W ubiegłym roku prezydencja Rady Unii Europejskiej i Parlament Europejski osiągnęły tymczasowe porozumienie w sprawie ustawy o cyfrowej odporności operacyjnej (DORA) w celu poprawy cyberbezpieczeństwa instytucji finansowych w Europie. Gdy system DORA zostanie przyjęty przez kraje UE, firmy finansowe będą musiały zapewnić sobie możliwość przeciwdziałania, reagowania na wszelkie rodzaje zakłóceń i zagrożeń związanych z technologiami informacyjno-komunikacyjnymi (ICT) oraz reagowania na nie, a ostatecznym celem jest zapobieganie zagrożeniom cybernetycznym i łagodzenie ich. Regulacje przyjmują zróżnicowane podejście do regulacji małych, mikro i wzajemnie powiązanych podmiotów.
Testowanie elastyczności
Europejskie Urzędy Nadzoru (ESA), a mianowicie Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) – opracowują „standardy techniczne, które muszą przestrzegać”. Ponadto krytyczni zewnętrzni dostawcy usług ICT, w szczególności dostawcy usług w chmurze dla instytucji finansowych w UE, będą musieli utworzyć spółkę zależną w UE w celu odpowiedniego nadzoru, a audytorzy będą zaangażowani w przyszłe przeglądy rozporządzenia.
Nowe prawo zmusi firmy FSI w UE do przetestowania odporności swoich organizacji; oznacza to, że zasadniczo będą musieli zarządzać ryzykiem i korzystać z ram zarządzania ryzykiem, aby spełnić wymagania DORA. Dlatego zaleca się, aby wszyscy CISO z branży finansowej rozważyli współpracę z dostawcami i partnerami w zakresie cyberbezpieczeństwa, którzy są w pełni na bieżąco z DORA.
Dalsze zalecenia na 2023 r. dla CISO ds. usług finansowych
Podano również inne, bardziej konkretne rekomendacje dla instytucji sektora finansowego planujących rok 2023. CISO (szefowie ds. bezpieczeństwa informacji) pracujący w branży usług finansowych muszą zrozumieć, że rok 2023 nie będzie taki jak 2022; Następują duże zmiany i rośnie ryzyko cybernetyczne.
Zmiana sposobu myślenia na interwencję i powrót do zdrowia
Rośnie liczba oprogramowania ransomware i jest to główny problem wszystkich instytucji, nie tylko finansowych. Tradycyjna mentalność branży usług finansowych brzmi: „Nie, nie chcemy ryzyka”. Do tej pory chodziło o ochronę i wykrywanie. Jednak biorąc pod uwagę charakter dzisiejszego ryzyka cybernetycznego, takie podejście nie jest już realistyczne.
CISO w branży finansowej muszą zrozumieć szybko zmieniający się krajobraz zagrożeń i skoncentrować się na zwiększaniu odporności. Oznacza to, że strategia instytucji sektora finansowego powinna zmienić się z unikania wszelkiego ryzyka na możliwość szybkiego odzyskania sprawności po ataku. W naturalny sposób doprowadzi to do inwestycji w platformy, które umożliwiają takie funkcje, jak wykrywanie i reagowanie na punkty końcowe (EDR), rozszerzone wykrywanie i reagowanie (XDR) oraz orkiestracja, automatyzacja i reagowanie na zagrożenia (SOAR).
Ryzyko związane z wbudowanym finansowaniem
Kolejną kwestią, którą CISO w instytucjach finansowych powinni rozważyć w 2023 r., jest wzrostowy trend finansowania wbudowanego.
Co to są wbudowane finanse?
„Finanse wbudowane to proces integrowania wszystkich usług finansowych w jednym miejscu zamiast zajmowania się tradycyjnymi instytucjami. Oferuje bezpieczny, prosty i skuteczny sposób na zebranie wszystkich usług, z których może korzystać sprzedawca w jednym, łatwym w zarządzaniu modelu. Rozwiązania finansowe można zintegrować z infrastrukturą firmy, ułatwiając dostęp do usług finansowych, takich jak pożyczki, ubezpieczenia lub transakcje płatnicze, bez kierowania ludzi do stron trzecich. Oznacza to mniej aplikacji, z którymi trzeba się bawić, mniej osób zajmujących się pieniędzmi, mniej zmartwień i mniej czasu spędzonego na nadążaniu za logistyką finansową. Zainteresowanie tą branżą gwałtownie wzrosło w ciągu ostatnich kilku lat. Amerykański rynek systemów wbudowanych osiągnął wartość 2020 miliarda dolarów w 22,5 roku i oczekuje się, że do 2025 roku wzrośnie dziesięciokrotnie do 230 miliardów dolarów”. (NCR, 8 sierpnia 2022)
Finanse staną się bardziej powszechne w świecie w 2023 roku i później. Rozważmy na przykład finanse wbudowane, w przypadku których nietradycyjne organizacje wykorzystują produkty finansowe do sprzedaży typu „kup teraz, zapłać później”. Ta metoda zwiększa sprzedaż, ale także zwiększa ryzyko dla organizacji.
Wbudowane finanse są ułatwione dzięki technologii bankowości jako usługi (BaaS) i interfejsowi programowania aplikacji (API). Oczekuje się, że ta metoda przyniesie bankom ponad 2026 miliardów dolarów rocznych przychodów do 25 r., a do 2025 r. banki o ugruntowanej pozycji przeniosą 25 procent dochodów małych i średnich przedsiębiorstw do kanałów zasiedziałych. (Aplikacje wbudowane: nowe przychody i nowe zagrożenia dla banków (garp.org)
W roku 2023 i później CISO w FSI muszą zwrócić szczególną uwagę na następujące kwestie:
- Organizacje muszą zapewnić solidne zasady bezpieczeństwa cybernetycznego i ochrony danych, w tym środki zapobiegające naruszeniom danych i nieautoryzowanemu dostępowi do informacji wrażliwych.
- W przypadku gdy instytucje współpracują z partnerami niefinansowymi, którzy mogą nie mieć takiego samego poziomu wiedzy fachowej lub doświadczenia w zakresie usług finansowych, muszą monitorować potencjalne ryzyko niewłaściwego lub niewłaściwego wykorzystania danych.
- Integrując produkty i usługi finansowe z produktami lub platformami niefinansowymi, należy wziąć pod uwagę potencjalne konflikty interesów, a instytucje powinny w przejrzysty sposób informować klientów o warunkach tych produktów i usług.
- Konieczne jest śledzenie na bieżąco zmian regulacyjnych związanych z wbudowanym finansowaniem i upewnianie się, że organizacja przestrzega wszystkich odpowiednich przepisów ustawowych i wykonawczych.
- Organizacja powinna współpracować ze specjalistycznymi firmami lub rozważyć konsultację z ekspertami w tej dziedzinie, aby upewnić się, że posiada wiedzę i zasoby do skutecznego zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego i prywatności w kontekście wbudowanego finansowania.
Świadomość jest również ważna, ponieważ sama technologia nie może tego osiągnąć. Instytucje finansowe muszą zacząć szkolić swoich pracowników w zakresie DevSecOps, sztucznej inteligencji, uczenia maszynowego i bezpieczeństwa API. W tym momencie Fortinet podkreśla swoje zaangażowanie w pomoc w zlikwidowaniu luki w umiejętnościach cybernetycznych i zwiększeniu świadomości cybernetycznej poprzez inicjatywę TAA i programy Education Institute.
Bądź pierwszy i skomentuj