Skip to main content

Fizetések

augusztus 10, 2023

 

A DORA rugalmas pénzügyi hálózatról alkotott elképzelésének megértése

Vezető Steve Brown

Cyber & Intelligence

megoldások, Mastercard

A digitális működési rugalmasságról szóló törvény (DORA ) nem a globális fizetési hálózat megoldásait szem előtt tartva íródott. Egy pillantás a szabályozási rendelkezésekre azt sugallja, hogy akár az is lehetett volna.

A javaslat nem az, hogy a fizetési hálózat a hálózatában működő pénzügyi szervezetek nevében vállalja a DORA-nak való megfelelést. Ez még akkor is nagy feladat lenne, ha a hangsúlyt kizárólag a kiberbiztonságra helyeznénk. A DORA még magasabbá teszi, hogy a DORA lefed minden olyan működési kockázatot, amely az információ & kommunikációs technológiához (IKT) kapcsolódik, és amelyet a pénzügyi szervezetek növekvő összekapcsolódása jelent.

A javaslat inkább a DORA álláspontját veszi figyelembe, miszerint a rugalmasság "nagyságrendje és hatásai miatt jobban megvalósítható [európai] uniós szinten", és hogy a fizetések "a készpénz és a papír alapú módszerekről" a digitális megoldások felé mozdultak el. A DORA kettős, az EU-n belüli és azon túli léptékre és a pénzügyekre, nevezetesen a fizetésekre összpontosító tevékenysége jól illeszkedik a globális fizetési hálózatok meglévő tevékenységeihez.

A Mastercardnál például a pénzügyi szervezeteket támogatjuk azzal, hogy világszerte biztonságos fizetéseket és adatátvitelt teszünk lehetővé. Digitális működési ellenálló képességünk az erős ügyfélhitelesítés, a kockázatszámítás, a & támadás szimulációja, az online kitettség figyelése és a rendszerszintű kockázatértékelés kombinációjával érhető el.

A kombináció fontos. A DORA megjegyzi, hogy az EU pénzügyi szektorát "egységes szabálykönyv szabályozza és a pénzügyi felügyelet európai rendszere irányítja", miközben "a digitális működési rugalmasság és az IKT-biztonság még nincs teljesen vagy következetesen harmonizálva". A kifejezett felhívás egy harmonizált keretrendszerre vonatkozik, de a hallgatólagos javaslat szerint a megoldásokat is harmonizálni kell. A fizetési hálózat megoldásai segíthetnek a pénzügyi szervezeteknek abban, hogy együtt érjék el ezt a harmóniát.

Négy különálló pillér, egy "mindig bekapcsolt" megoldás

A DORA négy fő pillére logikusan négy megoldást igényel, és mindegyikhez különböző mértékben léteznek dedikált termékek. A kockázatkezelés, az incidensek jelentése, az ellenálló képesség tesztelése és a harmadik fél kockázatai azonban nem működnek egymástól függetlenül. A DORA jó okkal foglalkozik velük együtt, megszakítás nélkül; a kiberbiztonsági és egyéb működési kockázati megoldások szolgáltatói megfontolhatják, hogy ugyanezt tegyék.

A fizetési hálózatok jól ismerik annak szükségességét, hogy a bankok számára biztosított helyettesítő feldolgozás révén "mindig készenlétben" kell lenniük, hogy a banki kiesések és leállások idején megfeleljenek az erős ügyfélhitelesítési (SCA) követelményeknek.

A fizetési hitelesítésen és engedélyezésen túlmenően a fizetési hálózatok folyamatosan védik a hálózatukon lévő összes adatot. Ez a védelem kiterjedhet kizárólag a hitelkártyás vagy valós idejű számla-számla közötti fizetésekre összpontosító tranzakciókra, de a nyílt banki vagy egyre inkább a blokklánc révén más pénzügyi adatokra is.

kiberkockázatok folyamatos számszerűsítése lehetővé teszi a fizetési hálózatok számára, hogy kezeljék a többsávos hálózataikat és az általuk kiszolgált pénzügyi szervezetek működési kockázatait. A DORA első pillérének ez a számszerűsíthető megközelítése túlmutat a kiberbiztonságon, amely túlmutat azon a játékgépes mentalitáson, hogy az érméket reaktívan bedugjuk egy nyílásba, hogy megállítsuk a támadások könyörtelen támadását. A belső testreszabás így az egyedi üzleti igényekhez igazodhat, míg a külső kontextualizálás a folyamatosan fejlődő dinamikus fenyegetések alapján nyújt támogatást.

Az ellenálló képesség tesztelése a & támadásszimuláción keresztül kiegészíti a kockázatkezelést a rosszindulatú szereplők viselkedésének utánzásával. A szimulációk folyamatosan futtathatók a szervezet termelési környezetében, hogy a DORA második pillérének megfelelően az üzleti műveletek zavartalanul folytatódjanak. Folyamatos érvényesítési rendszerként is szolgálhatnak, amely figyelemmel kíséri a biztonsági ellenőrzések hatékonyságát. Az eredmények jobb adatokat szolgáltatnak a kockázatkezeléshez, amelyek viszont további rugalmassági teszteléseket táplálnak, és így a körforgást erősítik. A folyamatos tesztelésből származó jelentések szükség szerint beépíthetők a DORA harmadik pillérének eseményjelentési mechanizmusaiba.

A negyedik pillér, a harmadik fél kockázata a kockázatkezelés, az incidensek jelentése és a DORA rugalmassági tesztelése után következik. Úgy tűnik, hogy ez az álláspont nem a fontosságának tükrözése, hanem inkább annak felismerése, hogy a pénzügyi ökoszisztéma másik három pillérének alapját képezi.

Sok pénzügyi szervezet, egy pénzügyi ökoszisztéma

A Mastercard által támogatott felmérés szerint a harmadik fél kockázata a DORA négy fő pillére közül a legnagyobb kihívást jelenti a 20 uniós ország 20 pénzügyi szervezetében 2022 novembere és 2023 februárja között az információs & kommunikációs technológiával (IKT) foglalkozó kockázati csoportok körében.

A kihívás az ökoszisztéma ellenálló képességének kialakulóban lévő szükségességéből adódik, mivel a harmadik felek kockázata az "én ellenük" mentalitás helyett a "mi" kollektív "mi" mentalitást követi, amely a kiberbiztonság minden más aspektusának alapját képezi. A DORA átfogó célja, hogy az ökoszisztémák ellenálló képességét biztosítsa az EU-ban és ideális esetben világszerte.

Globális szempontból a DORA nem követeli meg az adatok lokalizálását az EU-ba érkező és onnan kimenő adatok kezelése tekintetében. A DORA azonban nem mentes a "brüsszeli hatástól", amely az uniós jogszabályok földrajzi határokon túli hatását jelenti.

Konkrétabban, ami magát a DORA-t és a harmadik felek kockázatát illeti, a 36. és 44. cikk az európai felügyeleti hatóságok "Unión kívüli" tevékenységeivel és a "nemzetközi együttműködés" révén a legjobb gyakorlatok kidolgozásával foglalkozik.

A hatókör azt jelenti, hogy a pénzügyi intézményeknek a DORA kezelésére való képessége a szolgáltatók - például a globális fizetési hálózatok - holisztikus megoldásaitól függ, amelyek a pénzügyi ökoszisztémát átfogó partnerségekkel rendelkeznek. A kockázatkezelés és az ellenálló képesség erényes ciklusa ezután még jobban kihasználhatja a pénzügyi ökoszisztémához kapcsolódó méretgazdaságossági előnyöket, amelyek tele vannak a harmadik féllel fennálló kapcsolatokkal. A hálózati megközelítést kiegészítik a harmadik fél kockázatára vonatkozó külön megközelítések, például az online kitettség és a rendszerkockázat nyomon követése.

A törvény betűje kontra a törvény szelleme

A digitális működési rugalmasságról szóló törvény a DORA személyre szóló rövidítéssel sokkal megközelíthetőbbnek hangzik. Az EU-ban és máshol működő pénzügyi szervezeteknek 2025 januárjáig, amikor a végrehajtás életbe lép, jól kell ismerniük a DORA-t.

A Mastercard által támogatott felmérés szerint a pénzügyi szervezetek a hiányosságok felmérését követően 2023 közepén kezdik meg a megfelelés végrehajtását. Egy átfogó vagy "harmonizált" megoldáscsomagnak segítenie kell őket abban, hogy időben beérkezzenek.

Ennek a segítségnek azonban túl kell mutatnia a megfelelőségi igényeknek való megfeleléshez szükséges csatlakoztatott megoldások puszta biztosításán. A DORA nem csak attól függ, hogy az egyes pénzügyi szervezetek betartják-e a törvény betűjét. Ez attól is függ, hogy a pénzügyi szervezetek felismerik-e, hogy a pénzügyi ökoszisztémán belül hálózati megközelítésen keresztül össze kell fogni.

E hálózat nélkül valószínűleg megszakad a kapcsolat. Ironikus eredmény egy olyan törvény esetében, amelyet arra terveztek, hogy az összekapcsolt világot szolgálja.