Prošle godine, Predsjedništvo Vijeća Evropske unije i Evropski parlament postigli su privremeni sporazum o Zakonu o digitalnoj operativnoj otpornosti (DORA) za poboljšanje sajber-sigurnosti finansijskih institucija u Evropi. Nakon što DORA bude usvojena u zemljama EU, finansijske kompanije će morati osigurati da se mogu suprotstaviti, odgovoriti na sve vrste poremećaja i prijetnji informaciono-komunikacionih tehnologija (IKT) i oporaviti se od njih, s krajnjim ciljem sprečavanja i ublažavanja sajber prijetnji. Regulacija ima diferenciran pristup regulaciji malih, mikro i međusobno povezanih subjekata.
Testiranje fleksibilnosti
Evropska nadzorna tijela (ESA), odnosno Europsko tijelo za bankarstvo (EBA), Europsko tijelo za vrijednosne papire i tržišta (ESMA) i Europsko tijelo za osiguranje i profesionalne penzije (EIOPA) - razvijaju „tehničke standarde koje sve institucije finansijskih usluga moraju pridržavati se”. Pored toga, kritični nezavisni pružaoci IKT usluga, posebno pružaoci usluga u oblaku finansijskim institucijama u EU, moraće da osnuju podružnicu unutar EU radi odgovarajućeg nadzora, a revizori će biti uključeni u buduće revizije uredbe.
Novi zakon će primorati FSI kompanije u EU da testiraju otpornost svojih organizacija; to jest, oni će u osnovi morati da upravljaju rizicima i koriste okvir upravljanja rizikom kako bi ispunili zahtjeve DORA-e. Stoga se preporučuje da sve CISO u finansijskoj industriji razmotre saradnju sa dobavljačima i partnerima za sajber bezbednost koji su u potpunosti u toku sa DORA.
Dodatne preporuke za CISO za finansijske usluge za 2023
Date su i druge konkretnije preporuke za institucije finansijskog sektora koje planiraju 2023. CISO (šefovi informacione sigurnosti) koji rade u industriji finansijskih usluga moraju shvatiti da 2023. neće biti kao 2022.; Događaju se velike promjene, a sajber rizik se povećava.
Prelazak na način razmišljanja o intervenciji i oporavku
Sve je veći broj ransomware-a, a to je glavna tema za sve institucije, a ne samo za finansijske institucije. Tradicionalno, mentalitet industrije finansijskih usluga je: “Ne, ne želimo rizik.” Do sada se sve svodilo na zaštitu i otkrivanje. Međutim, s obzirom na prirodu sajber rizika danas, ovaj pristup više nije realan.
CISO-e u finansijskoj industriji moraju razumjeti krajolik prijetnji koje se brzo mijenja i fokusirati se na to da budu otpornije. To znači da bi strategija institucije u finansijskom sektoru trebala da se pomakne sa pokušaja izbjegavanja svih rizika na mogućnost brzog oporavka od napada. Ovo će prirodno dovesti do ulaganja u platforme koje omogućavaju funkcije kao što su otkrivanje i odgovor krajnje tačke (EDR), prošireno otkrivanje i odgovor (XDR) i bezbednosna orkestracija, automatizacija i odgovor (SOAR).
Rizici koji dolaze sa ugrađenim finansijama
Još jedno pitanje za CISO u finansijskim institucijama koje treba razmotriti u 2023. je trend rasta ugrađenih finansija.
Šta su ugrađene finansije?
„Ugrađene finansije su proces integracije svih finansijskih usluga na jednom mjestu umjesto da se bavimo tradicionalnim institucijama. Nudi siguran, jednostavan i efikasan način prikupljanja svih usluga koje trgovac može koristiti u jednom modelu koji je jednostavan za upravljanje. Finansijska rješenja mogu se integrirati u poslovnu infrastrukturu, olakšavajući pristup finansijskim uslugama kao što su pozajmljivanje, osiguranje ili platne transakcije bez usmjeravanja ljudi na odredišta trećih strana. To znači manje aplikacija s kojima se treba petljati, manje ljudi koji se bave novcem, manje brige i manje vremena utrošenog na vođenje finansijske logistike. Interes za ovu industriju je naglo rastao u posljednjih nekoliko godina. Američko tržište ugrađenih finansija dostiglo je 2020 milijardi dolara u 22,5. i očekuje se da će porasti deset puta na 2025 milijardi dolara do 230. (NCR, 8. avgust 2022.)
Finansije će postati rasprostranjenije u svijetu 2023. godine i kasnije. Na primjer, uzmite u obzir ugrađene financije, gdje netradicionalne organizacije koriste finansijske proizvode za prodaju „kupi sada plati kasnije“. Ova metoda povećava prodaju, ali i povećava rizik za organizacije.
Ugrađeno finansiranje je olakšano tehnologijom bankarstva kao usluge (BaaS) i interfejsa za programiranje aplikacija (API). Očekuje se da će ova metoda generirati više od 2026 milijardi dolara godišnjeg prihoda za banke do 25. godine, a do 2025. godine stare banke će prebaciti 25 posto prihoda malih i srednjih preduzeća u postojeće kanale. (Ugrađene aplikacije: novi prihodi i novi rizici za banke (garp.org)
Za 2023. i dalje, CISO-i u FSI-u moraju obratiti posebnu pažnju na sljedeće:
- Organizacije moraju osigurati da imaju snažne politike kibernetičke sigurnosti i zaštite podataka, uključujući mjere za sprječavanje kršenja podataka i neovlaštenog pristupa osjetljivim informacijama.
- Kada institucije rade sa nefinansijskim partnerima koji možda nemaju isti nivo stručnosti ili iskustva u finansijskim uslugama, one moraju pratiti potencijalne rizike od zloupotrebe ili zloupotrebe podataka.
- Prilikom integracije finansijskih proizvoda i usluga u nefinansijske proizvode ili platforme, treba sagledati potencijal sukoba interesa i institucije treba da budu transparentne prema korisnicima u vezi sa uslovima i odredbama tih proizvoda i usluga.
- Neophodno je biti u toku sa regulatornim razvojem u vezi sa ugrađenim finansijama i osigurati da je organizacija usklađena sa svim relevantnim zakonima i propisima.
- Organizacija bi trebalo da bude partner sa specijalizovanim firmama ili da razmotri konsultacije sa stručnjacima u ovoj oblasti kako bi osigurala da ima znanja i resurse za efikasno upravljanje rizicima u vezi sa sajber-bezbednošću i privatnošću u kontekstu ugrađenih finansija.
Svijest je također važna jer tehnologija sama to ne može postići. Finansijske institucije treba da počnu sa obukom svojih zaposlenih o DevSecOps-u, veštačkoj inteligenciji, mašinskom učenju i API bezbednosti. U ovom trenutku, Fortinet naglašava svoju posvećenost da pomogne u zatvaranju jaza u sajber vještinama i povećanju cyber svijesti kroz TAA inicijativu i programe Instituta za obrazovanje.
Budite prvi koji će komentirati