Lani sta predsedstvo Sveta Evropske unije in Evropski parlament dosegla začasni dogovor o Zakonu o digitalni operativni odpornosti (DORA) za izboljšanje kibernetske varnosti finančnih institucij v Evropi. Ko bodo države EU sprejele DORA, bodo morale finančne družbe zagotoviti, da se bodo lahko zoperstavile, odzvale in okrevale po vseh vrstah motenj in groženj informacijske in komunikacijske tehnologije (IKT), s končnim ciljem preprečevanja in ublažitve kibernetskih groženj. Regulacija ima diferenciran pristop k regulaciji malih, mikro in med seboj povezanih subjektov.
Testiranje fleksibilnosti
Evropski nadzorni organi (ESA), in sicer Evropski bančni organ (EBA), Evropski organ za vrednostne papirje in trge (ESMA) ter Evropski organ za zavarovanja in poklicne pokojnine (EIOPA) – razvijajo »tehnične standarde, ki jih morajo upoštevati vse institucije za finančne storitve. upoštevati«. Poleg tega bodo morali kritični tretji ponudniki storitev IKT, zlasti ponudniki oblakov za finančne institucije v EU, ustanoviti hčerinsko družbo v EU za ustrezen nadzor, revizorji pa bodo vključeni v prihodnje preglede uredbe.
Novi zakon bo podjetja FSI v EU prisilil, da preizkusijo odpornost svojih organizacij; to pomeni, da bodo morali v bistvu obvladovati tveganja in uporabljati okvir za obvladovanje tveganja, da bodo izpolnili zahteve DORA. Zato je priporočljivo, da vsi CISO za finančno industrijo razmislijo o sodelovanju s prodajalci in partnerji kibernetske varnosti, ki so v celoti na tekočem z DORA.
Nadaljnja priporočila za leto 2023 za CISO za finančne storitve
Podana so tudi druga konkretnejša priporočila za institucije finančnega sektorja, ki načrtujejo leto 2023. CISO (vodje informacijske varnosti), ki delajo v industriji finančnih storitev, morajo razumeti, da leto 2023 ne bo podobno letu 2022; Dogajajo se velike spremembe in kibernetsko tveganje narašča.
Prehod na miselnost intervencije in okrevanja
Izsiljevalska programska oprema se povečuje in to je glavna težava za vse institucije, ne samo za finančne institucije. Tradicionalno je miselnost industrije finančnih storitev: "Ne, nočemo tveganja." Do zdaj je šlo le za zaščito in odkrivanje. Vendar glede na današnjo naravo kibernetskega tveganja ta pristop ni več realen.
CISO v finančni industriji morajo razumeti hitro spreminjajoče se okolje groženj in se osredotočiti na večjo odpornost. To pomeni, da bi se morala strategija institucije finančnega sektorja preusmeriti s poskusov izogibanja vsem tveganjem na sposobnost hitrega okrevanja po napadu. To bo seveda pripeljalo do naložb v platforme, ki omogočajo funkcije, kot so zaznavanje in odziv končne točke (EDR), razširjeno zaznavanje in odziv (XDR) ter varnostna orkestracija, avtomatizacija in odziv (SOAR).
Tveganja, ki prihajajo z vgrajenimi financami
Drugo vprašanje, ki ga morajo CISO v finančnih institucijah upoštevati v letu 2023, je naraščajoči trend vgrajenega financiranja.
Kaj so vgrajene finance?
»Vgrajene finance so proces integracije vseh finančnih storitev na enem mestu namesto ukvarjanja s tradicionalnimi institucijami. Ponuja varen, preprost in učinkovit način zbiranja vseh storitev, ki jih trgovec lahko uporablja v enem modelu, ki ga je enostavno upravljati. Finančne rešitve je mogoče integrirati v poslovno infrastrukturo, kar olajša dostop do finančnih storitev, kot so posojila, zavarovanja ali plačilne transakcije, ne da bi ljudi usmerjali na cilje tretjih oseb. To pomeni manj aplikacij, s katerimi se je treba ukvarjati, manj ljudi, ki se ukvarjajo z denarjem, manj skrbi in manj časa, porabljenega za spremljanje finančne logistike. Zanimanje za to panogo je v zadnjih nekaj letih hitro naraslo. Ameriški trg vgrajenih financ je leta 2020 dosegel 22,5 milijarde dolarjev in naj bi se do leta 2025 desetkrat povečal na 230 milijard dolarjev.« (NČR, 8. avgust 2022)
Finance bodo postale bolj razširjene v svetu leta 2023 in kasneje. Na primer, razmislite o vgrajenih financah, kjer netradicionalne organizacije uporabljajo finančne produkte za prodajo »kupi zdaj plačaj pozneje«. Ta metoda poveča prodajo, vendar tudi poveča tveganje za organizacije.
Vgrajeno financiranje omogočata tehnologiji bančništvo kot storitev (BaaS) in aplikacijski programski vmesnik (API). Pričakuje se, da bo ta metoda do leta 2026 bankam ustvarila več kot 25 milijard dolarjev letnega prihodka, do leta 2025 pa bodo obstoječe banke preusmerile 25 odstotkov dohodka malih in srednje velikih podjetij v obstoječe kanale. (Vgrajene aplikacije: novi prihodki in nova tveganja za banke (garp.org)
Za leto 2023 in pozneje morajo biti CISO pri FSI še posebej pozorni na naslednje:
- Organizacije morajo zagotoviti, da imajo trdne politike kibernetske varnosti in varstva podatkov, vključno z ukrepi za preprečevanje kršitev podatkov in nepooblaščenega dostopa do občutljivih informacij.
- Kadar institucije sodelujejo z nefinančnimi partnerji, ki morda nimajo enake ravni strokovnega znanja ali izkušenj s finančnimi storitvami, morajo spremljati morebitna tveganja zlorabe ali zlorabe podatkov.
- Pri vključevanju finančnih produktov in storitev v nefinančne produkte ali platforme je treba preučiti možnost navzkrižja interesov, institucije pa bi morale biti pregledne s strankami glede določil in pogojev teh produktov in storitev.
- Treba je biti na tekočem z razvojem zakonodaje v zvezi z vgrajenimi financami in zagotoviti, da je organizacija v skladu z vsemi ustreznimi zakoni in predpisi.
- Organizacija bi morala sodelovati s specializiranimi podjetji ali razmisliti o posvetovanju s strokovnjaki na tem področju, da zagotovi, da ima znanje in vire za učinkovito obvladovanje tveganj kibernetske varnosti in zasebnosti v okviru vgrajenih financ.
Pomembna je tudi ozaveščenost, saj sama tehnologija tega ne more doseči. Finančne institucije morajo svoje zaposlene začeti usposabljati o DevSecOps, umetni inteligenci, strojnem učenju in varnosti API-jev. Na tej točki Fortinet poudarja svojo zavezo, da bo pomagal zapolniti vrzel v kibernetskih veščinah in povečati kibernetsko ozaveščenost prek pobude TAA in programov Education Institute.
Najprej komentirajte