Skip to main content

Betalinger

10. august 2023

 

Forståelse af DORAs vision for et robust finansielt netværk

Leder Steve Brown

Cyber og efterretningstjenester

løsninger, Mastercard

Digital Operational Resilience Act (DORA) blev ikke skrevet med løsninger fra et globalt betalingsnetværk i tankerne. Et blik på dens lovgivningsmæssige bestemmelser tyder på, at det lige så godt kunne have været tilfældet.

Forslaget er ikke, at et betalingsnetværk skal overholde DORA-reglerne på vegne af finansielle enheder, der opererer inden for dets netværk. Det ville være en stor opgave, selv hvis fokus udelukkende var cyberrobusthed. Det forstærkes yderligere af DORA's dækning af alle operationelle risici forbundet med informations- og kommunikationsteknologi (IKT) og den stigende sammenkobling mellem finansielle enheder.

Forslaget bemærker snarere DORA's holdning om, at modstandsdygtighed "på grund af dens omfang og virkninger bedre kan opnås på [EU-]plan", og at betalinger er "gået fra kontant- og papirbaserede metoder" til digitale løsninger. DORAs dobbelte fokus på stordriftsfordele, i hele EU og uden for EU, og finansiering, især betalinger, stemmer godt overens med de eksisterende aktiviteter i globale betalingsnetværk.

For eksempel støtter vi hos Mastercard finansielle enheder ved at muliggøre sikre betalinger og dataoverførsler over hele verden. Vores digitale operationelle robusthed kommer via en kombination af stærk kundegodkendelse, risikokvantificering, simulering af brud og angreb, online eksponeringsovervågning og systemisk risikovurdering.

Kombinationen er vigtig. DORA bemærker, hvordan EU's finanssektor er "reguleret af et fælles regelsæt og underlagt et europæisk system for finansielt tilsyn", mens "digital operationel robusthed og IKT-sikkerhed endnu ikke er fuldt eller konsekvent harmoniseret." Den eksplicitte opfordring er til en harmoniseret ramme, men det implicitte forslag er, at løsningerne også bør harmoniseres. Et betalingsnetværks løsninger kan hjælpe finansielle enheder med at opnå denne harmoni sammen.

Fire forskellige søjler, én "altid aktiv" løsning

De fire hovedsøjler i DORA kræver logisk set fire løsninger, og der findes dedikerede produkter til hver af dem i varierende grad. Men risikostyring, hændelsesrapportering, modstandsdygtighedstest og tredjepartsrisiko fungerer ikke uafhængigt af hinanden. DORA håndterer dem sammen uden afbrydelse og med god grund; udbydere af cybersikkerhed og andre operationelle risikoløsninger kunne overveje at gøre det samme.

Betalingsnetværk er indgående bekendt med behovet for at være "altid på" via den stand-in-behandling, de leverer til banker for at opfylde kravene til stærk kundegodkendelse (SCA) under bankafbrydelser og nedetid.

Ud over betalingsgodkendelse og -autorisation beskytter betalingsnetværk også løbende alle data på deres netværk. Denne beskyttelse kan dække transaktioner, der udelukkende fokuserer på kreditkort- eller konto-til-konto-betalinger i realtid, eller den kan inkorporere andre finansielle data via open banking eller i stigende grad blockchain.

Løbende cyklusser med kvantificering af cyberrisiko gør det muligt for betalingsnetværk at styre operationelle risici for deres multi-rail-netværk og dem, som de finansielle enheder, de betjener, står over for. Denne kvantificerbare tilgang til DORAs første søjle tager cybersikkerhed ud over en arkadespilmentalitet, hvor man reaktivt sætter mønter i en spilleautomat for at dæmme op for et ubarmhjertigt angreb. Intern tilpasning kan derefter imødekomme specifikke forretningsbehov, mens ekstern kontekstualisering yder support baseret på stadigt udviklende dynamiske trusler.

Modstandsdygtighedstest via simuleringer af brud og angreb supplerer risikostyring ved at efterligne ondsindede aktørers adfærd. Simulationerne kan køre kontinuerligt i en organisations produktionsmiljø for at imødekomme DORAs anden søjle, mens forretningsdriften fortsætter uafbrudt. De kan også fungere som et kontinuerligt valideringssystem, der overvåger effektiviteten af sikkerhedskontroller. Resultaterne giver forbedrede data til risikostyring, som igen bidrager til yderligere test af modstandsdygtighed i positive cyklusser. Rapporter som følge af den løbende testning kan derefter indgå i hændelsesrapporteringsmekanismer for DORA's tredje søjle efter behov.

Den fjerde søjle, tredjepartsrisiko, kommer efter risikostyring, hændelsesrapportering og test af robusthed i DORA. Positionen synes ikke at afspejle vigtighed, men snarere en anerkendelse af, hvordan den ligger til grund for de andre tre søjler i et finansielt økosystem.

Mange finansielle enheder, ét finansielt økosystem

Tredjepartsrisiko er blevet udpeget som den mest udfordrende af DORA's fire hovedsøjler i en Mastercard-sponsoreret undersøgelse af informations- og kommunikationsteknologi (IKT)-risikoteams i 20 finansielle enheder i 20 EU-lande mellem november 2022 og februar 2023.

Udfordringen stammer fra det voksende behov for økosystemers modstandsdygtighed, i takt med at tredjepartsrisiko skifter fra en "mig mod dem"-mentalitet til et kollektivt "os", der ligger til grund for alle andre aspekter af cybersikkerhed. Det overordnede mål med DORA er at give EU og ideelt set hele verden denne økosystemmodstandsdygtighed.

Fra et globalt perspektiv kræver DORA ikke datalokalisering vedrørende håndtering af data, der kommer ind i og forlader EU. DORA er dog ikke immun over for "Bruxelles-effekten", som henviser til EU-lovgivningens virkning ud over dens geografiske grænser.

Mere specifikt, hvad angår selve DORA og tredjepartsrisiko, omhandler artikel 36 og 44 europæiske tilsynsmyndigheders aktiviteter "uden for Unionen" og udvikling af bedste praksis gennem "internationalt samarbejde".

Omfanget betyder, at finansielle enheders evne til at håndtere DORA afhænger af holistiske løsninger fra udbydere, såsom globale betalingsnetværk, med partnerskaber, der spænder over hele det finansielle økosystem. Den positive cirkel af risikostyring og modstandsdygtighed kan derefter yderligere drage fordel af de stordriftsfordele, der er forbundet med et finansielt økosystem fyldt med iboende tredjepartsrelationer. Dedikerede tilgange til tredjepartsrisiko, såsom overvågning af onlineeksponering og systemisk risiko, supplerer netværkstilgangen.

Lovens bogstav versus lovens ånd

Loven om digital operationel modstandsdygtighed lyder langt mere tilgængelig under sit personlige akronym DORA. Finansielle enheder i EU og andre steder skal have et godt kendskab til DORA senest i januar 2025, når håndhævelsen træder i kraft.

Den Mastercard-sponsorerede undersøgelse antyder, at finansielle enheder vil begynde implementeringen af compliance i midten af 2023 efter at have gennemført gap-vurderinger. En omfattende eller "harmoniseret" pakke af løsninger bør hjælpe dem med at ankomme til tiden.

Men denne hjælp bør række ud over blot at levere forbundne løsninger til at opfylde compliance-behov. DORA er afhængig af mere end blot individuelle finansielle enheder, der overholder lovens bogstav. Det afhænger også af, at finansielle enheder anerkender behovet for at samles på tværs af det finansielle økosystem gennem en netværkstilgang.

Uden det netværk vil der sandsynligvis være en afbrydelse. Et ironisk resultat for en handling designet til at imødekomme en sammenkoblet verden.