Minulý rok predsedníctvo Rady Európskej únie a Európsky parlament dosiahli dočasnú dohodu o zákone o digitálnej prevádzkovej odolnosti (DORA) s cieľom zlepšiť kybernetickú bezpečnosť finančných inštitúcií v Európe. Keď krajiny EÚ prijmú DORA, finančné spoločnosti budú musieť zabezpečiť, aby dokázali čeliť všetkým typom narušenia a hrozieb informačných a komunikačných technológií (IKT), reagovať na ne a zotaviť sa z nich, pričom konečným cieľom je predchádzať kybernetickým hrozbám a zmierňovať ich. Regulácia zaujíma diferencovaný prístup k regulácii malých, mikro a prepojených subjektov.
Testovanie flexibility
Európske orgány dohľadu (ESA), menovite Európsky orgán pre bankovníctvo (EBA), Európsky orgán pre cenné papiere a trhy (ESMA) a Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA) – vyvíjajú „technické normy, ktoré musia všetky inštitúcie poskytujúce finančné služby dodržiavať“. Okrem toho budú musieť kritickí poskytovatelia služieb IKT tretích strán, najmä poskytovatelia cloudových služieb pre finančné inštitúcie v EÚ, zriadiť dcérsku spoločnosť v rámci EÚ, ktorá bude vykonávať náležitý dohľad, a audítori budú zapojení do budúcich preskúmaní nariadenia.
Nový zákon prinúti spoločnosti FSI v EÚ testovať odolnosť svojich organizácií; to znamená, že budú v podstate musieť riadiť riziká a používať rámec riadenia rizík, aby splnili požiadavky DORA. Preto sa odporúča, aby všetci CISO z finančného sektora zvážili spoluprácu s dodávateľmi a partnermi kybernetickej bezpečnosti, ktorí sú plne informovaní o DORA.
Ďalšie odporúčania na rok 2023 pre CISO v oblasti finančných služieb
Ďalšie konkrétnejšie odporúčania sú uvedené aj pre inštitúcie finančného sektora, ktoré plánujú rok 2023. CISO (vedúci informačnej bezpečnosti) pracujúci v odvetví finančných služieb musia pochopiť, že rok 2023 nebude ako rok 2022; Dejú sa veľké zmeny a zvyšuje sa kybernetické riziko.
Prechod na myslenie na intervenciu a obnovu
Rastie ransomvér a toto je hlavná téma všetkých inštitúcií, nielen finančných. Mentalita odvetvia finančných služieb je tradične: „Nie, nechceme riskovať.“ Doteraz to bolo všetko o ochrane a detekcii. Vzhľadom na dnešnú povahu kybernetického rizika však tento prístup už nie je reálny.
CISO vo finančnom odvetví musia pochopiť rýchlo sa meniace prostredie hrozieb a zamerať sa na väčšiu odolnosť. To znamená, že stratégia inštitúcie finančného sektora by sa mala posunúť od snahy vyhnúť sa všetkým rizikám k schopnosti rýchlo sa zotaviť z útoku. To prirodzene povedie k investíciám do platforiem, ktoré umožňujú funkcie ako detekcia a odozva koncových bodov (EDR), rozšírená detekcia a odozva (XDR) a bezpečnostná orchestrácia, automatizácia a odozva (SOAR).
Riziká, ktoré so sebou prinášajú vložené financie
Ďalšou otázkou, ktorú musia CISO vo finančných inštitúciách zvážiť v roku 2023, je stúpajúci trend vložených financií.
Čo sú to vložené financie?
„Vstavané financie sú procesom integrácie všetkých finančných služieb na jednom mieste namiesto toho, aby sme sa museli zaoberať tradičnými inštitúciami. Ponúka bezpečný, jednoduchý a efektívny spôsob zhromažďovania všetkých služieb, ktoré môže maloobchodník využiť, v jedinom, ľahko spravovateľnom modeli. Finančné riešenia môžu byť integrované do podnikovej infraštruktúry, čím sa uľahčí prístup k finančným službám, ako sú pôžičky, poistenie alebo platobné transakcie, bez toho, aby boli ľudia nasmerovaní do destinácií tretích strán. To znamená, že menej aplikácií, s ktorými sa treba zahrávať, menej ľudí, ktorí sa zaoberajú peniazmi, menej starostí a menej času stráveného udržiavaním kroku s finančnou logistikou. Záujem o toto odvetvie v posledných rokoch prudko vzrástol. Trh vložených financií v USA dosiahol v roku 2020 22,5 miliardy USD a očakáva sa, že do roku 2025 vzrastie desaťnásobne na 230 miliárd USD. (NCR, 8. august 2022)
Financie budú vo svete v roku 2023 a neskôr prevládať. Uvažujme napríklad o embedded financiách, kde netradičné organizácie využívajú finančné produkty na predaj typu „kúp teraz, zaplať neskôr“. Táto metóda zvyšuje predaj, ale zároveň zvyšuje riziko pre organizácie.
Vstavané financie uľahčujú technológie bankovníctva ako služby (BaaS) a aplikačného programovacieho rozhrania (API). Očakáva sa, že táto metóda prinesie bankám do roku 2026 ročné príjmy vo výške viac ako 25 miliárd USD a do roku 2025 budú etablované banky presúvať 25 percent príjmov malých a stredných podnikov na etablované kanály. (Vstavané aplikácie: Nové výnosy a nové riziká pre banky (garp.org)
V roku 2023 a neskôr musia CISO v FSI venovať osobitnú pozornosť:
- Organizácie sa musia uistiť, že majú spoľahlivé zásady kybernetickej bezpečnosti a ochrany údajov vrátane opatrení na zabránenie narušeniam údajov a neoprávnenému prístupu k citlivým informáciám.
- Ak inštitúcie spolupracujú s nefinančnými partnermi, ktorí nemusia mať rovnakú úroveň odborných znalostí alebo skúseností v oblasti finančných služieb, musia monitorovať potenciálne riziká zneužitia alebo zneužitia údajov.
- Pri integrácii finančných produktov a služieb do nefinančných produktov alebo platforiem by sa mal zvážiť potenciál konfliktu záujmov a inštitúcie by mali byť voči zákazníkom transparentné, pokiaľ ide o podmienky týchto produktov a služieb.
- Je potrebné mať aktuálne informácie o regulačnom vývoji týkajúcom sa vstavaných financií a zabezpečiť, aby organizácia dodržiavala všetky príslušné zákony a nariadenia.
- Organizácia by mala spolupracovať so špecializovanými firmami alebo zvážiť konzultácie s odborníkmi v danej oblasti, aby sa ubezpečila, že má znalosti a zdroje na efektívne riadenie rizík kybernetickej bezpečnosti a ochrany súkromia v kontexte vstavaných financií.
Informovanosť je tiež dôležitá, pretože samotná technológia to nemôže dosiahnuť. Finančné inštitúcie musia začať školiť svojich zamestnancov v oblasti DevSecOps, umelej inteligencie, strojového učenia a zabezpečenia API. V tomto bode Fortinet zdôrazňuje svoj záväzok pomôcť odstrániť medzeru v kybernetických zručnostiach a zvýšiť kybernetické povedomie prostredníctvom iniciatívy TAA a programov vzdelávacieho inštitútu.
Buďte prvý komentár