Předsednictví Rady Evropské unie a Evropský parlament dosáhly v loňském roce prozatímní dohody o zákonu o digitální provozní odolnosti (DORA), který má zlepšit kybernetickou bezpečnost finančních institucí v Evropě. Jakmile země EU přijmou DORA, budou muset finanční společnosti zajistit, aby byly schopny čelit všem typům narušení a hrozeb informačních a komunikačních technologií (ICT), reagovat na ně a zotavit se z nich, s konečným cílem prevence a zmírnění kybernetických hrozeb. Regulace zaujímá diferencovaný přístup k regulaci malých, mikro a propojených subjektů.
Testování flexibility
Evropské orgány dohledu (ESA), jmenovitě Evropský orgán pro bankovnictví (EBA), Evropský orgán pro cenné papíry a trhy (ESMA) a Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA) – vyvíjejí „technické normy, které musí všechny instituce finančních služeb v souladu s". Kromě toho budou muset klíčoví poskytovatelé ICT služeb třetích stran, zejména poskytovatelé cloudových služeb pro finanční instituce v EU, zřídit v rámci EU dceřinou společnost pro náležitý dohled a auditoři budou zapojeni do budoucích přezkumů nařízení.
Nový zákon donutí společnosti FSI v EU testovat odolnost svých organizací; to znamená, že budou v zásadě muset řídit rizika a používat rámec řízení rizik, aby splnili požadavky DORA. Proto se doporučuje, aby všichni CISO z finančního odvětví zvážili spolupráci s prodejci a partnery kybernetické bezpečnosti, kteří mají o DORA úplné informace.
Další doporučení pro rok 2023 pro finanční služby CISO
Pro instituce finančního sektoru plánující rok 2023 jsou uvedena i další konkrétnější doporučení. CISO (vedoucí informační bezpečnosti) pracující v odvětví finančních služeb musí pochopit, že rok 2023 nebude jako rok 2022; Dochází k velkým změnám a kybernetické riziko se zvyšuje.
Přechod k myšlení intervence a obnovy
Dochází k nárůstu ransomwaru a to je hlavní problém pro všechny instituce, nejen finanční. Mentalita odvětví finančních služeb je tradičně: „Ne, nechceme riskovat.“ Až dosud bylo vše o ochraně a detekci. Vzhledem k dnešnímu charakteru kybernetického rizika však tento přístup již není reálný.
CISO ve finančním průmyslu musí pochopit rychle se měnící prostředí hrozeb a zaměřit se na větší odolnost. To znamená, že strategie instituce finančního sektoru by se měla posunout od snahy vyhnout se všem rizikům ke schopnosti rychle se vzpamatovat z útoku. To přirozeně povede k investicím do platforem, které umožňují funkce, jako je detekce a odezva koncových bodů (EDR), rozšířená detekce a odezva (XDR) a orchestrace zabezpečení, automatizace a odezva (SOAR).
Rizika, která přicházejí s vloženými financemi
Dalším problémem, který by měli CISO ve finančních institucích zvážit v roce 2023, je rostoucí trend vestavěných financí.
Co je to vložené finance?
„Embedded finance je proces integrace všech finančních služeb na jednom místě namísto jednání s tradičními institucemi. Nabízí bezpečný, jednoduchý a efektivní způsob, jak shromáždit všechny služby, které může prodejce využít, do jediného, snadno ovladatelného modelu. Finanční řešení lze integrovat do podnikové infrastruktury a usnadnit tak přístup k finančním službám, jako jsou půjčky, pojištění nebo platební transakce, aniž by bylo nutné nasměrovat lidi do destinací třetích stran. To znamená méně aplikací, se kterými se budete muset potýkat, méně lidí, kteří se zabývají penězi, méně starostí a méně času stráveného udržováním kroku s finanční logistikou. Zájem o toto odvětví v posledních letech prudce vzrostl. Americký trh vestavěných financí dosáhl v roce 2020 22,5 miliardy dolarů a očekává se, že do roku 2025 poroste desetinásobně na 230 miliard dolarů. (NCR, 8. srpna 2022)
Finance budou ve světě v roce 2023 a dále převládat. Vezměme si například vestavěné finance, kde netradiční organizace využívají finanční produkty pro prodej typu „nakoupit nyní, plaťte později“. Tato metoda zvyšuje prodeje, ale také zvyšuje riziko pro organizace.
Vestavěné finance usnadňují technologie bankovnictví jako služba (BaaS) a aplikačního programovacího rozhraní (API). Očekává se, že tato metoda bude do roku 2026 generovat více než 25 miliard dolarů v ročních příjmech bankám a do roku 2025 přesunou zavedené banky 25 procent příjmů malých a středních podniků na stávající kanály. (Vestavěné aplikace: Nové výnosy a nová rizika pro banky (garp.org)
Pro rok 2023 a dále musí CISO ve FSI věnovat zvláštní pozornost následujícímu:
- Organizace musí zajistit, že mají robustní zásady kybernetické bezpečnosti a ochrany dat, včetně opatření k zabránění narušení dat a neoprávněnému přístupu k citlivým informacím.
- Pokud instituce spolupracují s nefinančními partnery, kteří nemusí mít stejnou úroveň odborných znalostí nebo zkušeností ve finančních službách, musí monitorovat potenciální rizika zneužití nebo zneužití dat.
- Při integraci finančních produktů a služeb do nefinančních produktů nebo platforem je třeba vzít v úvahu možnost střetu zájmů a instituce by měly být vůči zákazníkům transparentní ohledně podmínek těchto produktů a služeb.
- Je nutné mít aktuální informace o vývoji regulace související s vestavěným financováním a zajistit, aby organizace dodržovala všechny příslušné zákony a předpisy.
- Organizace by měla spolupracovat se specializovanými firmami nebo zvážit konzultaci s odborníky v oboru, aby se ujistila, že má znalosti a zdroje k efektivnímu řízení rizik kybernetické bezpečnosti a ochrany soukromí v kontextu vestavěných financí.
Informovanost je také důležitá, protože samotná technologie toho nemůže dosáhnout. Finanční instituce musí začít školit své zaměstnance v oblasti DevSecOps, umělé inteligence, strojového učení a zabezpečení API. V tomto bodě Fortinet zdůrazňuje svůj závazek pomoci odstranit mezeru v kybernetických dovednostech a zvýšit kybernetické povědomí prostřednictvím iniciativy TAA a programů Education Institute.
Buďte první kdo napíše komentář