Skip to main content

Betalingen

Augustus 10, 2023

 

Inzicht in de visie van DORA voor een veerkrachtig financieel netwerk

Leider Steve Brown

Cyber & Intelligence

oplossingen, Mastercard

De Digital Operational Resilience Act (DORA) is niet geschreven met de oplossingen van een wereldwijd betalingsnetwerk in het achterhoofd. Een blik op de wettelijke bepalingen suggereert dat het net zo goed had kunnen zijn.

De suggestie is niet dat een betalingsnetwerk de DORA-compliance op zich neemt namens financiële entiteiten die binnen zijn netwerk actief zijn. Dat zou een hele opgave zijn, zelfs als de focus puur op cyberweerbaarheid zou liggen. Het wordt nog groter door de dekking door DORA van alle operationele risico's die verbonden zijn aan informatie- en communicatietechnologie (ICT) en door de toenemende verwevenheid van financiële entiteiten.

De suggestie wijst eerder op het standpunt van DORA dat veerkracht "vanwege de schaal en de effecten ervan beter op [Europees] Unieniveau kan worden bereikt" en dat betalingen "zijn overgestapt van contante en op papier gebaseerde methoden" naar digitale oplossingen. De tweeledige focus van DORA op schaalgrootte, in de hele EU en daarbuiten, en financiën, met name betalingen, sluit goed aan bij de bestaande activiteiten van wereldwijde betalingsnetwerken.

Bij Mastercard ondersteunen we bijvoorbeeld financiële entiteiten door veilige betalingen en gegevensoverdrachten wereldwijd mogelijk te maken. Onze digitale operationele veerkracht is te danken aan een combinatie van sterke klantauthenticatie, risicokwantificering, inbreuk- en aanvalssimulatie, online monitoring van blootstelling en systemische risicobeoordeling.

De combinatie is belangrijk. DORA merkt op hoe de financiële sector van de EU "wordt gereguleerd door een gemeenschappelijk rulebook en wordt beheerd door een Europees systeem van financieel toezicht", terwijl "digitale operationele veerkracht en ICT-beveiliging nog niet volledig of consistent zijn geharmoniseerd". Er wordt nadrukkelijk aangedrongen op een geharmoniseerd kader, maar impliciet wordt gesuggereerd dat de oplossingen ook geharmoniseerd moeten worden. De oplossingen van een betalingsnetwerk kunnen financiële entiteiten helpen om samen die harmonie te bereiken.

Vier verschillende pijlers, één "always on"-oplossing

De vier belangrijkste pijlers van DORA vragen logischerwijs om vier oplossingen, en voor elk van hen bestaan in verschillende mate specifieke producten. Maar risicobeheer, incidentrapportage, veerkrachttests en risico's van derden werken niet onafhankelijk van elkaar. DORA adresseert ze niet voor niets zonder onderbreking samen; Aanbieders van cyberbeveiliging en andere oplossingen voor operationele risico's zouden kunnen overwegen hetzelfde te doen.

Betalingsnetwerken zijn goed bekend met de noodzaak om "altijd aan" te zijn via de stand-in-verwerking die ze aan banken bieden om te voldoen aan de vereisten voor sterke klantauthenticatie (SCA) tijdens bankstoringen en downtime.

Maar naast de authenticatie en autorisatie van betalingen, beschermen betalingsnetwerken ook voortdurend alle gegevens op hun netwerken. Die bescherming kan betrekking hebben op transacties die alleen gericht zijn op creditcard- of realtime-rekening-naar-rekening-betalingen, maar kan ook andere financiële gegevens omvatten via open bankieren of in toenemende mate blockchain.

Voortdurende cycli van kwantificering van cyberrisico's stellen betalingsnetwerken in staat om operationele risico's voor hun multi-railnetwerken en die voor de financiële entiteiten die ze bedienen te beheren. Deze kwantificeerbare benadering van de eerste pijler van DORA gaat verder dan een arcade-game-mentaliteit van het reactief inpluggen van munten in een sleuf om een meedogenloze aanval van aanvallen te stoppen. Intern maatwerk kan dan inspelen op specifieke bedrijfsbehoeften, terwijl externe contextualisering ondersteuning biedt op basis van steeds evoluerende dynamische bedreigingen.

Weerbaarheidstesten via inbreuk- en aanvalssimulaties vormen een aanvulling op risicobeheer door het gedrag van kwaadwillenden na te bootsen. De simulaties kunnen continu worden uitgevoerd binnen de productieomgeving van een organisatie om de tweede pijler van DORA aan te pakken, terwijl de bedrijfsvoering ononderbroken doorgaat. Ze kunnen ook dienen als een continu validatiesysteem dat de effectiviteit van beveiligingscontroles bewaakt. De resultaten leveren verbeterde gegevens op voor risicobeheer die op hun beurt weer leiden tot verdere veerkrachttests in opwaartse cycli. Rapporten die het resultaat zijn van de continue tests kunnen vervolgens indien nodig worden gebruikt in de mechanismen voor het melden van incidenten voor de derde pijler van DORA.

De vierde pijler, het risico van derden, komt na risicobeheer, het melden van incidenten en het testen van de veerkracht in DORA. De functie lijkt geen weerspiegeling van belangrijkheid te zijn, maar eerder een erkenning van hoe deze ten grondslag ligt aan de andere drie pijlers in een financieel ecosysteem.

Veel financiële entiteiten, één financieel ecosysteem

Risico van derden wordt genoemd als de meest uitdagende van de vier belangrijkste pijlers van DORA in een door Mastercard gesponsord onderzoek onder risicoteams voor informatie- en communicatietechnologie (ICT) in 20 financiële entiteiten in 20 EU-landen tussen november 2022 en februari 2023.

De uitdaging komt voort uit de opkomende behoefte aan veerkracht van het ecosysteem naarmate het risico voor derden verschuift van een "ik versus zij" mentaliteit naar een collectief "wij" dat ten grondslag ligt aan alle andere aspecten van cyberbeveiliging. Het overkoepelende doel van DORA is om die veerkracht van ecosystemen te bieden aan de EU en idealiter wereldwijd.

Vanuit een mondiaal perspectief vereist DORA geen gegevenslokalisatie met betrekking tot de verwerking van gegevens die de EU binnenkomen en verlaten. Toch is DORA niet immuun voor het "Brussel-effect", dat verwijst naar de impact van EU-wetgeving buiten haar geografische grenzen.

Meer specifiek wat betreft DORA zelf en het risico van derden, hebben de artikelen 36 en 44 betrekking op activiteiten van Europese toezichthoudende autoriteiten "buiten de Unie" en de ontwikkeling van beste praktijken door middel van "internationale samenwerking".

De reikwijdte betekent dat het vermogen van financiële entiteiten om DORA aan te pakken afhangt van holistische oplossingen van aanbieders, zoals wereldwijde betalingsnetwerken, met partnerschappen die het financiële ecosysteem bestrijken. De opwaartse spiraal van risicobeheer en veerkracht kan dan verder profiteren van de schaalvoordelen die gepaard gaan met een financieel ecosysteem dat vol zit met inherente relaties met derden. Specifieke benaderingen van risico's van derden, zoals het monitoren van onlineblootstelling en systeemrisico's, vormen een aanvulling op de netwerkbenadering.

De letter van de wet versus de geest van de wet

De Digital Operational Resilience Act klinkt veel toegankelijker onder het persoonlijke acroniem DORA. Financiële entiteiten in de EU en elders moeten DORA goed kennen tegen januari 2025, wanneer de handhaving live gaat.

Uit de door Mastercard gesponsorde enquête blijkt dat financiële entiteiten medio 2023 zullen beginnen met de implementatie van compliance na het voltooien van gap-assessments. Een uitgebreid of "geharmoniseerd" pakket aan oplossingen moet hen helpen om op tijd binnen te komen.

Die hulp moet echter verder gaan dan alleen het aanbieden van verbonden oplossingen om aan de nalevingsbehoeften te voldoen. DORA is afhankelijk van meer dan alleen individuele financiële entiteiten die zich aan de letter van de wet houden. Het hangt ook af van de vraag of financiële entiteiten de noodzaak erkennen om in het hele financiële ecosysteem samen te komen via een netwerkbenadering.

Zonder dat netwerk zal er waarschijnlijk een verbroken verbinding zijn. Een ironisch resultaat voor een act die is ontworpen om tegemoet te komen aan een onderling verbonden wereld.