Skip to main content

Plaćanja

Avgust 18, 2023

 

Razumevanje VIZIJE DORA-e za otpornu finansijsku mrežu

Voditelj Steve Brovn

Ciber & Intelligence

rešenja, Mastercard

Zak on o digitalnoj operativnoj otpornosti (DORA) nije napisan imajući na umu rešenja globalne platne mreže. Jedan pogled na njegove regulatorne odredbe sugeriše da je to moglo i biti.

Predlog nije da platna mreža preuzima usklađenost sa DORA-om u ime finansijskih subjekata koji posluju unutar njene mreže. To bi bio veliki poredak čak i ako je fokus bio čisto sajber otpornost. Još je viša pokrivenost DORA-e svih operativnih rizika povezanih sa informacionim & komunikacijskim tehnologijama (ICT) i predstavljenim sve većom međusobnom povezanošću finansijskih subjekata.

Umesto toga, u predlogu se primećuje stav DORA-e da se otpornost „zbog svojih obima i efekata može bolje postići na nivou [Evropske] unije“ i da su plaćanja „prešla sa gotovinskih i papirnih metoda“ na digitalna rešenja. Dvostruki fokus DORA-e na obim, širom EU i šire, i finansije, posebno plaćanja, dobro se usklađuje sa postojećim aktivnostima globalnih platnih mreža.

Na primer, u Mastercard-u podržavamo finansijske subjekte omogućavajući sigurna plaćanja i prenos podataka širom sveta. Naša digitalna operativna otpornost dolazi kombinacijom jake autentifikacije kupaca, kvantifikacije rizika, simulacije napada kršenja &, praćenja izloženosti na mreži i procene sistemskog rizika.

Kombinacija je važna. DORA primećuje kako je finansijski sektor EU „regulisan jedinstvenim pravilnikom i kojim upravlja evropski sistem finansijskog nadzora“, dok „digitalna operativna otpornost i sigurnost IKT-a još nisu u potpunosti ili dosledno usklađeni“. Eksplicitni poziv je za harmonizovan okvir, ali implicitni predlog je da i rešenja treba da budu usklađena. Rešenja platne mreže mogu pomoći finansijskim subjektima da postignu tu harmoniju zajedno.

Četiri različita stuba, jedno rešenje „uvek uključeno“

Četiri glavna stuba DORA-e logično zahtevaju četiri rešenja, a namenski proizvodi postoje za svaki od njih u različitim stepenima. Ali upravljanje rizikom, izveštavanje o incidentima, testiranje otpornosti i rizik treće strane ne funkcionišu nezavisno jedan od drugog. DORA im se obraća zajedno bez prekida iz dobrog razloga; pružaoci sajber bezbednosti i drugih rešenja za operativni rizik mogli bi razmisliti o tome da učine isto.

Platne mreže su blisko upoznate sa potrebom da budu „uvek uključeni“ putem stand-in obrade koju pružaju bankama kako bi ispunile snažne zahteve za autentifikaciju klijenata (SCA) tokom prekida i zastoja u banci.

Ipak, osim autentifikacije i autorizacije plaćanja, platne mreže takođe kontinuirano štite sve podatke na svojim mrežama. Ta zaštita može pokriti transakcije fokusirane isključivo na kreditne kartice ili u realnom vremenu plaćanja računa na račun, ili može uključivati druge finansijske podatke putem otvorenog bankarstva ili sve blockchain.

Tekući ciklusi kvantifikacije sajber rizika omogućavaju mrežama plaćanja da upravljaju operativnim rizicima za svoje multi-železnice i one sa kojima se suočavaju finansijski subjekti kojima služe. Ovaj kvantifikoviti pristup prvom stubu DORA-e vodi kibernetičku sigurnost izvan mentaliteta arkadne igre reaktivnog uključivanja novčića u slot kako bi se zaustavio nemilosrdni napad. Interno prilagođavanje tada može da odgovori na specifične poslovne potrebe, dok spoljna kontekstualizacija pruža podršku zasnovanu na dinamičkim pretnjama koje se stalno razvijaju.

Testiranje otpornosti putem simulacija napada kršenja & dopunjuje upravljanje rizikom oponašajući ponašanje zlonamernih aktera. Simulacije se mogu kontinuirano odvijati unutar proizvodnog okruženja organizacije kako bi se pozabavili drugim stubom DORA-e, dok se poslovne operacije nastavljaju neprekidno. Oni takođe mogu poslužiti kao kontinuirani sistem validacije koji prati efikasnost bezbednosnih kontrola. Rezultati pružaju poboljšane podatke za upravljanje rizikom koji zauzvrat podstiču dalje testiranje otpornosti u virtuoznim ciklusima. Izveštaji koji proizilaze iz kontinuiranog testiranja mogu se po potrebi unositi u mehanizme za izveštavanje o incidentima za treći stub DORA-e.

Četvrti stub, rizik treće strane, dolazi nakon upravljanja rizikom, izveštavanja o incidentima i testiranja otpornosti u DORA-i. Čini se da stav nije odraz važnosti, već priznanje kako je u osnovi ostala tri stuba u finansijskom ekosistemu.

Mnogi finansijski subjekti, jedan finansijski ekosistem

Rizik treće strane zabeležen je kao najizazovniji od četiri glavna stuba DORA-e u istraživanju timova rizika za informacione & komunikacione tehnologije (IKT) koje sponzorira Mastercard u 20 finansijskih subjekata u 20 zemalja EU između novembra 2022. i februara 2023.

Izazov je rezultat nove potrebe za otpornošću ekosistema jer se rizik trećih strana prebacuje sa mentaliteta „ja protiv njih“ u kolektivni „mi“ koji je u osnovi svih ostalih aspekata sajber bezbednosti. Sveobuhvatni cilj DORA je da obezbedi tu otpornost ekosistema u EU i idealno širom sveta.

Iz globalne perspektive, DORA ne zahteva lokalizaciju podataka u vezi sa rukovanjem podacima koji ulaze i izlaze iz EU. Ipak, DORA nije imuna na „Briselski efekat“, koji se odnosi na uticaj zakonodavstva EU izvan njenih geografskih granica.

Tačnije u pogledu same DORA i rizika trećih strana, članovi 36 i 44 se bave aktivnostima evropskih nadzornih organa „izvan Unije“ i razvoju najboljih praksi kroz „međunarodnu saradnju“.

Obim znači da sposobnost finansijskih subjekata da se pozabave DORA-om zavisi od holističkih rešenja provajdera, kao što su globalne platne mreže, sa partnerstvima koja obuhvataju finansijski ekosistem. Vrli ciklus upravljanja rizikom i otpornosti može onda dodatno imati koristi od ekonomije obima povezane sa finansijskim ekosistemom prepunim inherentnih odnosa sa trećim stranama. Namenski pristupi riziku trećih strana, kao što su praćenje izloženosti na mreži i sistemski rizik, dopunjuju mrežni pristup.

Slovo zakona nasuprot duhu zakona

Zakon o digitalnoj operativnoj otpornosti zvuči daleko pristupačnije pod svojom osobnom skraćenicom DORA. Finansijski subjekti u EU i drugde moraće da dobro poznaju DORA do januara 2025. kada izvršenje počne.

Istraživanje koje sponzoriše Mastercard sugeriše da će finansijski subjekti početi sa implementacijom usklađenosti sredinom 2023. godine nakon završetka procene nedostataka. Sveobuhvatan ili „usklađen“ paket rešenja trebalo bi da im pomogne da dođu na vreme.

Ipak, ta pomoć treba da ide dalje od pukog pružanja povezanih rešenja kako bi se zadovoljile potrebe za usklađenošću. DORA zavisi od više od pojedinačnih finansijskih subjekata koji se pridržavaju slova zakona. To takođe zavisi od finansijskih subjekata koji prepoznaju potrebu da se okupe širom finansijskog ekosistema kroz mrežni pristup.

Bez te mreže verovatno će doći do prekida veze. Ironičan rezultat za čin osmišljen da zadovolji međusobno povezan svet.