Pagājušajā gadā Eiropas Savienības Padomes prezidentūra un Eiropas Parlaments panāca pagaidu vienošanos par Digitālās darbības noturības likumu (DORA), lai uzlabotu finanšu institūciju kiberdrošību Eiropā. Tiklīdz ES valstis būs ieviesušas DORA, tām būs jānodrošina, ka finanšu uzņēmumi spēj stāties pretī visa veida informācijas un komunikāciju tehnoloģiju (IKT) traucējumiem un draudiem, reaģēt uz tiem un atgūties no tiem, lai galamērķis būtu novērst un mazināt kiberdraudus. . Regulā ir izmantota diferencēta pieeja mazu, mikro un savstarpēji saistītu vienību regulēšanai.
Elastības pārbaude
Eiropas uzraudzības iestādes (EUI), proti, Eiropas Banku iestāde (EBI), Eiropas Vērtspapīru un tirgu iestāde (EVTI) un Eiropas Apdrošināšanas un fondēto pensiju iestāde (EAFPI), izstrādā "tehniskus standartus, kas jāievēro visām finanšu pakalpojumu iestādēm". . Turklāt svarīgiem trešo pušu informācijas un komunikāciju tehnoloģiju pakalpojumu sniedzējiem, jo īpaši mākoņdatošanas pakalpojumu sniedzējiem finanšu iestādēm ES, būs jāizveido ES meitasuzņēmums atbilstošai uzraudzībai, un uzraugi tiks iesaistīti arī turpmākajā regulas pārskatīšanā.
Jaunais likums liks FSI uzņēmumiem ES pārbaudīt savu organizāciju noturību; tāpēc viņiem būtībā būs jāpārvalda riski un jāizmanto riska pārvaldības sistēma, lai apmierinātu DORA prasības. Tāpēc visiem finanšu nozares CISO ir ieteicams apsvērt iespēju strādāt ar kiberdrošības piegādātājiem un partneriem, kuri ir pilnībā informēti par DORA.
Vairāk 2023. gada padomu finanšu pakalpojumu CISO
Sniegti arī citi, konkrētāki ieteikumi finanšu sektora organizācijām, kuras plāno 2023. gadu. CISO (galvenajiem informācijas drošības darbiniekiem), kas strādā finanšu pakalpojumu nozarē, ir jāsaprot, ka 2023. gads nebūs tāds kā 2022. gads; Notiek lielas izmaiņas un pieaug kiberrisks.
Pāreja uz reaģēšanas un glābšanas domāšanas veidu
Ir pieaudzis izspiedējvīrusu skaits, un tā ir galvenā problēma ne tikai finanšu iestādēm, bet arī visām iestādēm. Tradicionāli finanšu pakalpojumu nozares domāšana ir bijusi: "Ak, nē, mēs nevēlamies risku." Līdz šim viss ir bijis par aizsardzību un atklāšanu. Tomēr, ņemot vērā mūsdienu kiberriska raksturu, šī pieeja vairs nav reāla.
Finanšu nozares CISO ir jāsaprot strauji mainīgā draudu ainava un jākoncentrējas uz to, lai kļūtu noturīgākiem. Tas nozīmē, ka finanšu sektora iestādes stratēģijai ir jāpāriet no mēģinājuma izvairīties no visiem riskiem uz spēju ātri atgūties pēc uzbrukuma. Tas, protams, radīs ieguldījumus platformās, kas nodrošina tādas funkcijas kā galapunktu noteikšana un reakcija (EDR), paplašināta noteikšana un reakcija (XDR) un drošības koordinācija, automatizācija un reaģēšana (SOAR).
Riski, kas saistīti ar iegulto finansējumu
Vēl viens jautājums, kas finanšu iestāžu CISO būtu jāapsver 2023. gadā, ir iegulto finanšu pieaugošā tendence.
Kas ir iegultās finanses?
“Iegultās finanses ir process, kurā visi finanšu pakalpojumi tiek integrēti vienuviet, nevis darbs ar tradicionālajām organizācijām. Tas piedāvā drošu, vienkāršu un efektīvu veidu, apkopojot visus pakalpojumus, ko mazumtirgotājs var izmantot vienā, viegli pārvaldāmā modelī. Finanšu risinājumus var integrēt uzņēmuma infrastruktūrā, un tie atvieglo cilvēku piekļuvi tādiem finanšu pakalpojumiem kā aizdevumi, apdrošināšana vai maksājumu apstrāde, nenovirzot cilvēkus uz trešo pušu galamērķiem. Tas nozīmē, ka ir mazāk lietotņu, ar kurām rīkoties, mazāk cilvēku, kas apstrādā naudu, mazāk jāuztraucas un mazāk laika, kas pavadīts, lai sekotu līdzi finanšu loģistikai. Interese par šo nozari pēdējos gados ir strauji pieaugusi. "ASV iegulto finanšu tirgus 2020. gadā sasniedza 22,5 miljardus ASV dolāru, un paredzams, ka tas pieaugs desmitkārtīgi līdz 2025 miljardiem ASV dolāru 230. gadā." (NCR, 8. gada 2022. augusts)
2023. gada un turpmākajā pasaulē finanses kļūs arvien izplatītākas. Piemēram, apsveriet iegulto finansējumu, kur netradicionālas organizācijas izmanto finanšu produktus, lai pārdotu “pērc tūlīt, maksā vēlāk”. Šī metode palielina pārdošanas apjomu, bet arī palielina risku organizācijām.
Iegulto finansējumu veicina banku darbība kā pakalpojums (BaaS) un lietojumprogrammu saskarnes (API) tehnoloģijas. Paredzams, ka šī metode bankām līdz 2026. gadam radīs vairāk nekā 25 miljardus ASV dolāru gada ieņēmumus un līdz 2025. gadam novirzīs 25 procentus no vēsturisko banku mazo un vidējo uzņēmumu ieņēmumiem uz vēsturiskajiem kanāliem. (Iegultās lietojumprogrammas: jauni ieņēmumi un jauni riski bankām (garp.org)
2023. gadā un turpmākajos gados FSI CISO ir jāpievērš īpaša uzmanība šādiem jautājumiem:
- Organizācijām ir jānodrošina stingra kiberdrošības un datu aizsardzības politika, tostarp pasākumi, lai novērstu datu pārkāpumus un nesankcionētu piekļuvi sensitīvai informācijai.
- Ja organizācijas strādā ar nefinanšu partneriem, kuriem var nebūt tāda paša līmeņa zināšanas vai pieredze finanšu pakalpojumu jomā, tām ir jāuzrauga iespējamie riski, kas saistīti ar datu nepareizu vai nepareizu izmantošanu.
- Interešu konflikta iespējamība būtu jāņem vērā, integrējot finanšu produktus un pakalpojumus nefinanšu produktos vai platformās, un iestādēm ir jāinformē klienti par šo produktu un pakalpojumu noteikumiem un nosacījumiem.
- Ir nepieciešams sekot līdzi regulējuma attīstībai attiecībā uz iegulto finansējumu un nodrošināt, lai organizācija atbilstu visiem attiecīgajiem likumiem un noteikumiem.
- Organizācijai jāapsver iespēja sadarboties ar specializētām firmām vai konsultēt ekspertus šajā jomā, lai nodrošinātu, ka tai ir nepieciešamās zināšanas un resursi, lai efektīvi pārvaldītu kiberdrošības un privātuma riskus iegulto finanšu kontekstā.
Apziņa ir svarīga arī tāpēc, ka ar tehnoloģiju vien to nevar panākt. Finanšu iestādēm jāsāk apmācīt savus darbiniekus par DevSecOps, mākslīgo intelektu, mašīnmācīšanos un API drošību. Šobrīd Fortinet uzsver, ka ir apņēmies palīdzēt novērst kiberprasmju trūkumu un palielināt kiberapziņu, izmantojot TAA iniciatīvu un Training Institute programmas.
Esi pirmais, kas komentē