Razumijevanje DORA-ine vizije za otpornu financijsku mrežu

Skip to main content

Plaćanja

Avgust 10, 2023.

Razumijevanje DORA-ine vizije za otpornu financijsku mrežu

Voditelj Steve Brown

Cyber & Inteligencija

rešenja, Mastercard

Zakon o digitalnoj operativnoj otpornosti (DORA) nije bio napisan sa rješenjima globalne mreže plaćanja u vidu. Jedan pogled na njegove regulatorne odredbe sugeriše da isto tako moglo biti.

Predlog nije da platna mreža preuzme usklađivanje sa DORA-om u ime finansijskih entiteta koji posluju unutar njene mreže. To bi bilo teško ostvariti čak i kada bi fokus bio isključivo na sajber otpornosti. DORA-ina pokrivenost svih operativnih rizika povezanih sa informacijskom i komunikacijskom tehnologijom (IKT) i izazovima koje donosi sve veće međusobno povezivanje finansijskih subjekata dodatno povećava njen značaj.

Umjesto toga, sugestija naglašava stav DORA-e da bi se otpornost „zbog svoje veličine i efekata mogla bolje postići na nivou [Evropske] Unije“ i da su plaćanja „prešla sa gotovine i papirnih metoda“ na digitalna rješenja. DORA-ina dvojna fokusiranost na obim, širom EU i izvan nje, i finansije, posebno plaćanja, dobro se poklapa sa postojećim aktivnostima globalnih mreža plaćanja.

Na primjer, u Mastercardu podržavamo finansijske entitete omogućavanjem sigurnih plaćanja i prijenosa podataka širom svijeta. Naša digitalna operativna otpornost dolazi kroz kombinaciju snažne autentifikacije korisnika, kvantifikacije rizika, simulacije proboja i napada, praćenja izloženosti na mreži i procjene sistemskog rizika.

Kombinacija je važna. DORA naglašava kako je finansijski sektor EU 'regulisan jedinstvenim pravilnikom i upravljan evropskim sistemom finansijskog nadzora', dok 'digitalna operativna otpornost i ICT sigurnost još uvijek nisu potpuno ili dosljedno usklađeni.' Jasno se poziva na usklađen okvir, ali implicitna sugestija je da i rješenja trebaju biti usklađena. Rješenja mreže za plaćanje mogu pomoći finansijskim entitetima da zajedno postignu tu harmoniju.

Četiri različita stuba, jedno rešenje „uvek na vezi”

Četiri glavna stuba DORA logično zahtijevaju četiri rješenja, i posvećeni proizvodi postoje za svaki od njih u različitim stupnjevima. Međutim, upravljanje rizicima, prijava incidenata, testiranje otpornosti i rizik trećih strana ne djeluju nezavisno jedan od drugog. DORA ih zajedno obrađuje bez prekida s dobrim razlogom; pružaoci rješenja za sajber sigurnost i druge operativne rizike možda bi trebali učiniti isto.

Platne mreže su vrlo upoznate s potrebom da budu "uvijek dostupne" putem zamjenske obrade koju pružaju bankama kako bi ispunili zahtjeve snažne autentifikacije kupaca (SCA) tijekom prekida rada i zastoja banaka.

Ipak, osim autentikacije i autorizacije plaćanja, platne mreže kontinuirano štite sve podatke na svojim mrežama. Ta zaštita može obuhvatiti transakcije usmjerene isključivo na kreditne kartice ili real-time plaćanja između računa, ili uključiti druge financijske podatke putem otvorenog bankarstva ili sve više blockchaina.

Ongoing cycles of određivanje sajber rizika omogućavaju platnim mrežama da upravljaju operativnim rizicima njihovih višekanalnih mreža, kao i izazovima s kojima se suočavaju financijske ustanove kojima služe. Ovaj kvantitativni pristup prema prvom stubu DORA-e prevazilazi mentalitet video-igrica u sajberbezbjednosti, gde se novčići reaktivno ubacuju u slot za zaustavljanje neprekidnog napada. Interna prilagođavanja mogu tada adresirati specifične poslovne potrebe, dok eksterno kontekstualizovanje pruža podršku zasnovanu na stalno evoluirajućim dinamičkim prijetnjama.

Testiranje otpornosti putem simulacija proboja i napada dopunjuje upravljanje rizikom oponašanjem ponašanja zlonamjernih aktera. Simulacije mogu neprekidno raditi u proizvodnom okruženju organizacije kako bi se adresirao DORA-in drugi stub dok poslovne operacije teku neometano. One takođe mogu služiti kao sistem za kontinuiranu verifikaciju koji prati efikasnost sigurnosnih kontrola. Rezultati pružaju poboljšane podatke za upravljanje rizikom koji zatim pokreću dalje testiranje otpornosti u vrlim ciklusima. Izveštaji proistekli iz kontinuiranog testiranja mogu se zatim koristiti u mehanizmima za izveštavanje o incidentima za treći stub DORA-e, prema potrebi.

Četvrti stub, rizik treće strane, dolazi nakon upravljanja rizikom, izveštavanja o incidentima i testiranja otpornosti u DORA-i. Pozicija se ne čini kao refleksija važnosti, već pre kao priznanje kako podupire ostala tri stuba u finansijskom ekosistemu.

Mnoge finansijske institucije, jedan finansijski ekosistem

Rizik treće strane se ističe kao najzahtjevniji od četiri glavna stuba DORA-e u Mastercard sponzorisanoj anketi timova za rizike informacione i komunikacione tehnologije (IKT) u 20 finansijskih entiteta širom 20 zemalja EU između novembra 2022. i februara 2023.

Izazov proizilazi iz rastuće potrebe za ekosistemskom otpornošću, budući da se rizik treće strane pomiče sa mentaliteta 'ja protiv njih' na kolektivno 'mi', što je osnov svih ostalih aspekata sajberbezbjednosti. Sveobuhvatni cilj DORA-e je da obezbijedi tu ekosistemsku otpornost EU-u, a po mogućnosti i širom svijeta.

Iz globalne perspektive, DORA ne zahtijeva lokalizaciju podataka u vezi s rukovanjem podacima koji ulaze i izlaze iz EU. Ipak, DORA nije imuna na 'bruseljiski efekt', koji se odnosi na uticaj zakonodavstva EU izvan geografskih granica.

Što se više konkretno tiče same DORA-e i rizika treće strane, članci 36 i 44 adresiraju aktivnosti evropskih nadzornih tijela 'izvan Unije' i razvoj najboljih praksi kroz 'međunarodnu suradnju'.

Obim znači da sposobnost financijskih subjekata da adresiraju DORA zavisi od holističkih rješenja od pružatelja usluga, kao što su globalne mreže plaćanja, uz partnerstva koja obuhvataju financijski ekosistem. Vrlinski ciklus upravljanja rizikom i otpornosti može dalje imati koristi od ekonomije razmjera povezanih sa financijskim ekosistemom koji je prepun inherentnih odnosa sa trećim stranama. Posvećeni pristupi riziku treće strane, kao što su praćenje online izloženosti i sistemskog rizika, dopunjuju mrežni pristup.

Pismo zakona naspram duha zakona

Zakon o digitalnoj operativnoj otpornosti zvuči puno pristupačnije pod svojim prijateljskim akronimom DORA. Finansijske institucije u EU i drugdje trebat će dobro poznavati DORA-u do januara 2025. godine kada stupi na snagu.

Anketa sponzorisana od Mastercarda sugerira da će finansijske institucije početi s implementacijom usklađenosti sredinom 2023. nakon dovršetka procjene razlika. Sveobuhvatan ili "harmonizovan" paket rješenja bi im trebao pomoći da dođu na vreme.

Ipak, ta pomoć bi trebala da nadmaši prostu ponudu povezanih rešenja za ispunjavanje potreba za usklađenošću. DORA zavisi od nečeg više od poštovanja zakona od strane pojedinačnih finansijskih entiteta. Takođe zavisi od finansijskih entiteta koji prepoznaju potrebu da se povežu kroz ekosistem finansija putem mrežnog pristupa.

Bez te mreže, verovatno će postojati raskorak. Ironičan ishod za čin osmišljen da zadovolji potrebe međusobno povezanog sveta.