυβερνοχώρο, καθώς και μέτρα για τη διαχείριση κινδύνων τρίτων.
Οι επιχειρήσεις θα πρέπει να διενεργούν αξιολογήσεις του «κινδύνου συγκέντρωσης» που σχετίζεται με την εξωτερική ανάθεση κρίσιμων ή σημαντικών επιχειρησιακών λειτουργιών σε εξωτερικές εταιρείες.
Αυτοί οι πάροχοι πληροφορικής συχνά παρέχουν «κρίσιμες ψηφιακές υπηρεσίες στους πελάτες», δήλωσε ο Joe Vaccaro, γενικός διευθυντής της εταιρείας παρακολούθησης ποιότητας διαδικτύου ThousandEyes που ανήκει στη Cisco.
«Αυτοί οι τρίτοι πάροχοι πρέπει τώρα να είναι μέρος της διαδικασίας δοκιμών και αναφοράς, πράγμα που σημαίνει ότι οι εταιρείες χρηματοπιστωτικών υπηρεσιών πρέπει να υιοθετήσουν λύσεις που θα τους βοηθήσουν να αποκαλύψουν και να χαρτογραφήσουν αυτές τις μερικές φορές κρυφές εξαρτήσεις με τους παρόχους», δήλωσε στο CNBC.
Οι τράπεζες θα πρέπει επίσης να «επεκτείνουν την ικανότητά τους να διασφαλίζουν την παροχή και την απόδοση ψηφιακών εμπειριών όχι μόνο στην υποδομή που κατέχουν, αλλά και σε εκείνη που δεν κατέχουν», πρόσθεσε ο Vaccaro.
Πότε εφαρμόζεται ο κανονισμός;
Το DORA τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, αλλά οι κανόνες δεν θα επιβληθούν από τα κράτη μέλη της ΕΕ μέχρι τις 17 Ιανουαρίου 2025.
Η ΕΕ έχει δώσει προτεραιότητα σε αυτές τις μεταρρυθμίσεις λόγω του τρόπου με τον οποίο ο χρηματοπιστωτικός τομέας εξαρτάται όλο και περισσότερο από εταιρείες τεχνολογίας και τεχνολογίας για την παροχή ζωτικών υπηρεσιών. Αυτό έχει καταστήσει τις τράπεζες και άλλους παρόχους χρηματοπιστωτικών υπηρεσιών πιο ευάλωτες σε κυβερνοεπιθέσεις και άλλα περιστατικά.
«Υπάρχει μεγάλη εστίαση στη διαχείριση κινδύνων τρίτων» τώρα, δήλωσε ο Sleightholme στο CNBC. «Οι τράπεζες χρησιμοποιούν τρίτους παρόχους υπηρεσιών για σημαντικά τμήματα της τεχνολογικής τους υποδομής».
«Οι ενισχυμένοι στόχοι χρόνου αποκατάστασης αποτελούν σημαντικό μέρος αυτού. Πρόκειται πραγματικά για την ασφάλεια γύρω από την τεχνολογία, με ιδιαίτερη έμφαση στην ανάκτηση της ασφάλειας στον κυβερνοχώρο από συμβάντα στον κυβερνοχώρο», πρόσθεσε.
Πολλές μεταρρυθμίσεις της ψηφιακής πολιτικής της ΕΕ τα τελευταία χρόνια τείνουν να επικεντρώνονται στις υποχρεώσεις των ίδιων των εταιρειών να διασφαλίζουν ότι τα συστήματα και τα πλαίσιά τους είναι αρκετά ισχυρά ώστε να προστατεύουν από επιζήμια γεγονότα, όπως η απώλεια δεδομένων από χάκερ ή μη εξουσιοδοτημένα άτομα και οντότητες.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ ή GDPR, για παράδειγμα, απαιτεί από τις εταιρείες να διασφαλίζουν ότι ο τρόπος με τον οποίο επεξεργάζονται προσωπικά αναγνωρίσιμες πληροφορίες γίνεται με συγκατάθεση και ότι αντιμετωπίζονται με επαρκή προστασία για την ελαχιστοποίηση της πιθανότητας έκθεσης τέτοιων δεδομένων σε παραβίαση ή διαρροή.
Η DORA θα επικεντρωθεί περισσότερο στην ψηφιακή αλυσίδα εφοδιασμού των τραπεζών – η οποία αντιπροσωπεύει μια νέα, δυνητικά λιγότερο άνετη νομική δυναμική για τις χρηματοπιστωτικές επιχειρήσεις.
Τι γίνεται αν μια επιχείρηση δεν συμμορφωθεί;
Για τις χρηματοπιστωτικές επιχειρήσεις που παραβιάζουν τους νέους κανόνες, οι αρχές της ΕΕ θα έχουν την εξουσία να επιβάλλουν πρόστιμα ύψους έως και 2% των ετήσιων παγκόσμιων εσόδων τους.
Οι μεμονωμένοι διαχειριστές μπορούν επίσης να θεωρηθούν υπεύθυνοι για παραβιάσεις. Οι κυρώσεις σε άτομα εντός χρηματοπιστωτικών οντοτήτων θα μπορούσαν να φτάσουν το 1 εκατομμύριο ευρώ (1,1 εκατομμύρια δολάρια).
Για τους παρόχους πληροφορικής, οι ρυθμιστικές αρχές μπορούν να επιβάλλουν πρόστιμα ύψους έως και 1% των μέσων ημερήσιων παγκόσμιων εσόδων κατά το προηγούμενο οικονομικό έτος. Στις επιχειρήσεις μπορεί επίσης να επιβληθεί πρόστιμο κάθε μέρα για έως και έξι μήνες έως ότου επιτύχουν συμμόρφωση.
Οι τρίτες εταιρείες πληροφορικής που θεωρούνται «κρίσιμες» από τις ρυθμιστικές αρχές της ΕΕ θα μπορούσαν να αντιμετωπίσουν πρόστιμα έως και 5 εκατομμύρια ευρώ – ή, στην περίπτωση ενός μεμονωμένου διαχειριστή, το πολύ 500.000 ευρώ.
Αυτό είναι ελαφρώς λιγότερο αυστηρό από έναν νόμο όπως ο GDPR, σύμφωνα με τον οποίο στις επιχειρήσεις μπορεί να επιβληθεί πρόστιμο έως και 10 εκατομμύρια ευρώ (10,9 εκατομμύρια δολάρια) ή 4% των ετήσιων παγκόσμιων εσόδων τους – όποιο είναι το υψηλότερο ποσό.
Ο Carl Leonard, στρατηγικός αναλυτής κυβερνοασφάλειας EMEA στην εταιρεία λογισμικού ασφαλείας Proofpoint, τονίζει ότι οι ποινικές κυρώσεις μπορεί να διαφέρουν από κράτος μέλος σε κράτος μέλος ανάλογα με τον τρόπο με τον οποίο κάθε χώρα της ΕΕ εφαρμόζει τους κανόνες στις αντίστοιχες αγορές της.
Η DORA ζητά επίσης μια «αρχή της αναλογικότητας» όταν πρόκειται για κυρώσεις ως απάντηση σε παραβιάσεις της νομοθεσίας, πρόσθεσε ο Leonard.
Αυτό σημαίνει ότι οποιαδήποτε απάντηση σε νομικές παραλείψεις θα πρέπει να εξισορροπήσει το χρόνο, την προσπάθεια και τα χρήματα που δαπανούν οι επιχειρήσεις για την ενίσχυση των εσωτερικών διαδικασιών και των τεχνολογιών ασφαλείας τους έναντι του πόσο κρίσιμη είναι η υπηρεσία που προσφέρουν και ποια δεδομένα προσπαθούν να προστατεύσουν.
Είναι έτοιμες οι τράπεζες και οι προμηθευτές τους;
Ο Stephen McDermid, επικεφαλής ασφαλείας EMEA για την εταιρεία κυβερνοασφάλειας Okta, δήλωσε στο CNBC ότι πολλές εταιρείες χρηματοπιστωτικών υπηρεσιών έχουν δώσει προτεραιότητα στη χρήση υφιστάμενων προγραμμάτων εσωτερικής λειτουργικής ανθεκτικότητας και κινδύνου τρίτων για να συμμορφωθούν με το DORA και να «εντοπίσουν τυχόν κενά που μπορεί να έχουν».
«Αυτή είναι η πρόθεση της DORA, να δημιουργήσει ευθυγράμμιση πολλών υφιστάμενων προγραμμάτων διακυβέρνησης κάτω από μια ενιαία εποπτική αρχή και να τα εναρμονίσει σε ολόκληρη την ΕΕ», πρόσθεσε.
Ο Fredrik Forslund, αντιπρόεδρος και γενικός διευθυντής διεθνών υπηρεσιών στην εταιρεία απολύμανσης δεδομένων Blancco, προειδοποίησε ότι αν και οι τράπεζες και οι προμηθευτές τεχνολογίας έχουν σημειώσει πρόοδο προς τη συμμόρφωση με το DORA, υπάρχει ακόμα «δουλειά που πρέπει να γίνει».
Σε μια κλίμακα από το ένα έως το 10 – με τιμή το ένα που αντιπροσωπεύει τη μη συμμόρφωση και το 10 που αντιπροσωπεύει την πλήρη συμμόρφωση – ο Forslund είπε: «Είμαστε στο 6 και προσπαθούμε να φτάσουμε στο 7».
«Γνωρίζουμε ότι πρέπει να είμαστε στις 10 μέχρι τον Ιανουάριο», είπε, προσθέτοντας ότι «δεν θα είναι όλοι εκεί μέχρι τον Ιανουάριο».
πηγή:www.cnbc.com