Skip to main content

Plačila

10. avgust 2023

 

Razumevanje vizije DORA za odporno finančno omrežje

Vodja Steve Brown

Kibernetska in obveščevalna služba

rešitve, Mastercard

Zakon o digitalni operativni odpornosti (DORA) ni bil napisan z mislijo na rešitve globalnega plačilnega omrežja. Že en pogled na njegove regulativne določbe nakazuje, da bi lahko bilo tako.

Predlagano ni, da bi plačilno omrežje prevzelo skladnost z DORA v imenu finančnih subjektov, ki delujejo znotraj njegovega omrežja. To bi bil visok izziv, tudi če bi se osredotočili zgolj na kibernetsko odpornost. Še višjo raven pa DORA zagotavlja, da krije vsa operativna tveganja, povezana z informacijsko-komunikacijsko tehnologijo (IKT), in ki jih predstavlja vse večja medsebojna povezanost finančnih subjektov.

Predlog namesto tega poudarja stališče DORA, da je odpornost „zaradi svojega obsega in učinkov morda bolje doseči na ravni [Evropske] unije“ in da so se plačila „premaknila z gotovinskih in papirnatih metod“ na digitalne rešitve. Dvojni poudarek DORA na obsegu, po vsej EU in zunaj nje, ter financah, zlasti plačilih, se dobro ujema z obstoječimi dejavnostmi globalnih plačilnih omrežij.

Na primer, pri Mastercardu podpiramo finančne subjekte tako, da omogočamo varna plačila in prenos podatkov po vsem svetu. Naša digitalna operativna odpornost izhaja iz kombinacije močne avtentikacije strank, kvantifikacije tveganja, simulacije kršitev in napadov, spremljanja spletne izpostavljenosti in sistemske ocene tveganja.

Kombinacija je pomembna. DORA ugotavlja, kako finančni sektor EU „ureja enotni pravilnik in ga upravlja evropski sistem finančnega nadzora“, medtem ko „digitalna operativna odpornost in varnost IKT še nista v celoti ali dosledno usklajeni“. Izrecni poziv je k usklajenemu okviru, vendar implicitni predlog je, da bi bilo treba uskladiti tudi rešitve. Rešitve plačilnega omrežja lahko finančnim subjektom pomagajo doseči to harmonijo skupaj.

Štirje različni stebri, ena rešitev »vedno na voljo«

Štirje glavni stebri DORA logično zahtevajo štiri rešitve, za vsako od njih pa obstajajo namenski izdelki v različni meri. Vendar pa upravljanje tveganj, poročanje o incidentih, testiranje odpornosti in tveganje tretjih oseb ne delujejo neodvisno drug od drugega. DORA jih obravnava skupaj brez prekinitev z dobrim razlogom; ponudniki kibernetske varnosti in drugih rešitev za operativna tveganja bi lahko razmislili o enakem ukrepanju.

Plačilna omrežja so dobro seznanjena s potrebo po »vedni prisotnosti« prek nadomestne obdelave, ki jo zagotavljajo bankam za izpolnjevanje zahtev glede močne avtentikacije strank (SCA) med izpadi in zastoji bank.

Poleg preverjanja pristnosti in avtorizacije plačil pa plačilna omrežja tudi nenehno varujejo vse podatke v svojih omrežjih. Ta zaščita lahko zajema transakcije, osredotočene izključno na kreditne kartice ali plačila z računa na račun v realnem času, ali pa lahko vključuje druge finančne podatke prek odprtega bančništva ali vse bolj veriženja blokov.

Neprekinjeni cikli kvantifikacije kibernetskih tveganj omogočajo plačilnim omrežjem upravljanje operativnih tveganj za svoja večželezniška omrežja in tveganja, s katerimi se soočajo finančne institucije, ki jim služijo. Ta merljiva metoda za prvi steber programa DORA popelje kibernetsko varnost dlje od miselnosti arkadne igre, kjer reaktivno vstavljamo kovance v režo, da bi ustavili neusmiljen napad. Notranje prilagajanje lahko nato obravnava specifične poslovne potrebe, medtem ko zunanja kontekstualizacija zagotavlja podporo, ki temelji na nenehno spreminjajočih se dinamičnih grožnjah.

Testiranje odpornosti s simulacijami kršitev in napadov dopolnjuje obvladovanje tveganj s posnemanjem vedenja zlonamernih akterjev. Simulacije se lahko neprekinjeno izvajajo v produkcijskem okolju organizacije, da bi obravnavale drugi steber DORA, medtem ko poslovne operacije nemoteno potekajo. Služijo lahko tudi kot sistem za stalno potrjevanje, ki spremlja učinkovitost varnostnih kontrol. Rezultati zagotavljajo izboljšane podatke za obvladovanje tveganj, ki nato prispevajo k nadaljnjemu testiranju odpornosti v pozitivnih ciklih. Poročila, ki izhajajo iz stalnega testiranja, se lahko nato po potrebi vključijo v mehanizme za poročanje o incidentih za tretji steber DORA.

Četrti steber, tveganje tretjih oseb, sledi upravljanju tveganj, poročanju o incidentih in testiranju odpornosti v DORA. Zdi se, da položaj ne odraža pomembnosti, temveč priznava, kako je temelj ostalih treh stebrov v finančnem ekosistemu.

Veliko finančnih subjektov, en finančni ekosistem

V anketi, ki jo je sponzorirala družba Mastercard in je med ekipami za upravljanje tveganj informacijske in komunikacijske tehnologije (IKT) v 20 finančnih subjektih v 20 državah EU med novembrom 2022 in februarjem 2023 izvedla raziskavo, v kateri so bile izvedene skupine za upravljanje tveganj informacijske in komunikacijske tehnologije (IKT) v 20 finančnih subjektih v 20 državah EU, je tveganje tretjih oseb navedeno kot najzahtevnejši od štirih glavnih stebrov DORA.

Izziv izhaja iz nastajajoče potrebe po odpornosti ekosistema , saj se tveganje tretjih oseb spreminja iz miselnosti »jaz proti njim« v kolektivni »mi«, ki je temelj vseh drugih vidikov kibernetske varnosti. Glavni cilj programa DORA je zagotoviti odpornost ekosistema v EU in idealno po vsem svetu.

Z globalnega vidika DORA ne zahteva lokalizacije podatkov glede ravnanja s podatki, ki vstopajo v EU in izstopajo iz nje. Vendar pa DORA ni imuna na »bruseljski učinek«, ki se nanaša na vpliv zakonodaje EU zunaj njenih geografskih meja.

Natančneje, kar zadeva samo shemo DORA in tveganje tretjih oseb, člena 36 in 44 obravnavata dejavnosti evropskih nadzornih organov „zunaj Unije“ in razvoj najboljših praks prek „mednarodnega sodelovanja“.

Obseg pomeni, da je sposobnost finančnih subjektov za obravnavo DORA odvisna od celostnih rešitev ponudnikov, kot so globalna plačilna omrežja, s partnerstvi, ki segajo v finančni ekosistem. Uspešen krog upravljanja tveganj in odpornosti lahko nato dodatno izkoristi ekonomije obsega, povezane s finančnim ekosistemom, polnim inherentnih odnosov s tretjimi osebami. Namenski pristopi k tveganju tretjih oseb, kot sta spremljanje spletne izpostavljenosti in sistemskega tveganja, dopolnjujejo mrežni pristop.

Črka zakona proti duhu zakona

Zakon o digitalni operativni odpornosti se sliši veliko bolj dostopen pod svojo osebno kratico DORA. Finančne institucije v EU in drugod bodo morale dobro poznati DORA do januarja 2025, ko bo začel veljati postopek izvrševanja.

Raziskava, ki jo sponzorira Mastercard, kaže, da bodo finančne institucije začele izvajati skladnost sredi leta 2023, potem ko bodo zaključile ocene vrzeli. Celovit ali »usklajen« sveženj rešitev bi jim moral pomagati, da pridejo pravočasno.

Vendar pa bi morala ta pomoč presegati zgolj zagotavljanje povezanih rešitev za izpolnjevanje potreb po skladnosti. DORA je odvisna od več kot le posameznih finančnih subjektov, ki spoštujejo črko zakona. Odvisno je tudi od finančnih subjektov, ki prepoznajo potrebo po povezovanju v celotnem finančnem ekosistemu prek mrežnega pristopa.

Brez tega omrežja bo verjetno prišlo do prekinitve povezave. Ironičen rezultat za dejanje, zasnovano za zadovoljevanje medsebojno povezanega sveta.