Skip to main content

Platby

10. augusta 2023

 

Pochopenie vízie DORA pre odolnú finančnú sieť

Vedúci Steve Brown

Kybernetika a spravodajské služby

riešenia, Mastercard

Zákon o digitálnej operačnej odolnosti (DORA) nebol napísaný s ohľadom na riešenia globálnej platobnej siete. Jeden pohľad na jeho regulačné ustanovenia naznačuje, že to tak pokojne mohlo byť.

Návrh nespočíva v tom, aby platobná sieť zabezpečovala dodržiavanie predpisov DORA v mene finančných subjektov pôsobiacich v rámci jej siete. To by bola náročná úloha, aj keby sa pozornosť zameriavala výlučne na kybernetickú odolnosť. Ešte viac to umocňuje krytie všetkých operačných rizík spoločnosti DORA spojených s informačnými a komunikačnými technológiami (IKT) a rastúcou prepojenosťou finančných subjektov.

Návrh skôr poukazuje na stanovisko DORA, že odolnosť sa „z dôvodu jej rozsahu a účinkov dá lepšie dosiahnuť na úrovni [Európskej] únie“ a že platby „prešli z hotovostných a papierových metód“ na digitálne riešenia. Dvojité zameranie spoločnosti DORA na rozsah v celej EÚ a mimo nej a na financie, najmä platby, je v súlade s existujúcimi aktivitami globálnych platobných sietí.

Napríklad v spoločnosti Mastercard podporujeme finančné subjekty tým, že umožňujeme bezpečné platby a prenosy údajov na celom svete. Naša digitálna operačná odolnosť spočíva v kombinácii silného overovania zákazníkov, kvantifikácie rizík, simulácie narušení a útokov, monitorovania online expozícií a hodnotenia systémových rizík.

Dôležitá je kombinácia. DORA poznamenáva, ako je finančný sektor EÚ „regulovaný jednotným súborom pravidiel a riadený európskym systémom finančného dohľadu“, zatiaľ čo „digitálna operačná odolnosť a bezpečnosť IKT ešte nie sú úplne alebo konzistentne harmonizované“. Explicitná výzva sa týka harmonizovaného rámca, ale implicitný návrh je, aby sa harmonizovali aj riešenia. Riešenia platobnej siete môžu pomôcť finančným subjektom dosiahnuť túto harmóniu spoločne.

Štyri odlišné piliere, jedno riešenie „vždy dostupné“

Štyri hlavné piliere DORA logicky vyžadujú štyri riešenia a pre každé z nich existujú v rôznej miere špecializované produkty. Riadenie rizík, hlásenie incidentov, testovanie odolnosti a riziko tretích strán však nefungujú nezávisle od seba. DORA sa nimi zaoberá spoločne bez prerušenia z dobrého dôvodu; poskytovatelia kybernetickej bezpečnosti a iných riešení prevádzkových rizík by mohli zvážiť rovnaký postup.

Platobné siete sú si dôverne vedomé potreby byť „neustále online“ prostredníctvom náhradného spracovania, ktoré poskytujú bankám na splnenie požiadaviek na silné overovanie zákazníkov (SCA) počas výpadkov a prestojov bánk.

Okrem overovania a autorizácie platieb však platobné siete neustále chránia všetky údaje vo svojich sieťach. Táto ochrana sa môže vzťahovať výlučne na transakcie zamerané na kreditné karty alebo platby z účtu na účet v reálnom čase, alebo môže zahŕňať iné finančné údaje prostredníctvom otvoreného bankovníctva alebo čoraz viac blockchainu.

Prebiehajúce cykly kvantifikácie kybernetických rizík umožňujú platobným sieťam riadiť prevádzkové riziká pre ich viackoľajové siete a tie, ktorým čelia finančné subjekty, ktorým slúžia. Tento kvantifikovateľný prístup k prvému pilieru DORA posúva kybernetickú bezpečnosť za hranice arkádovej hry, ktorá reaktívne vkladá mince do slotu s cieľom zastaviť neúprosný nápor útokov. Interné prispôsobenie môže potom riešiť špecifické obchodné potreby, zatiaľ čo externá kontextualizácia poskytuje podporu založenú na neustále sa vyvíjajúcich dynamických hrozbách.

Testovanie odolnosti prostredníctvom simulácií narušení a útokov dopĺňa riadenie rizík napodobňovaním správania škodlivých aktérov. Simulácie môžu prebiehať nepretržite v produkčnom prostredí organizácie, aby sa riešil druhý pilier projektu DORA, pričom obchodné operácie pokračujú bez prerušenia. Môžu tiež slúžiť ako systém nepretržitého overovania, ktorý monitoruje účinnosť bezpečnostných kontrol. Výsledky poskytujú vylepšené údaje pre riadenie rizík, ktoré následne slúžia ako podklad pre ďalšie testovanie odolnosti v úspešných cykloch. Správy vyplývajúce z priebežného testovania sa potom môžu podľa potreby použiť v mechanizmoch hlásenia incidentov pre tretí pilier DORA.

Štvrtý pilier, riziko tretích strán, nasleduje po riadení rizík, hlásení incidentov a testovaní odolnosti v rámci DORA. Zdá sa, že táto pozícia nie je odrazom dôležitosti, ale skôr uznaním toho, ako je základom ostatných troch pilierov vo finančnom ekosystéme.

Mnoho finančných subjektov, jeden finančný ekosystém

V prieskume tímov pre riadenie rizík v oblasti informačných a komunikačných technológií (IKT) v 20 finančných subjektoch v 20 krajinách EÚ, ktorý sa uskutočnil v období od novembra 2022 do februára 2023 a ktorý sponzorovala spoločnosť Mastercard, je riziko tretích strán označené za najnáročnejší zo štyroch hlavných pilierov DORA.

Táto výzva vyplýva z rastúcej potreby odolnosti ekosystému , keďže riziko tretích strán sa mení z mentality „ja verzus oni“ na kolektívne „my“, ktoré je základom všetkých ostatných aspektov kybernetickej bezpečnosti. Hlavným cieľom programu DORA je zabezpečiť odolnosť ekosystému v EÚ a ideálne na celom svete.

Z globálneho hľadiska DORA nevyžaduje lokalizáciu údajov týkajúcich sa spracovania údajov vstupujúcich do EÚ a vystupujúcich z EÚ. DORA však nie je imúnna voči „bruselskému efektu“, ktorý sa vzťahuje na vplyv legislatívy EÚ za jej geografickými hranicami.

Konkrétnejšie, pokiaľ ide o samotný DORA a riziko tretích strán, články 36 a 44 sa zaoberajú činnosťami európskych orgánov dohľadu „mimo Únie“ a vývojom najlepších postupov prostredníctvom „medzinárodnej spolupráce“.

Rozsah pôsobnosti znamená, že schopnosť finančných subjektov riešiť problém DORA závisí od holistických riešení od poskytovateľov, ako sú globálne platobné siete, s partnerstvami prekračujúcimi rámec finančného ekosystému. Účinný cyklus riadenia rizík a odolnosti môže potom ďalej profitovať z úspor z rozsahu spojených s finančným ekosystémom plným inherentných vzťahov s tretími stranami. Sieťový prístup dopĺňajú špecializované prístupy k riziku tretích strán, ako napríklad monitorovanie online expozície a systémového rizika.

Litera zákona verzus duch zákona

Zákon o digitálnej operačnej odolnosti znie oveľa prístupnejšie pod svojou osobnou skratkou DORA. Finančné subjekty v EÚ a inde budú musieť systém DORA dobre poznať do januára 2025, keď sa začne uplatňovať jeho presadzovanie.

Prieskum sponzorovaný spoločnosťou Mastercard naznačuje, že finančné subjekty začnú s implementáciou predpisov v polovici roka 2023 po dokončení posúdenia nedostatkov. Komplexný alebo „harmonizovaný“ balík riešení by im mal pomôcť prísť včas.

Táto pomoc by však mala ísť nad rámec samotného poskytovania prepojených riešení na splnenie potrieb dodržiavania predpisov. DORA závisí od viac než len od jednotlivých finančných subjektov, ktoré dodržiavajú literu zákona. Závisí to aj od finančných subjektov, ktoré si uvedomia potrebu spojiť sa v celom finančnom ekosystéme prostredníctvom sieťového prístupu.

Bez tejto siete pravdepodobne dôjde k prerušeniu spojenia. Ironický výsledok pre čin navrhnutý tak, aby vyhovel prepojenému svetu.