Skip to main content

Plaćanja

10. kolovoza 2023.

 

Razumijevanje DORA-ine vizije za otpornu financijsku mrežu

Voditelj Steve Brown

Kibernetika i obavještajne službe

rješenja, Mastercard

Zakon o digitalnoj operativnoj otpornosti (DORA) nije napisan imajući na umu rješenja globalne platne mreže. Jedan pogled na njegove regulatorne odredbe sugerira da je to moglo biti tako.

Prijedlog nije da platna mreža preuzima odgovornost za usklađenost s DORA-om u ime financijskih subjekata koji posluju unutar svoje mreže. To bi bio težak zadatak čak i kad bi fokus bio isključivo na kibernetičkoj otpornosti. To je još veće zbog DORA-inog pokrivanja svih operativnih rizika povezanih s informacijskom i komunikacijskom tehnologijom (IKT) i uzrokovanih sve većom međusobnom povezanošću financijskih subjekata.

Umjesto toga, prijedlog navodi stav DORA-e da se otpornost „zbog svog opsega i učinaka može bolje postići na razini [Europske] unije“ te da su se plaćanja „premjestila s gotovinskih i papirnatih metoda“ na digitalna rješenja. DORA-in dvostruki fokus na opseg, diljem EU-a i šire, te financije, posebno plaćanja, dobro se uklapa s postojećim aktivnostima globalnih platnih mreža.

Na primjer, u Mastercardu podržavamo financijske subjekte omogućavajući sigurna plaćanja i prijenos podataka diljem svijeta. Naša digitalna operativna otpornost dolazi kroz kombinaciju snažne autentifikacije korisnika, kvantifikacije rizika, simulacije kršenja sigurnosti i napada, praćenja online izloženosti i procjene sistemskog rizika.

Kombinacija je važna. DORA primjećuje kako je financijski sektor EU-a „reguliran Jedinstvenim pravilnikom i njime upravlja europski sustav financijskog nadzora“ dok „digitalna operativna otpornost i sigurnost IKT-a još nisu u potpunosti ili dosljedno usklađene“. Izričit je poziv za usklađenim okvirom, ali implicitna sugestija je da bi i rješenja trebala biti usklađena. Rješenja platne mreže mogu pomoći financijskim subjektima da zajedno postignu tu harmoniju.

Četiri različita stupa, jedno rješenje „uvijek uključeno“

Četiri glavna stupa DORA-e logično zahtijevaju četiri rješenja, a za svako od njih postoje namjenski proizvodi u različitoj mjeri. Ali upravljanje rizicima, izvještavanje o incidentima, testiranje otpornosti i rizik trećih strana ne funkcioniraju neovisno jedno o drugome. DORA ih s dobrim razlogom rješava zajedno bez prekida; pružatelji kibernetičke sigurnosti i drugih rješenja za operativne rizike mogli bi razmotriti isto.

Platne mreže su dobro upoznate s potrebom da budu „stalno dostupne“ putem zamjenske obrade koju pružaju bankama kako bi ispunile zahtjeve za snažnu autentifikaciju korisnika (SCA) tijekom prekida i zastoja u radu banaka.

No, osim autentifikacije i autorizacije plaćanja, platne mreže također kontinuirano štite sve podatke na svojim mrežama. Ta zaštita može pokrivati transakcije usmjerene isključivo na kreditne kartice ili plaćanja s računa na račun u stvarnom vremenu ili može uključivati druge financijske podatke putem otvorenog bankarstva ili sve više blockchaina.

Kontinuirani ciklusi kvantifikacije kibernetičkih rizika omogućuju platnim mrežama upravljanje operativnim rizicima za svoje višekolonske mreže i one s kojima se suočavaju financijski subjekti kojima služe. Ovaj kvantificirani pristup prvom stupu DORA-e podiže kibernetičku sigurnost iznad mentaliteta arkadne igre reaktivnog ubacivanja novčića u utor kako bi se zaustavio neumoljivi niz napada. Interna prilagodba tada može odgovoriti na specifične poslovne potrebe, dok vanjska kontekstualizacija pruža podršku temeljenu na stalno promjenjivim dinamičkim prijetnjama.

Testiranje otpornosti putem simulacija proboja i napada nadopunjuje upravljanje rizicima oponašajući ponašanje zlonamjernih aktera. Simulacije se mogu kontinuirano izvoditi unutar proizvodnog okruženja organizacije kako bi se pozabavile drugim stupom DORA-e, dok poslovne operacije ne prestaju bez prekida. Također mogu poslužiti kao sustav kontinuirane validacije koji prati učinkovitost sigurnosnih kontrola. Rezultati pružaju poboljšane podatke za upravljanje rizicima koji zauzvrat doprinose daljnjem testiranju otpornosti u pozitivnim ciklusima. Izvješća koja proizlaze iz kontinuiranog testiranja mogu se zatim prema potrebi uključiti u mehanizme za prijavljivanje incidenata za treći stup DORA-e.

Četvrti stup, rizik treće strane, dolazi nakon upravljanja rizicima, izvještavanja o incidentima i testiranja otpornosti u DORA-i. Čini se da stav ne odražava važnost, već prepoznavanje kako on temelji ostala tri stupa u financijskom ekosustavu.

Mnogi financijski subjekti, jedan financijski ekosustav

Rizik treće strane naveden je kao najizazovniji od četiri glavna stupa DORA-e u istraživanju timova za upravljanje rizicima informacijske i komunikacijske tehnologije (IKT) u 20 financijskih subjekata u 20 zemalja EU-a provedenom između studenog 2022. i veljače 2023., koje je sponzorirao Mastercard.

Izazov proizlazi iz rastuće potrebe za otpornošću ekosustava jer se rizik trećih strana pomiče od mentaliteta „ja protiv njih“ do kolektivnog „nas“ koji je temelj svih ostalih aspekata kibernetičke sigurnosti. Sveobuhvatni cilj DORA-e je osigurati tu otpornost ekosustava EU-u, a idealno i diljem svijeta.

Iz globalne perspektive, DORA ne zahtijeva lokalizaciju podataka u vezi s rukovanjem podacima koji ulaze i izlaze iz EU. Ipak, DORA nije imuna na „briselski efekt“, koji se odnosi na utjecaj zakonodavstva EU izvan njezinih geografskih granica.

Točnije, u smislu same DORA-e i rizika trećih strana, članci 36. i 44. bave se aktivnostima europskih nadzornih tijela „izvan Unije“ i razvojem najboljih praksi putem „međunarodne suradnje“.

Opseg znači da sposobnost financijskih subjekata da se pozabave DORA-om ovisi o holističkim rješenjima pružatelja usluga, kao što su globalne platne mreže, s partnerstvima koja obuhvaćaju financijski ekosustav. Pozitivan ciklus upravljanja rizicima i otpornosti tada može dodatno imati koristi od ekonomije razmjera povezane s financijskim ekosustavom prepunim inherentnih odnosa s trećim stranama. Namjenski pristupi riziku trećih strana, kao što su praćenje online izloženosti i sistemskog rizika, nadopunjuju mrežni pristup.

Slovo zakona nasuprot duhu zakona

Zakon o digitalnoj operativnoj otpornosti zvuči puno pristupačnije pod svojim privlačnim akronimom DORA. Financijski subjekti u EU i drugdje morat će dobro poznavati DORA-u do siječnja 2025. kada provedba stupi na snagu.

Istraživanje koje sponzorira Mastercard sugerira da će financijski subjekti započeti s provedbom usklađenosti sredinom 2023. nakon što završe procjene nedostataka. Sveobuhvatan ili „usklađen“ paket rješenja trebao bi im pomoći da stignu na vrijeme.

No ta pomoć trebala bi ići dalje od pukog pružanja povezanih rješenja kako bi se zadovoljile potrebe usklađenosti. DORA ovisi o više od samo pojedinačnih financijskih subjekata koji se pridržavaju slova zakona. Također ovisi o financijskim subjektima koji prepoznaju potrebu za udruživanjem u cijelom financijskom ekosustavu putem mrežnog pristupa.

Bez te mreže, vjerojatno će doći do prekida veze. Ironičan rezultat za čin osmišljen kako bi se prilagodio međusobno povezanom svijetu.