Skip to main content

Plaćanja

10. august 2023.

 

Razumijevanje DORA-ine vizije za otpornu finansijsku mrežu

Vodeći Steve Brown

Kibernetika i obavještajne službe

rješenja, Mastercard

Zakon o digitalnoj operativnoj otpornosti (DORA) nije napisan imajući na umu rješenja globalne platne mreže. Jedan pogled na njegove regulatorne odredbe sugerira da je to moglo biti i tako.

Prijedlog nije da platna mreža preuzima odgovornost za usklađenost s DORA propisima u ime finansijskih subjekata koji posluju unutar njene mreže. To bi bio težak zadatak čak i da je fokus isključivo na sajber otpornosti. To je još važnije zbog DORA-inog pokrivanja svih operativnih rizika povezanih s informaciono-komunikacijskim tehnologijama (IKT) i uzrokovanih sve većom međusobnom povezanošću finansijskih subjekata.

Umjesto toga, prijedlog navodi stav DORA-e da se otpornost „zbog svog obima i efekata može bolje postići na nivou [Evropske] unije“ i da su se plaćanja „premjestila sa gotovinskih i papirnih metoda“ na digitalna rješenja. DORA-in dvostruki fokus na obim, širom EU i šire, i finansije, posebno plaćanja, dobro se uklapa s postojećim aktivnostima globalnih platnih mreža.

Na primjer, u Mastercardu podržavamo finansijske subjekte omogućavajući sigurna plaćanja i prijenos podataka širom svijeta. Naša digitalna operativna otpornost dolazi kroz kombinaciju snažne autentifikacije korisnika, kvantifikacije rizika, simulacije kršenja sigurnosti i napada, praćenja online izloženosti i sistemske procjene rizika.

Kombinacija je važna. DORA primjećuje kako je finansijski sektor EU „reguliran Jedinstvenim pravilnikom i njime upravlja evropski sistem finansijskog nadzora“, dok „digitalna operativna otpornost i sigurnost IKT-a još nisu u potpunosti ili dosljedno usklađene“. Eksplicitan poziv je za usklađen okvir, ali implicitna sugestija je da i rješenja treba uskladiti. Rješenja platne mreže mogu pomoći finansijskim subjektima da zajedno postignu tu harmoniju.

Četiri različita stuba, jedno rješenje koje je uvijek dostupno

Četiri glavna stuba DORA-e logično zahtijevaju četiri rješenja, a za svako od njih postoje namjenski proizvodi u različitoj mjeri. Ali upravljanje rizicima, izvještavanje o incidentima, testiranje otpornosti i rizik trećih strana ne funkcionišu nezavisno jedno od drugog. DORA ih rješava zajedno bez prekida s dobrim razlogom; pružatelji usluga kibernetičke sigurnosti i drugih rješenja za operativne rizike mogli bi razmotriti isto.

Platne mreže su dobro upoznate s potrebom da budu „stalno dostupne“ putem zamjenske obrade koju pružaju bankama kako bi ispunile zahtjeve za snažnu autentifikaciju kupaca (SCA) tokom prekida i zastoja u radu banaka.

Ipak, pored autentifikacije i autorizacije plaćanja, platne mreže također kontinuirano štite sve podatke na svojim mrežama. Ta zaštita može pokrivati transakcije usmjerene isključivo na kreditne kartice ili plaćanja s računa na račun u stvarnom vremenu, ili može uključivati druge financijske podatke putem otvorenog bankarstva ili sve više blockchaina.

Kontinuirani ciklusi kvantifikacije sajber rizika omogućavaju platnim mrežama da upravljaju operativnim rizicima za svoje višekolosečne mreže i one s kojima se suočavaju finansijski subjekti kojima služe. Ovaj kvantificirani pristup prvom stubu DORA-e podiže sajber sigurnost iznad mentaliteta arkadne igre reaktivnog ubacivanja novčića u slot kako bi se zaustavio neumoljivi nalet napada. Interno prilagođavanje tada može odgovoriti na specifične poslovne potrebe, dok eksterna kontekstualizacija pruža podršku zasnovanu na stalno promjenjivim dinamičkim prijetnjama.

Testiranje otpornosti putem simulacija proboja i napada dopunjuje upravljanje rizicima oponašajući ponašanje zlonamjernih aktera. Simulacije se mogu kontinuirano izvoditi unutar proizvodnog okruženja organizacije kako bi se riješio drugi stub DORA-e, dok poslovne operacije ne prestaju bez prekida. Oni također mogu poslužiti kao sistem kontinuirane validacije koji prati efikasnost sigurnosnih kontrola. Rezultati pružaju poboljšane podatke za upravljanje rizicima, što zauzvrat doprinosi daljnjem testiranju otpornosti u pozitivnim ciklusima. Izvještaji koji proizlaze iz kontinuiranog testiranja mogu se zatim, po potrebi, uključiti u mehanizme za prijavljivanje incidenata za treći stub DORA-e.

Četvrti stub, rizik treće strane, dolazi nakon upravljanja rizicima, izvještavanja o incidentima i testiranja otpornosti u DORA-i. Čini se da stav ne odražava važnost, već prepoznavanje kako on leži u osnovi ostala tri stuba u finansijskom ekosistemu.

Mnogo finansijskih entiteta, jedan finansijski ekosistem

Rizik treće strane naveden je kao najizazovniji od četiri glavna stuba DORA-e u anketi koju je sponzorirao Mastercard, a koja je provedena među timovima za upravljanje rizikom u oblasti informacionih i komunikacionih tehnologija (IKT) u 20 finansijskih subjekata u 20 zemalja EU između novembra 2022. i februara 2023. godine.

Izazov proizlazi iz rastuće potrebe za otpornošću ekosistema , jer se rizik treće strane mijenja od mentaliteta „ja protiv njih“ do kolektivnog „nas“ koji je u osnovi svih ostalih aspekata sajber sigurnosti. Sveobuhvatni cilj DORA-e je osigurati otpornost ekosistema EU, a idealno i širom svijeta.

Iz globalne perspektive, DORA ne zahtijeva lokalizaciju podataka u vezi s rukovanjem podacima koji ulaze i izlaze iz EU. Ipak, DORA nije imuna na „Briselski efekat“, koji se odnosi na uticaj zakonodavstva EU izvan njenih geografskih granica.

Konkretnije, u smislu same DORA-e i rizika prema trećim stranama, članovi 36 i 44 se bave aktivnostima evropskih nadzornih tijela „izvan Unije“ i razvojem najboljih praksi putem „međunarodne saradnje“.

Obim znači da sposobnost finansijskih subjekata da se pozabave DORA-om zavisi od holističkih rješenja pružatelja usluga, kao što su globalne platne mreže, s partnerstvima koja obuhvataju finansijski ekosistem. Pozitivan ciklus upravljanja rizicima i otpornosti može dodatno imati koristi od ekonomije obima povezane s finansijskim ekosistemom prepunim inherentnih odnosa s trećim stranama. Namjenski pristupi riziku trećih strana, kao što su praćenje izloženosti na mreži i sistemskog rizika, dopunjuju mrežni pristup.

Slovo zakona nasuprot duhu zakona

Zakon o digitalnoj operativnoj otpornosti zvuči mnogo pristupačnije pod svojim privlačnim akronimom DORA. Finansijski subjekti u EU i drugdje morat će dobro poznavati DORA-u do januara 2025. godine, kada će provedba stupiti na snagu.

Istraživanje koje sponzorira Mastercard sugerira da će finansijski subjekti započeti s implementacijom usklađenosti sredinom 2023. godine nakon što završe procjene nedostataka. Sveobuhvatan ili „usklađen“ paket rješenja trebao bi im pomoći da stignu na vrijeme.

Ipak, ta pomoć treba da ide dalje od pukog pružanja povezanih rješenja kako bi se zadovoljile potrebe usklađenosti. DORA zavisi od više od pukog poštovanja slova zakona od strane pojedinačnih finansijskih subjekata. To također zavisi od finansijskih subjekata koji prepoznaju potrebu za udruživanjem u cijelom finansijskom ekosistemu putem mrežnog pristupa.

Bez te mreže, vjerovatno će doći do prekida veze. Ironičan rezultat za čin osmišljen da zadovolji potrebe međusobno povezanog svijeta.