Möödunud aastal jõudsid Euroopa Liidu Nõukogu eesistujariik ja Euroopa Parlament vahekokkuleppele digitaalse töökindluse seaduse (Digital Operational Resilience Act, DORA) osas, et parandada finantsasutuste küberturvalisust Euroopas. Kui ELi riigid võtavad DORA kasutusele, peavad finantsettevõtted tagama, et nad suudavad tõrjuda igat tüüpi info- ja kommunikatsioonitehnoloogia (IKT) häireid ja ohte, neile reageerida ja neist taastuda, eesmärgiga ennetada ja leevendada küberohte. Reguleerimisel kasutatakse väikeste, mikro- ja omavahel seotud üksuste reguleerimisel diferentseeritud lähenemisviisi.
Paindlikkuse testimine
Euroopa järelevalveasutused (ESA), nimelt Euroopa Pangandusjärelevalve (EBA), Euroopa Väärtpaberiturujärelevalve (ESMA) ning Euroopa Kindlustus- ja Tööandjapensionide Järelevalve Asutus (EIOPA) töötavad välja „tehnilisi standardeid, mida kõik finantsteenuste asutused peavad täitma”. Lisaks peavad olulised kolmandast osapoolest IKT-teenuste pakkujad, eelkõige ELi finantsasutuste pilveteenuse pakkujad, looma ELis tütarettevõtte, et teostada asjakohast järelevalvet, ning määruse tulevastesse läbivaatamisse kaasatakse audiitorid.
Uus seadus sunnib FSI ettevõtteid ELis testima oma organisatsioonide vastupidavust; see tähendab, et nad peavad põhimõtteliselt juhtima riske ja kasutama riskijuhtimise raamistikku, et täita DORA nõudmisi. Seetõttu on kõigil finantssektori CISOdel soovitatav kaaluda koostööd küberturbe tarnijate ja partneritega, kes on DORAga täielikult kursis.
Täiendavad 2023. aasta soovitused finantsteenuste CISOdele
2023. aastat planeerivatele finantssektori asutustele antakse ka muid konkreetsemaid soovitusi. Finantsteenuste sektoris töötavad CISO-d (infoturbe juhid) peavad mõistma, et 2023. aasta ei ole nagu 2022; Toimuvad suured muutused ja küberrisk suureneb.
Üleminek sekkumise ja taastumise mõtteviisile
Lunavara on sagenenud ja see on kõigi institutsioonide, mitte ainult finantsasutuste peamine probleem. Traditsiooniliselt on finantsteenuste sektori mentaliteet: "Ei, me ei taha riske." Siiani on see kõik olnud kaitsmise ja tuvastamise küsimus. Arvestades küberriski tänast olemust, ei ole selline lähenemine aga enam realistlik.
Finantssektori CISO-d peavad mõistma kiiresti muutuvat ohumaastikku ja keskenduma vastupidavusele. See tähendab, et finantssektori asutuse strateegia peaks nihkuma kõigi riskide vältimise püüdest rünnakust kiirele taastumisele. See toob loomulikult kaasa investeeringud platvormidesse, mis võimaldavad selliseid funktsioone nagu lõpp-punkti tuvastamine ja reageerimine (EDR), laiendatud tuvastamine ja reageerimine (XDR) ning turbe korraldamine, automatiseerimine ja reageerimine (SOAR).
Varjatud finantseerimisega kaasnevad riskid
Teine probleem, mida finantsasutuste CISOd 2023. aastal peaksid kaaluma, on varjatud rahanduse kasvav trend.
Mis on manustatud rahandus?
„Varjatud rahandus on protsess, mille käigus integreeritakse kõik finantsteenused ühte kohta, selle asemel, et tegeleda traditsiooniliste institutsioonidega. See pakub ohutut, lihtsat ja tõhusat viisi, kuidas koondada kõik teenused, mida jaemüüja saab kasutada, ühte ja hõlpsasti hallatavasse mudelisse. Finantslahendusi saab integreerida ettevõtte infrastruktuuri, hõlbustades juurdepääsu finantsteenustele, nagu laenamine, kindlustus või maksetehingud, ilma inimesi suunamata kolmandate isikute sihtkohtadesse. See tähendab, et vähem rakendusi, millega segada, vähem inimesi, kes tegelevad rahaga, vähem muretsemisega ja vähem aega, mis kulub finantslogistikaga kursis hoidmisele. Huvi selle valdkonna vastu on viimastel aastatel kiiresti kasvanud. USA sisseehitatud finantsturu maht ulatus 2020. aastal 22,5 miljardi dollarini ja peaks 2025. aastaks kasvama kümme korda 230 miljardi dollarini. (NCR, 8. august 2022)
Rahandus muutub maailmas 2023. aastal ja pärast seda enam valdavaks. Näiteks kaaluge manustatud finantseerimist, kus mittetraditsioonilised organisatsioonid kasutavad finantstooteid müügiks „osta kohe, maksa hiljem”. See meetod suurendab müüki, kuid suurendab ka organisatsioonide riski.
Manustatud finantseerimist hõlbustavad pangandus kui teenus (BaaS) ja rakendusliidese (API) tehnoloogiad. See meetod peaks 2026. aastaks tooma pankadele aastaks rohkem kui 25 miljardit dollarit tulu ning 2025. aastaks suunavad turgu valitsevad pangad 25 protsenti väikeste ja keskmise suurusega ettevõtete tulust turgu valitsevatele kanalitele. (Manustatud rakendused: uus tulu ja uued riskid pankadele (garp.org)
Aastal 2023 ja pärast seda peavad FSI CISOd pöörama erilist tähelepanu järgmisele:
- Organisatsioonid peavad tagama, et neil on tugev küberjulgeoleku- ja andmekaitsepoliitika, sealhulgas meetmed andmetega seotud rikkumiste ja volitamata juurdepääsu vältimiseks tundlikule teabele.
- Kui asutused teevad koostööd mittefinantspartneritega, kellel ei pruugi olla samasuguseid teadmisi või kogemusi finantsteenuste vallas, peavad nad jälgima võimalikke andmete väärkasutuse riske.
- Finantstoodete ja -teenuste integreerimisel mittefinantstoodetesse või -platvormidesse tuleks arvesse võtta huvide konflikti võimalust ning asutused peaksid olema klientide jaoks läbipaistvad nende toodete ja teenuste tingimuste osas.
- Tuleb olla kursis manustatud finantseerimisega seotud regulatiivsete arengutega ja tagada, et organisatsioon järgiks kõiki asjakohaseid seadusi ja määrusi.
- Organisatsioon peaks tegema koostööd spetsialiseerunud ettevõtetega või kaaluma konsulteerimist valdkonna ekspertidega, et tagada, et tal on teadmised ja ressursid küberturvalisuse ja privaatsusriskide tõhusaks juhtimiseks manustatud finantseerimise kontekstis.
Teadlikkus on oluline ka seetõttu, et tehnoloogia üksi seda ei saavuta. Finantsasutused peavad hakkama oma töötajaid koolitama DevSecOpsi, tehisintellekti, masinõppe ja API turvalisuse alal. Siinkohal rõhutab Fortinet oma pühendumust küberoskuste puudujäägi kaotamisele ja küberteadlikkuse suurendamisele TAA algatuse ja haridusinstituudi programmide kaudu.
Ole esimene, kes kommenteerib