Skip to main content

Плащания

10 август 2023 г.

 

Разбиране на визията на DORA за устойчива финансова мрежа

Олово Стив Браун

Cyber & Intelligence

решения, Mastercard

Законът за цифровата оперативна устойчивост (DORA) не е написан с оглед на решенията на глобалната платежна мрежа. Един поглед върху регулаторните разпоредби показва, че това може и да е така.

Предложението не е платежната мрежа да поеме спазването на DORA от името на финансовите субекти, работещи в нейната мрежа. Това би било голяма задача, дори ако фокусът е единствено върху кибернетичната устойчивост. Той става още по-висок благодарение на това, че DORA обхваща всички оперативни рискове, свързани с информационните & комуникационни технологии (ИКТ) и породени от нарастващата взаимосвързаност на финансовите субекти.

В предложението по-скоро се отбелязва позицията на DORA, че устойчивостта може "поради мащаба и последиците си да бъде по-добре постигната на равнище [Европейски] съюз" и че плащанията са "преминали от парични и хартиени методи" към цифрови решения. Двойната насоченост на DORA към мащаба в ЕС и извън него и към финансите, по-специално плащанията, се съчетава добре със съществуващите дейности на глобалните платежни мрежи.

Например, в Mastercard подкрепяме финансовите институции, като осигуряваме сигурни плащания и прехвърляне на данни в световен мащаб. Нашата дигитална оперативна устойчивост се постига чрез комбинация от силна автентификация на клиентите, количествено определяне на риска, симулация на атака за пробив &, онлайн мониторинг на експозицията и системна оценка на риска.

Комбинацията е важна. DORA отбелязва, че финансовият сектор на ЕС е "регулиран от единен правилник и се управлява от европейска система за финансов надзор", докато "цифровата оперативна устойчивост и сигурността на ИКТ все още не са напълно или последователно хармонизирани". Изричният призив е за хармонизирана рамка, но имплицитното предложение е, че решенията също трябва да бъдат хармонизирани. Решенията на дадена платежна мрежа могат да помогнат на финансовите институции да постигнат тази хармония заедно.

Четири отделни стълба, едно винаги включено решение

Четирите основни стълба на DORA логично изискват четири решения и за всяко от тях съществуват специализирани продукти в различна степен. Но управлението на риска, докладването на инциденти, тестването на устойчивостта и рискът от трети страни не действат независимо едно от друго. По основателна причина DORA ги разглежда заедно без прекъсване; доставчиците на решения за киберсигурност и други оперативни рискове могат да помислят за същото.

Платежните мрежи са добре запознати с необходимостта да бъдат "винаги в режим на работа" чрез резервната обработка, която предоставят на банките, за да изпълнят изискванията за силна автентикация на клиента (SCA) по време на прекъсвания на работата на банките.

Освен удостоверяването на автентичността и оторизацията на плащанията, платежните мрежи непрекъснато защитават и всички данни в своите мрежи. Тази защита може да обхваща трансакции, фокусирани единствено върху плащания с кредитни карти или между сметки в реално време, или да включва други финансови данни чрез отворено банкиране или все повече блокчейн.

Текущите цикли на количествено определяне на киберрисковете позволяват на платежните мрежи да управляват оперативните рискове за своите многорелсови мрежи и тези, пред които са изправени обслужваните от тях финансови субекти. Този количествено измерим подход към първия стълб на DORA извежда киберсигурността отвъд манталитета на аркадната игра, при която реактивно се вкарват монети в слота, за да се спре непрестанният поток от атаки. Вътрешната персонализация може да отговори на специфичните бизнес нужди, докато външната контекстуализация осигурява подкрепа въз основа на постоянно променящите се динамични заплахи.

Тестването на устойчивостта чрез симулации на атаки за пробив &  допълва управлението на риска, като имитира поведението на злонамерени участници. Симулациите могат да се изпълняват непрекъснато в производствената среда на организацията, за да се отговори на втория стълб на DORA, докато бизнес операциите продължават без прекъсване. Те могат да служат и като система за непрекъснато валидиране, която следи за ефективността на контролите за сигурност. Резултатите предоставят подобрени данни за управление на риска, които на свой ред подхранват по-нататъшни изпитвания на устойчивостта в рамките на един порочен цикъл. Докладите, получени в резултат на непрекъснатото тестване, могат да се използват при необходимост в механизмите за докладване на инциденти за третия стълб на DORA.

Четвъртият стълб, рискът от трети страни, е след управлението на риска, докладването на инциденти и тестването на устойчивостта в DORA. Позицията изглежда не е отражение на важността, а по-скоро признание за това как тя е в основата на другите три стълба на финансовата екосистема.

Много финансови субекти, една финансова екосистема

Рискът, свързан с трети страни, е отбелязан като най-трудният от четирите основни стълба на DORA в спонсорирано от Mastercard проучване на екипите по риска в областта на информационните & комуникационни технологии (ИКТ) в 20 финансови структури в 20 държави от ЕС в периода ноември 2022 г. - февруари 2023 г.

Предизвикателството произтича от възникващата необходимост от устойчивост на екосистемата, тъй като рискът от трети страни се измества от манталитета "аз срещу тях" към колективното "ние", което е в основата на всички други аспекти на киберсигурността. Основната цел на DORA е да осигури тази устойчивост на екосистемите в ЕС, а в идеалния случай и в целия свят.

От глобална гледна точка DORA не изисква локализиране на данните по отношение на обработката на данни, които влизат и излизат от ЕС. Въпреки това DORA не е защитена от "брюкселския ефект", който се отнася до въздействието на законодателството на ЕС извън неговите географски граници.

По-конкретно по отношение на самата DORA и риска от трети страни, членове 36 и 44 разглеждат дейностите на европейските надзорни органи "извън Съюза" и разработването на най-добри практики чрез "международно сътрудничество".

Обхватът означава, че способността на финансовите субекти да се справят с DORA зависи от цялостните решения на доставчиците, като например глобалните платежни мрежи, с партньорства, обхващащи цялата финансова екосистема. След това този благоприятен цикъл на управление на риска и устойчивост може да се възползва допълнително от икономиите от мащаба, свързани с финансовата екосистема, изпълнена с присъщи взаимоотношения с трети страни. Специалните подходи към риска от трети страни, като например мониторинг на онлайн експозицията и системния риск, допълват мрежовия подход.

Буквата на закона срещу духа на закона

Законът за цифровата оперативна устойчивост звучи много по-близко под своето характерно съкращение DORA. Финансовите субекти в ЕС и другаде ще трябва да познават добре DORA до януари 2025 г., когато ще започне да се прилага.

Проучването, спонсорирано от Mastercard, показва, че финансовите институции ще започнат да прилагат съответствието в средата на 2023 г., след като завършат оценките на пропуските. Един цялостен или "хармонизиран" пакет от решения трябва да им помогне да се справят навреме.

Но тази помощ трябва да надхвърля простото предоставяне на свързани решения за изпълнение на изискванията за съответствие. DORA зависи не само от отделните финансови институции, които спазват буквата на закона. Това зависи и от финансовите субекти, които признават необходимостта от обединяване на усилията в рамките на финансовата екосистема чрез мрежов подход.

Без тази мрежа вероятно ще се стигне до прекъсване на връзката. Парадоксален резултат за акт, създаден, за да обслужва един взаимосвързан свят.