Skip to main content

Maksut

10. elokuuta 2023

 

DORAn vision ymmärtäminen kestävästä finanssiverkostosta

Johtaja Steve Brown

Kyber ja tiedustelu

ratkaisut, Mastercard

Digitaalista operatiivista sietokykyä koskevaa lakia (DORA) ei kirjoitettu globaalin maksuverkoston ratkaisuja ajatellen. Yksi vilkaisu sen säännöksiin viittaa siihen, että se olisi yhtä hyvin voinut olla.

Ehdotuksena ei ole, että maksuverkoston olisi kannettava vastuullaan DORA-säännösten noudattaminen verkostossaan toimivien rahoituslaitosten puolesta. Se olisi vaativa tehtävä, vaikka keskityttäisiin puhtaasti kyberturvallisuuteen. Sitä korostaa entisestään DORAn kattavuus, joka kattaa kaikki tieto- ja viestintätekniikkaan (ICT) liittyvät operatiiviset riskit ja rahoituslaitosten lisääntyvän keskinäisen riippuvuuden aiheuttamat riskit.

Ehdotuksessa pikemminkin todetaan DORAn kanta, jonka mukaan kriisinsietokyky voidaan ”laajuutensa ja vaikutustensa vuoksi saavuttaa paremmin [Euroopan] unionin tasolla” ja että maksut ovat ”siirtyneet käteisestä ja paperipohjaisista menetelmistä” digitaalisiin ratkaisuihin. DORAn kaksoispainotus skaalautuvuudessa EU:ssa ja sen ulkopuolella sekä rahoituksessa, erityisesti maksuissa, sopii hyvin yhteen globaalien maksuverkostojen nykyisten toimintojen kanssa.

Esimerkiksi Mastercardilla tuemme rahoitusalan toimijoita mahdollistamalla turvalliset maksut ja tiedonsiirrot maailmanlaajuisesti. Digitaalinen operatiivinen selviytymiskykymme perustuu vahvaan asiakastunnistukseen, riskien kvantifiointiin, tietomurtojen ja hyökkäysten simulointiin, verkkoaltistuksen seurantaan ja systeemisen riskin arviointiin.

Yhdistelmä on tärkeä. DORA huomauttaa, että EU:n finanssisektoria ”säännellään yhtenäisellä sääntökirjalla ja sitä hallinnoidaan Euroopan finanssivalvontajärjestelmällä”, kun taas ”digitaalista operatiivista sietokykyä ja tieto- ja viestintätekniikan turvallisuutta ei ole vielä täysin tai johdonmukaisesti yhdenmukaistettu”. Nimenomaan vaaditaan yhdenmukaistettua kehystä, mutta implisiittisesti ehdotetaan, että myös ratkaisut olisi yhdenmukaistettava. Maksuverkoston ratkaisut voivat auttaa rahoitusalan toimijoita saavuttamaan tuon harmonian yhdessä.

Neljä erillistä pilaria, yksi aina käytettävissä oleva ratkaisu

DORAn neljä pääpilaria loogisesti edellyttävät neljää ratkaisua, ja jokaiselle niistä on olemassa omat tuotteet eriasteisesti. Mutta riskienhallinta, tapausten raportointi, sietokykytestaus ja kolmannen osapuolen riski eivät toimi toisistaan riippumatta. DORA käsittelee niitä yhdessä keskeytyksettä hyvästä syystä; kyberturvallisuuden ja muiden operatiivisten riskien ratkaisujen tarjoajat voisivat harkita samaa.

Maksuverkostot tuntevat pankeille tarjottavien varakäsittelyjen ansiosta "jatkuvan tavoitettavuuden" tarpeen hyvin, jotta ne täyttäisivät vahvan asiakkaan todennuksen (SCA) vaatimukset pankkipalveluiden käyttökatkosten ja seisokkien aikana.

Maksujen todentamisen ja valtuutuksen lisäksi maksuverkot suojaavat jatkuvasti kaikkia verkoissaan olevia tietoja. Tämä suoja voi kattaa yksinomaan luottokortti- tai reaaliaikaisiin tilien välisiin maksuihin keskittyvät tapahtumat, tai se voi sisältää muita taloudellisia tietoja avoimen pankkitoiminnan tai yhä useammin lohkoketjuteknologian kautta.

Jatkuvat kyberriskien kvantifiointisyklit antavat maksuverkoille mahdollisuuden hallita operatiivisia riskejä, jotka kohdistuvat sekä omiin moniraiteisiin verkkoihinsa että niiden palvelemiin rahoituslaitoksiin. Tämä mitattavissa oleva lähestymistapa DORAn ensimmäiseen pilariin vie kyberturvallisuuden pelihallintamentaliteetin ulkopuolelle, jossa kolikkoja syötetään reaktiivisesti peliautomaattiin hyökkäysten armottomien tulvien estämiseksi. Sisäinen räätälöinti voi sitten vastata erityisiin liiketoimintatarpeisiin, kun taas ulkoinen kontekstualisointi tarjoaa tukea jatkuvasti kehittyvien dynaamisten uhkien perusteella.

Resilienssitestaus murto- ja hyökkäyssimulaatioiden avulla täydentää riskienhallintaa matkimalla haitallisten toimijoiden käyttäytymistä. Simulaatioita voidaan suorittaa jatkuvasti organisaation tuotantoympäristössä DORAn toisen pilarin tukemiseksi samalla, kun liiketoiminta jatkuu keskeytyksettä. Ne voivat toimia myös jatkuvana validointijärjestelmänä, joka valvoo turvakontrollien tehokkuutta. Tulokset tarjoavat parempaa tietoa riskienhallintaa varten, mikä puolestaan ruokkii jatkotutkimusta hyveellisissä sykleissä. Jatkuvasta testauksesta saatavia raportteja voidaan sitten tarvittaessa hyödyntää DORAn kolmannen pilarin vaaratilanteiden raportointimekanismeissa.

Neljäs pilari, kolmannen osapuolen riski, tulee DORA:ssa riskienhallinnan, tapausraportoinnin ja sietokykytestauksen jälkeen. Tämä kanta ei vaikuta heijastavan sen tärkeyttä, vaan pikemminkin tunnustusta siitä, miten se on rahoitusekosysteemin kolmen muun pilarin perusta.

Monta rahoituslaitosta, yksi rahoitusekosysteemi

Kolmannen osapuolen riski mainittiin haastavimpana DORAn neljästä pääpilarista Mastercardin sponsoroimassa kyselyssä, joka tehtiin 20 rahoituslaitoksen tieto- ja viestintätekniikan (ICT) riskienhallintatiimeille 20 EU-maassa marraskuun 2022 ja helmikuun 2023 välisenä aikana.

Haaste johtuu ekosysteemien sietokyvyn kasvavasta tarpeesta, kun kolmannen osapuolen riskien hallinta siirtyy "minä vastaan he" -mentaliteetista kollektiiviseen "me"-mentaliteettiin, joka on kaikkien muiden kyberturvallisuuden osa-alueiden perusta. DORAn yleisenä tavoitteena on tarjota ekosysteemien sietokykyä EU:lle ja ihanteellisessa tapauksessa koko maailmalle.

Globaalista näkökulmasta DORA ei vaadi tietojen lokalisointia EU:hun saapuvien ja sieltä lähtevien tietojen käsittelyn osalta. DORA ei kuitenkaan ole immuuni "Brysselin vaikutukselle", joka viittaa EU-lainsäädännön vaikutuksiin sen maantieteellisten rajojen ulkopuolella.

Tarkemmin sanottuna itse DORAn ja kolmansien osapuolten riskin osalta 36 ja 44 artiklat käsittelevät eurooppalaisten valvontaviranomaisten toimintaa ”unionin ulkopuolella” ja parhaiden käytäntöjen kehittämistä ”kansainvälisen yhteistyön” kautta.

Soveltamisala tarkoittaa, että rahoitusalan toimijoiden kyky käsitellä DORA-ongelmaa riippuu palveluntarjoajien, kuten globaalien maksuverkostojen, kokonaisvaltaisista ratkaisuista ja kumppanuuksista, jotka kattavat koko rahoitusekosysteemin. Riskienhallinnan ja sietokyvyn hyveellistä kierrettä voidaan sitten hyödyntää entisestään mittakaavaetuja, jotka liittyvät rahoitusekosysteemiin, joka on täynnä luontaisia kolmansien osapuolten suhteita. Kolmannen osapuolen riskiin liittyvät erityislähestymistavat, kuten verkkoriskin ja systeemiriskin seuranta, täydentävät verkostolähestymistapaa.

Lain kirjain vastaan lain henki

Digitaalinen toimintahäiriöiden sietokykylaki kuulostaa paljon lähestyttävämmältä omituisen lyhenteensä DORA alla. EU:n ja muiden maiden rahoituslaitosten on tunnettava DORA hyvin tammikuuhun 2025 mennessä, kun valvonta alkaa.

Mastercardin rahoittaman kyselyn mukaan rahoitusalan toimijat aloittavat vaatimustenmukaisuuden toteuttamisen vuoden 2023 puolivälissä saatuaan valmiiksi aukkoarvioinnit. Kattavan tai ”harmonisoidun” ratkaisupaketin pitäisi auttaa heitä saapumaan ajoissa.

Avun tulisi kuitenkin ulottua pelkkien verkkoon kytkettyjen ratkaisujen tarjoamista vaatimustenmukaisuuden täyttämiseksi pidemmälle. DORA on riippuvainen muustakin kuin yksittäisten rahoituslaitosten lain kirjaimen noudattamisesta. Se riippuu myös siitä, että rahoitusalan toimijat tunnustavat tarpeen toimia yhdessä rahoitusekosysteemin eri osissa verkostomaisen lähestymistavan avulla.

Ilman tätä verkkoa yhteys todennäköisesti katkeaa. Ironinen tulos teolle, joka on suunniteltu palvelemaan toisiinsa yhteydessä olevaa maailmaa.