Skip to main content

Plăți

10 august 2023

 

Înțelegerea viziunii DORA pentru o rețea financiară rezilientă

Liderul Steve Brown

Cyber & Inteligență

soluții, Mastercard

Legea rezilienței operaționale digitale (DORA) nu a fost concepută având în vedere soluțiile unei rețele globale de plăți. O privire asupra dispozițiilor sale de reglementare sugerează că ar fi putut fi la fel de bine.

Sugestia nu este ca o rețea de plăți să își asume conformitatea DORA în locul entităților financiare care operează în rețeaua sa. Aceasta ar fi o provocare majoră, chiar și dacă accentul ar fi pus doar pe reziliența cibernetică. Este amplificată și mai mult de acoperirea DORA a tuturor riscurilor operaționale asociate cu tehnologia informației și comunicațiilor (TIC) și cauzate de interconectarea tot mai mare a entităților financiare.

Mai degrabă, sugestia subliniază poziția DORA conform căreia reziliența poate „datorită dimensiunii și efectelor sale, să fie mai bine realizată la nivelul Uniunii Europene” și că plățile au „evoluat de la metode bazate pe numerar și hârtie” la soluții digitale. Concentrarea dublă a DORA pe extindere, atât în UE, cât și dincolo de aceasta, și pe finanțe, în special plăți, se aliniază bine cu activitățile existente ale rețelelor globale de plăți.

De exemplu, la Mastercard, sprijinim entitățile financiare prin facilitarea plăților și transferurilor de date sigure la nivel mondial. Reziliența noastră operațională digitală este asigurată printr-o combinație de autentificare puternică a clienților, cuantificarea riscurilor, simularea breșelor și atacurilor, monitorizarea expunerii online și evaluarea riscurilor sistemice.

Combinația este importantă. DORA observă cum sectorul financiar al UE este „reglementat de un cadru unic de reglementare și guvernat de un sistem european de supraveghere financiară”, în timp ce „reziliența operațională digitală și securitatea TIC nu sunt încă pe deplin sau consecvent armonizate”. Apelul explicit este pentru un cadru armonizat, dar sugestia implicită este că soluțiile ar trebui să fie armonizate și ele. Soluțiile unei rețele de plăți pot ajuta entitățile financiare să atingă acea armonie împreună.

Patru piloni distincți, o soluție „mereu activă”

Cei patru piloni principali ai DORA solicită în mod logic patru soluții, iar produse dedicate sunt disponibile pentru fiecare dintre ele în diferite măsuri. Însă managementul riscurilor, raportarea incidentelor, testarea rezilienței și riscul terților nu funcționează independent unul de celălalt. DORA le abordează împreună fără întrerupere din motive întemeiate; furnizorii de soluții de securitate cibernetică și alte soluții de risc operațional ar putea lua în considerare să procedeze la fel.

Rețelele de plăți sunt extrem de familiarizate cu necesitatea de a fi „mereu active” prin procesarea de rezervă pe care o oferă băncilor pentru a îndeplini cerințele stricte de autentificare a clienților (SCA) în timpul întreruperilor și perioadelor de nefuncționare ale băncilor.

Totuși, dincolo de autentificarea și autorizarea plăților, rețelele de plăți protejează continuu toate datele din rețelele lor. Această protecție poate acoperi tranzacțiile axate exclusiv pe plăți cu cardul de credit sau plăți în timp real de la cont la cont, sau poate încorpora alte date financiare prin intermediul serviciilor bancare deschise sau, din ce în ce mai mult, prin blockchain.

Ciclurile continue de cuantificare a riscurilor cibernetice permit rețelelor de plăți să gestioneze riscurile operaționale pentru rețelele lor multi-rail și cele cu care se confruntă entitățile financiare pe care le deservesc. Această abordare cuantificabilă a primului pilon al DORA duce securitatea cibernetică dincolo de mentalitatea jocului arcade de a introduce reactiv monede într-un slot pentru a opri un asalt neobosit de atacuri. Personalizarea internă poate răspunde nevoilor specifice ale afacerii, în timp ce contextualizarea externă oferă suport bazat pe amenințări dinamice în continuă evoluție.

Testarea rezilienței prin simulări de breșă și atac completează gestionarea riscurilor prin imitarea comportamentului actorilor răuvoitori. Simulările pot rula continuu în mediul de producție al unei organizații pentru a aborda cel de-al doilea pilon al DORA, în timp ce operațiunile de afaceri continuă fără întrerupere. Ele pot servi, de asemenea, ca un sistem de validare continuă care monitorizează eficacitatea controalelor de securitate. Rezultatele furnizează date îmbunătățite pentru managementul riscurilor, care, la rândul lor, susțin testarea suplimentară a rezilienței în cicluri virtuoase. Rapoartele rezultate din testarea continuă pot fi apoi integrate în mecanismele de raportare a incidentelor pentru al treilea pilon al DORA, după cum este necesar.

Al patrulea pilon, riscul terților, urmează după gestionarea riscurilor, raportarea incidentelor și testarea rezilienței în DORA. Poziția nu pare să reflecte importanța, ci mai degrabă să recunoască modul în care susține ceilalți trei piloni dintr-un ecosistem financiar.

Multe entități financiare, un ecosistem financiar

Riscul terților este considerat cel mai provocator dintre cei patru piloni principali ai DORA, conform unui sondaj sponsorizat de Mastercard, realizat între noiembrie 2022 și februarie 2023, în rândul echipelor de risc TIC din 20 de entități financiare din 20 de țări ale UE.

Provocarea rezultă din nevoia emergentă de reziliență a ecosistemului, pe măsură ce riscul terților trece de la o mentalitate „eu versus ei” la un „noi” colectiv care stă la baza tuturor celorlalte aspecte ale securității cibernetice. Scopul principal al DORA este de a asigura reziliența ecosistemului pentru UE și, ideal, la nivel global.

Dintr-o perspectivă globală, DORA nu impune localizarea datelor în ceea ce privește gestionarea datelor care intră și ies din UE. Totuși, DORA nu este imună la „efectul Bruxelles”, care se referă la influența legislației UE dincolo de granițele sale geografice.

Mai precis, în contextul DORA și al riscului terților, articolele 36 și 44 se referă la activitățile autorităților europene de supraveghere „în afara Uniunii” și la dezvoltarea celor mai bune practici prin „cooperare internațională”.

Domeniul de aplicare înseamnă că abilitatea entităților financiare de a aborda DORA depinde de soluții holistice oferite de furnizori, cum ar fi rețelele globale de plăți, cu parteneriate care se extind pe întregul ecosistem financiar. Ciclul virtuos al gestionării riscurilor și rezilienței poate beneficia în continuare de economiile de scară asociate unui ecosistem financiar plin de relații inerente cu terți. Abordările dedicate riscului terților, cum ar fi monitorizarea expunerii online și a riscului sistemic, completează abordarea de rețea.

Litera legii versus spiritul legii

Legea privind reziliența operațională digitală pare mult mai accesibilă sub acronimul său prietenos DORA. Entitățile financiare din UE și din alte regiuni vor trebui să fie bine familiarizate cu DORA până în ianuarie 2025, când reglementarea va intra în vigoare.

Studiul sponsorizat de Mastercard sugerează că entitățile financiare vor începe implementarea conformității la mijlocul anului 2023, după finalizarea evaluărilor diferențelor. Un pachet cuprinzător sau „armonizat” de soluții ar trebui să îi ajute să respecte termenele.

Totuși, acest ajutor ar trebui să depășească simpla furnizare de soluții conectate pentru a îndeplini cerințele de conformitate. DORA depinde de mai mult decât de simpla conformare a entităților financiare individuale cu litera legii. De asemenea, depinde de faptul că entitățile financiare recunosc necesitatea de a colabora în cadrul ecosistemului financiar printr-o abordare de rețea.

Fără acea rețea, este probabil să apară o deconectare. Un rezultat ironic pentru un act conceput să servească o lume interconectată.