Skip to main content

Płatności

10 sierpnia 2023 r.

 

Zrozumienie wizji DORA dotyczącej odpornej sieci finansowej

Prowadzący Steve Brown

Cyber & Intelligence

rozwiązania, Mastercard

Ustawa o cyfrowej odporności operacyjnej (DORA) nie została napisana z myślą o rozwiązaniach globalnej sieci płatniczej. Jedno spojrzenie na przepisy regulacyjne sugeruje, że równie dobrze mogło tak być.

Sugeruje się, aby sieć płatnicza nie ponosiła odpowiedzialności za zgodność z DORA w imieniu podmiotów finansowych działających w jej sieci. Byłoby to trudne zadanie, nawet gdyby skupiono się wyłącznie na odporności cybernetycznej. & Jest on jeszcze wyższy dzięki uwzględnieniu przez DORA wszystkich rodzajów ryzyka operacyjnego związanego z technologiami informacyjno-komunikacyjnymi (ICT) i wynikającego z rosnących wzajemnych powiązań między podmiotami finansowymi.

Sugestia odnotowuje raczej stanowisko DORA, że odporność może "ze względu na swoją skalę i skutki, być lepiej osiągnięta na poziomie [Unii Europejskiej]" oraz że płatności "przeszły z metod gotówkowych i papierowych" na rozwiązania cyfrowe. DORA koncentruje się na skali, w całej UE i poza nią, oraz na finansach, zwłaszcza płatnościach, co dobrze współgra z istniejącymi działaniami globalnych sieci płatniczych.

Na przykład w Mastercard wspieramy podmioty finansowe, umożliwiając bezpieczne płatności i transfery danych na całym świecie. Nasza cyfrowa odporność operacyjna wynika z połączenia silnego uwierzytelniania klientów, kwantyfikacji ryzyka, symulacji ataku &, monitorowania ekspozycji online i oceny ryzyka systemowego.

Połączenie jest ważne. DORA zauważa, że sektor finansowy UE jest "regulowany przez jednolity zbiór przepisów i zarządzany przez europejski system nadzoru finansowego", podczas gdy "cyfrowa odporność operacyjna i bezpieczeństwo ICT nie są jeszcze w pełni lub konsekwentnie zharmonizowane". Wyraźne wezwanie dotyczy zharmonizowanych ram, ale domyślna sugestia jest taka, że rozwiązania również powinny być zharmonizowane. Rozwiązania sieci płatności mogą pomóc podmiotom finansowym w osiągnięciu tej harmonii.

Cztery różne filary, jedno rozwiązanie "zawsze włączone"

Cztery główne filary DORA logicznie wymagają czterech rozwiązań, a dedykowane produkty istnieją dla każdego z nich w różnym stopniu. Jednak zarządzanie ryzykiem, zgłaszanie incydentów, testowanie odporności i ryzyko stron trzecich nie działają niezależnie od siebie. DORA nie bez powodu zajmuje się nimi bez przerwy; dostawcy cyberbezpieczeństwa i innych rozwiązań w zakresie ryzyka operacyjnego mogą rozważyć zrobienie tego samego.

Sieci płatnicze są doskonale zaznajomione z potrzebą bycia "zawsze włączonymi" poprzez przetwarzanie zastępcze, które zapewniają bankom, aby spełnić wymagania silnego uwierzytelniania klienta (SCA) podczas przestojów i przestojów banku.

Jednak poza uwierzytelnianiem i autoryzacją płatności, sieci płatnicze również stale chronią wszystkie dane w swoich sieciach. Ochrona ta może obejmować transakcje skupione wyłącznie na kartach kredytowych lub płatnościach między kontami w czasie rzeczywistym, lub może obejmować inne dane finansowe za pośrednictwem otwartej bankowości lub w coraz większym stopniu blockchain.

Ciągłe cykle kwantyfikacji ryzyka cybernetycznego pozwalają sieciom płatniczym zarządzać ryzykiem operacyjnym dla ich sieci wielotorowych oraz ryzykiem, na które narażone są obsługiwane przez nie podmioty finansowe. To wymierne podejście do pierwszego filaru DORA przenosi cyberbezpieczeństwo poza mentalność gry zręcznościowej polegającej na reaktywnym wrzucaniu monet do automatu w celu powstrzymania nieustannego ataku. Wewnętrzne dostosowanie może następnie zaspokoić określone potrzeby biznesowe, podczas gdy zewnętrzna kontekstualizacja zapewnia wsparcie w oparciu o stale ewoluujące dynamiczne zagrożenia.

Testowanie odporności poprzez symulacje ataków & uzupełnia zarządzanie ryzykiem poprzez naśladowanie zachowań złośliwych aktorów. Symulacje mogą działać w sposób ciągły w środowisku produkcyjnym organizacji, aby zająć się drugim filarem DORA, podczas gdy operacje biznesowe trwają nieprzerwanie. Mogą również służyć jako system ciągłej walidacji, który monitoruje skuteczność kontroli bezpieczeństwa. Wyniki dostarczają ulepszonych danych do zarządzania ryzykiem, które z kolei zasilają dalsze testy odporności w cyklach pozytywnych. Raporty wynikające z ciągłego testowania mogą następnie w razie potrzeby zasilać mechanizmy zgłaszania incydentów dla trzeciego filaru DORA.

Czwarty filar, ryzyko stron trzecich, znajduje się po zarządzaniu ryzykiem, zgłaszaniu incydentów i testowaniu odporności w DORA. Stanowisko to nie wydaje się być odzwierciedleniem znaczenia, ale raczej uznaniem tego, w jaki sposób leży ono u podstaw pozostałych trzech filarów ekosystemu finansowego.

Wiele podmiotów finansowych, jeden ekosystem finansowy

& Ryzyko osób trzecich zostało uznane za najtrudniejszy z czterech głównych filarów DORA w ankiecie sponsorowanej przez Mastercard przeprowadzonej wśród zespołów ds. ryzyka związanego z technologiami informacyjno-komunikacyjnymi (ICT) w 20 podmiotach finansowych w 20 krajach UE w okresie od listopada 2022 r. do lutego 2023 r.

Wyzwanie to wynika z pojawiającej się potrzeby odporności ekosystemu, ponieważ ryzyko stron trzecich zmienia się z mentalności "ja kontra oni" na zbiorowe "my", które leży u podstaw wszystkich innych aspektów cyberbezpieczeństwa. Nadrzędnym celem DORA jest zapewnienie odporności ekosystemu w UE, a najlepiej na całym świecie.

Z perspektywy globalnej DORA nie wymaga lokalizacji danych w odniesieniu do obsługi danych wprowadzanych i wyprowadzanych z UE. DORA nie jest jednak odporna na "efekt Brukseli", który odnosi się do wpływu prawodawstwa UE poza jej granicami geograficznymi.

Artykuły 36 i 44 odnoszą się do działań europejskich organów nadzoru "poza Unią" i rozwoju najlepszych praktyk poprzez "współpracę międzynarodową", w szczególności w odniesieniu do samej DORA i ryzyka stron trzecich.

Zakres oznacza, że zdolność podmiotów finansowych do rozwiązania problemu DORA zależy od holistycznych rozwiązań dostawców, takich jak globalne sieci płatnicze, z partnerstwami obejmującymi ekosystem finansowy. Cnotliwy cykl zarządzania ryzykiem i odporności może następnie czerpać dalsze korzyści z ekonomii skali związanej z ekosystemem finansowym pełnym nieodłącznych relacji z osobami trzecimi. Dedykowane podejścia do ryzyka stron trzecich, takie jak monitorowanie ekspozycji online i ryzyka systemowego, uzupełniają podejście sieciowe.

Litera prawa kontra duch prawa

Ustawa o cyfrowej odporności operacyjnej (Digital Operational Resilience Act) brzmi o wiele bardziej przystępnie pod swoim osobistym akronimem DORA. Podmioty finansowe w UE i poza nią będą musiały dobrze znać DORA do stycznia 2025 r., kiedy rozpocznie się egzekwowanie przepisów.

Ankieta sponsorowana przez Mastercard sugeruje, że podmioty finansowe rozpoczną wdrażanie zgodności w połowie 2023 r. po zakończeniu oceny luk. Kompleksowy lub "zharmonizowany" pakiet rozwiązań powinien pomóc im w dotarciu na czas.

Jednak pomoc ta powinna wykraczać poza zwykłe dostarczanie połączonych rozwiązań w celu spełnienia potrzeb w zakresie zgodności. DORA zależy nie tylko od przestrzegania litery prawa przez poszczególne podmioty finansowe. Zależy to również od tego, czy podmioty finansowe uznają potrzebę współpracy w ramach ekosystemu finansowego poprzez podejście sieciowe.

Bez tej sieci prawdopodobnie nastąpi rozłączenie. Ironiczny rezultat dla aktu zaprojektowanego z myślą o wzajemnie połączonym świecie.