Skip to main content

Betalningar

10 augusti 2023

 

Förstå DORAs vision för ett motståndskraftigt finansiellt nätverk

Huvudperson Steve Brown

Cyber och underrättelsetjänst

lösningar, Mastercard

Digital Operational Resilience Act (DORA) skrevs inte med lösningar från ett globalt betalningsnätverk i åtanke. En titt på dess regelverk tyder på att det lika gärna kunde ha varit det.

Förslaget är inte att ett betalningsnätverk ska axla DORA-efterlevnad för de finansiella enheter som är verksamma inom dess nätverk. Det skulle vara en svår uppgift även om fokus enbart var cybermotståndskraft. Det förvärras ytterligare av DORA:s täckning av alla operativa risker i samband med informations- och kommunikationsteknik (IKT) och den ökande sammankopplingen mellan finansiella enheter.

Förslaget noterar snarare DORA:s ståndpunkt att motståndskraft ”på grund av dess omfattning och effekter bättre kan uppnås på [Europeisk] unionsnivå” och att betalningar har ”övergått från kontant- och pappersbaserade metoder” till digitala lösningar. DORAs dubbla fokus på skala, inom EU och bortom, och finans, särskilt betalningar, ligger väl i linje med de befintliga aktiviteterna inom globala betalningsnätverk.

Till exempel stödjer vi på Mastercard finansiella enheter genom att möjliggöra säkra betalningar och dataöverföringar över hela världen. Vår digitala operativa motståndskraft kommer från en kombination av stark kundautentisering, riskkvantifiering, simulering av intrång och attacker, övervakning av exponering online och systemisk riskbedömning.

Kombinationen är viktig. DORA noterar hur EU:s finanssektor ”regleras av ett gemensamt regelverk och styrs av ett europeiskt system för finansiell tillsyn” medan ”digital operativ motståndskraft och IKT-säkerhet ännu inte är helt eller konsekvent harmoniserade”. Det uttryckliga uppmaningen är ett harmoniserat ramverk, men det implicita förslaget är att även lösningarna bör harmoniseras. Ett betalningsnätverks lösningar kan hjälpa finansiella enheter att uppnå den harmonin tillsammans.

Fyra distinkta grundpelare, en "alltid på"-lösning

De fyra huvudpelarna i DORA kräver logiskt sett fyra lösningar, och det finns dedikerade produkter för var och en av dem i varierande grad. Men riskhantering, incidentrapportering, motståndskraftstestning och tredjepartsrisk fungerar inte oberoende av varandra. DORA hanterar dem tillsammans utan avbrott av goda skäl; leverantörer av cybersäkerhet och andra operativa risklösningar kan överväga att göra detsamma.

Betalningsnätverk är väl bekanta med behovet av att vara "alltid på" via den stand-in-behandling de tillhandahåller banker för att uppfylla kraven på stark kundautentisering (SCA) under bankavbrott och driftstopp.

Men utöver betalningsautentisering och auktorisering skyddar betalningsnätverk kontinuerligt all data i sina nätverk. Det skyddet kan omfatta transaktioner som enbart är inriktade på kreditkortsbetalningar eller betalningar mellan konton i realtid, eller så kan det inkludera annan finansiell data via öppen bankverksamhet eller i allt högre grad blockkedja.

Kontinuerliga cykler av kvantifiering av cyberrisker gör det möjligt för betalningsnätverk att hantera operativa risker för sina nätverk av flera järnvägsnät och de som de finansiella enheter de betjänar står inför. Denna kvantifierbara strategi för DORAs första pelare tar cybersäkerhet bortom en arkadspelsmentalitet där man reaktivt stoppar in mynt i en spelautomat för att stoppa en obeveklig attack. Intern anpassning kan sedan tillgodose specifika affärsbehov medan extern kontextualisering ger stöd baserat på ständigt föränderliga dynamiska hot.

Motståndskraftstestning via simuleringar av intrång och attacker kompletterar riskhantering genom att imitera beteendet hos illvilliga aktörer. Simuleringarna kan köras kontinuerligt inom en organisations produktionsmiljö för att hantera DORA:s andra pelare medan affärsverksamheten fortsätter utan avbrott. De kan också fungera som ett kontinuerligt valideringssystem som övervakar effektiviteten av säkerhetskontroller. Resultaten ger förbättrade data för riskhantering som i sin tur ligger till grund för ytterligare tester av motståndskraft i positiva cykler. Rapporter som resulterar från den kontinuerliga testningen kan sedan vid behov användas i incidentrapporteringsmekanismer för DORA:s tredje pelare.

Den fjärde pelaren, tredjepartsrisk, kommer efter riskhantering, incidentrapportering och resilienstestning i DORA. Positionen verkar inte vara en återspegling av betydelse utan snarare ett erkännande av hur den ligger till grund för de andra tre pelarna i ett finansiellt ekosystem.

Många finansiella enheter, ett finansiellt ekosystem

Tredjepartsrisk noteras som den mest utmanande av DORA:s fyra huvudpelare i en Mastercard-sponsrad undersökning av riskteam för informations- och kommunikationsteknik (IKT) i 20 finansiella enheter i 20 EU-länder mellan november 2022 och februari 2023.

Utmaningen är ett resultat av det framväxande behovet av ekosystemmotståndskraft i takt med att tredjepartsrisker skiftar från en "jag mot dem"-mentalitet till ett kollektivt "oss" som ligger till grund för alla andra aspekter av cybersäkerhet. Det övergripande målet med DORA är att ge ekosystemet motståndskraft i EU och helst även i resten av världen.

Ur ett globalt perspektiv kräver DORA inte datalokalisering avseende hantering av data som förs in i och ut ur EU. DORA är dock inte immun mot ”Brysseleffekten”, som hänvisar till EU-lagstiftningens inverkan utanför dess geografiska gränser.

Mer specifikt, när det gäller DORA i sig och tredjepartsrisk, behandlar artiklarna 36 och 44 europeiska tillsynsmyndigheters verksamhet ”utanför unionen” och utvecklingen av bästa praxis genom ”internationellt samarbete”.

Omfattningen innebär att finansiella enheters förmåga att hantera DORA är beroende av helhetslösningar från leverantörer, såsom globala betalningsnätverk, med partnerskap som spänner över hela det finansiella ekosystemet. Den goda cirkeln av riskhantering och motståndskraft kan sedan ytterligare dra nytta av de stordriftsfördelar som är förknippade med ett finansiellt ekosystem fyllt av inneboende tredjepartsrelationer. Särskilda metoder för tredjepartsrisker, såsom övervakning av onlineexponering och systemrisker, kompletterar nätverksmetoden.

Lagens bokstav kontra lagens ande

Lagen om digital operativ motståndskraft låter betydligt mer lättillgänglig under sin personliga akronym DORA. Finansiella enheter i EU och på andra håll kommer att behöva känna till DORA väl senast i januari 2025 när verkställigheten träder i kraft.

Den Mastercard-sponsrade undersökningen tyder på att finansiella enheter kommer att påbörja implementeringen av regelefterlevnad i mitten av 2023 efter att ha slutfört gap-bedömningar. Ett heltäckande eller ”harmoniserat” lösningspaket bör hjälpa dem att komma in i tid.

Ändå bör den hjälpen gå utöver att bara tillhandahålla uppkopplade lösningar för att möta efterlevnadsbehov. DORA är beroende av mer än bara att enskilda finansiella enheter följer lagens bokstav. Det beror också på att finansiella enheter inser behovet av att samarbeta inom det finansiella ekosystemet genom en nätverksstrategi.

Utan det nätverket kommer det sannolikt att bli en brist på kontakt. Ett ironiskt resultat för en handling utformad för att tillgodose en sammankopplad värld.