Πέμπτη 8 Αυγούστου 2024

Ερχεται η DORA: Πώς θα θωρακίσει τράπεζες και ΙΤ επιχειρήσεις - Τα 4+1 οφέλη και τα τσουχτερά πρόστιμα από ΕΕ

Μία ακόμη πρόκληση θα κληθούν να φέρουν εις πέρας οι τράπεζες και οι επιχειρήσεις ΙΤ το αμέσως επόμενο διάστημα, καθώς πολύ σύντομα θα αντιμετωπίσουν σκληρότερο έλεγχο στην από την Ευρωπαϊκή Ένωση (ΕΕ) μέσω της DORA.
Η DORA
H DORA ουσιαστικά δεν είναι τίποτε περισσότερο από τη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), ένα νόμο που ψηφίστηκε πέρυσι, αλλά όλα δείχνουν πως δεν πρόκειται να να εφαρμοστεί μέχρι τον Ιανουάριο του 2025.
Ουσιαστικά η DORA απαιτεί από τράπεζες, ασφαλιστικές και επενδυτικές εταιρείες καθώς και επιχειρήσεις στον κλάδο του ΙΤ να ενισχύσουν την ασφάλεια τους.
Ο κανονισμός της ΕΕ επιδιώκει επίσης να διασφαλίσει ότι ο κλάδος των χρηματοπιστωτικών υπηρεσιών είναι ανθεκτικός σε περίπτωση σοβαρής διακοπής των λειτουργιών.
Τέτοιες διακοπές θα μπορούσαν να περιλαμβάνουν μια επίθεση ransomware που προκαλεί τον τερματισμό των υπολογιστών μιας χρηματοπιστωτικής εταιρείας ή μια επίθεση DDOS (κατανεμημένη άρνηση υπηρεσίας) που αναγκάζει τον ιστότοπο μιας εταιρείας να βγει εκτός σύνδεσης.
Ο κανονισμός επιδιώκει επίσης να βοηθήσει τις εταιρείες να αποφύγουν μεγάλα συμβάντα διακοπών, όπως η ιστορική κατάρρευση συστημάτων τον περασμένο μήνα που προκλήθηκε από την εταιρεία κυβερνοχώρου CrowdStrike.
Στο μέλλον, ένα τέτοιο γεγονός θα εμπίπτει στο είδος της διακοπής της υπηρεσίας που θα αντιμετώπιζε έλεγχο σύμφωνα με τους νέους κανόνες της ΕΕ.
Ο Mike Sleightholme, πρόεδρος της εταιρείας χρηματοοικονομικής τεχνολογίας Broadridge International, σημειώνει ότι ένας σημαντικός παράγοντας της DORA είναι ότι δεν εστιάζει μόνο στο τι κάνουν οι τράπεζες για να διασφαλίσουν την ανθεκτικότητα - εξετάζει επίσης προσεκτικά τους προμηθευτές τεχνολογίας των εταιρειών.
Τι απαιτεί η DORA
Η DORA oυσιαστικα απαιτεί από τις τράπεζες να διεξάγουν αφενός πιο αυστηρή διαχείριση κινδύνων που σχετίζονται με τις δραστηριότητές τους στο κομμάτι της πληροφορικής, των ψηφιακών δοκιμών επιχειρησιακής ανθεκτικότητας, της ανταλλαγής πληροφοριών σχετικά με απειλές και ευπάθειες στον κυβερνοχώρο και αφετέρου να λαμβάνουν μέτρα για τη διαχείριση κινδύνων για τρίτα μέρη.
Υπό αυτό το πρίσμα, οι εταιρείες θα πρέπει να αξιολογήσουν τον «κίνδυνο συγκέντρωσης» τους σε σχέση με την εξωτερική ανάθεση κρίσιμων λειτουργικών λειτουργιών σε τρίτες εταιρείες μιας και αυτοί οι πάροχοι πληροφορικής παρέχουν συχνά «κρίσιμες ψηφιακές υπηρεσίες σε πελάτες», δήλωσε στο CNBC ο Joe Vaccaro, γενικός διευθυντής της εταιρείας παρακολούθησης ποιότητας διαδικτύου που ανήκει στη Cisco, ThousandEyes .
«Αυτοί οι τρίτοι πάροχοι πρέπει τώρα να συμμετέχουν στη διαδικασία δοκιμών και αναφορών, πράγμα που σημαίνει ότι οι εταιρείες χρηματοοικονομικών υπηρεσιών πρέπει να υιοθετήσουν λύσεις που θα τους βοηθήσουν να αποκαλύψουν και να χαρτογραφήσουν αυτές τις μερικές φορές κρυφές εξαρτήσεις με τους παρόχους», δήλωσε ο Vaccaro.
Τα τρίτα μέρη θα πρέπει επίσης να «επεκτείνουν την ικανότητά τους να διασφαλίζουν την παράδοση και την απόδοση των ψηφιακών εμπειριών όχι μόνο στην υποδομή που κατέχουν, αλλά και σε αυτήν που δεν διαθέτουν», πρόσθεσε.
Ο στόχος της DORA
Πρακτικά η DORA στοχεύει να βοηθήσει τις τράπεζες να αποφύγουν περιστατικά όπως η μαζική διακοπή λειτουργιών τον περασμένο μήνα, όταν ένα σφάλμα ενημέρωσης λογισμικού στον πάροχο ασφάλειας CrowdStrike προκάλεσε συντριβή των συστημάτων Microsoft Windows σε αεροδρόμια, νοσοκομεία και εταιρείες χρηματοοικονομικών υπηρεσιών.
Εβδομάδες αργότερα, οι επιπτώσεις από τη διακοπή συνεχίζονται, με την Delta Air Lines - η οποία ακύρωσε περισσότερες από 5.000 πτήσεις μετά τη διακοπή και λέει ότι πρόκειται να χάσει 500 εκατομμύρια δολάρια - να απειλεί νομικά τη δράση κατά της CrowdStrike.
Η CrowdStrike ανταπέδωσε τους ισχυρισμούς της αεροπορικής εταιρείας την Κυριακή (4 Αυγούστου), υποστηρίζοντας ότι ενώ αναλαμβάνει την ευθύνη για τη διακοπή λειτουργίας, δεν αποδέχεται την ευθύνη για τις αποφάσεις πληροφορικής της Delta, σημειώνοντας ότι «οι ανταγωνιστές της Delta, που αντιμετωπίζουν παρόμοιες προκλήσεις, αποκατέστησαν όλες τις λειτουργίες πολύ πιο γρήγορα .»
Όπως έγραψε η PYMNTS νωρίτερα αυτή την εβδομάδα, το περιστατικό υπογραμμίζει τη σημασία τρίτων προμηθευτών όπως οι πάροχοι υπηρεσιών cloud και οι εταιρείες πληροφορικής για τη διατήρηση ανθεκτικών υποδομών.
"Με σύνθετα οικοσυστήματα, έχετε μεγαλύτερο αριθμό συνεργατών από ό,τι ίσως είχατε ιστορικά" στο παρελθόν, δήλωσε στο PYMNTS ο Larson McNeil , συνεπικεφαλής αγορών και ψηφιακών οικοσυστημάτων στην JP Morgan Payments. «Πρέπει να κατανοήσετε τον κλάδο σας και τους διάφορους παίκτες στο οικοσύστημα — και καθώς αυξάνεται η πολυπλοκότητα, πρέπει να κατανοήσετε τον κίνδυνο και τις ευκαιρίες που αυτό δημιουργεί για την επιχείρηση».
Πότε ισχύει ο νόμος;
Το DORA τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, αλλά οι κανόνες δεν θα εφαρμοστούν από τα κράτη μέλη της ΕΕ έως τις 17 Ιανουαρίου 2025. Από την πλευρά της η ΕΕ έχει δώσει προτεραιότητα σε αυτές τις μεταρρυθμίσεις λόγω του τρόπου με τον οποίο ο χρηματοπιστωτικός τομέας εξαρτάται όλο και περισσότερο από εταιρείες τεχνολογίας και τεχνολογίας για την παροχή ζωτικών υπηρεσιών.
Αυτό έχει κάνει τις τράπεζες και άλλους παρόχους χρηματοοικονομικών υπηρεσιών πιο ευάλωτες σε κυβερνοεπιθέσεις και άλλα περιστατικά.
″Υπάρχει μεγάλη εστίαση στη διαχείριση κινδύνων από τρίτους” τώρα, είπε ο Sleightholme στο CNBC. «Οι τράπεζες χρησιμοποιούν τρίτους παρόχους υπηρεσιών για σημαντικά τμήματα της τεχνολογικής τους υποδομής».
«Οι ενισχυμένοι στόχοι χρόνου αποκατάστασης είναι ένα σημαντικό μέρος του. Πραγματικά πρόκειται για την ασφάλεια γύρω από την τεχνολογία, με ιδιαίτερη έμφαση στην ανάκτηση της κυβερνοασφάλειας από κυβερνοεμπορικά γεγονότα», πρόσθεσε.
Πολλές μεταρρυθμίσεις στην ψηφιακή πολιτική της ΕΕ τα τελευταία χρόνια τείνουν να εστιάζουν στις υποχρεώσεις των ίδιων των εταιρειών να διασφαλίζουν ότι τα συστήματα και τα πλαίσια τους είναι αρκετά ισχυρά ώστε να προστατεύονται από επιζήμια γεγονότα όπως η απώλεια δεδομένων σε χάκερ ή μη εξουσιοδοτημένα άτομα και οντότητες.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ, ή αλλιώς GDPR, για παράδειγμα, απαιτεί από τις εταιρείες να διασφαλίζουν ότι ο τρόπος με τον οποίο επεξεργάζονται στοιχεία προσωπικής ταυτοποίησης γίνεται με τη συγκατάθεσή τους και ότι γίνεται με επαρκή προστασία ώστε να ελαχιστοποιηθεί η πιθανότητα έκθεσης τέτοιων δεδομένων σε περίπτωση παραβίασης ή διαρροής .
Η DORA θα επικεντρωθεί περισσότερο στη ψηφιακή αλυσίδα εφοδιασμού των τραπεζών — η οποία αντιπροσωπεύει μια νέα, ενδεχομένως λιγότερο άνετη νομική δυναμική για τις χρηματοπιστωτικές εταιρείες.
Τι γίνεται αν μια επιχείρηση δεν συμμορφωθεί;
Για τις χρηματοπιστωτικές εταιρείες που παραβιάζουν τους νέους κανόνες, οι αρχές της ΕΕ θα έχουν την εξουσία να επιβάλλουν πρόστιμα έως και 2% των ετήσιων παγκόσμιων εσόδων τους.
Οι μεμονωμένοι διαχειριστές μπορούν επίσης να θεωρηθούν υπεύθυνοι για παραβιάσεις. Οι κυρώσεις σε άτομα εντός χρηματοπιστωτικών οντοτήτων θα μπορούσαν να φτάσουν το 1 εκατομμύριο ευρώ (1,1 εκατ. δολάρια).
Για τους παρόχους IT, οι ρυθμιστικές αρχές μπορούν να επιβάλλουν πρόστιμα έως και 1% των μέσων ημερήσιων παγκόσμιων εσόδων κατά το προηγούμενο οικονομικό έτος. Οι εταιρείες μπορούν επίσης να επιβάλλονται καθημερινά πρόστιμα για έως και έξι μήνες έως ότου επιτύχουν τη συμμόρφωση.
Οι εταιρείες πληροφορικής τρίτων που θεωρούνται «κρίσιμες» από τις ρυθμιστικές αρχές της ΕΕ ενδέχεται να αντιμετωπίσουν πρόστιμα έως και 5 εκατομμυρίων ευρώ — ή, στην περίπτωση ενός μεμονωμένου διαχειριστή, έως και 500.000 ευρώ.
Βέναια να σημειωθεί πως τα προαναφερόμενα πρόστιμα είναι λιγότερο αυστηρά από το νόμο GDPR, βάσει του οποίου οι εταιρείες μπορούν να τιμωρηθούν με πρόστιμο έως και 10 εκατομμυρίων ευρώ (10,9 εκατομμύρια δολάρια) ή 4% των ετήσιων παγκόσμιων εσόδων τους - όποιο είναι το υψηλότερο ποσό.
Ο Carl Leonard, υπεύθυνος στρατηγικής για την ασφάλεια στον κυβερνοχώρ στην εταιρεία λογισμικού ασφαλείας Proofpoint, τονίζει ότι οι ποινικές κυρώσεις μπορεί να διαφέρουν από κράτος μέλος σε κράτος μέλος, ανάλογα με το πώς κάθε χώρα της ΕΕ εφαρμόζει τους κανόνες στις αντίστοιχες αγορές της.
Η DORA ζητά επίσης μια «αρχή της αναλογικότητας» όταν πρόκειται για κυρώσεις ως απάντηση σε παραβιάσεις της νομοθεσίας, πρόσθεσε ο Leonard.
Αυτό σημαίνει ότι οποιαδήποτε απάντηση σε νομικές αδυναμίες θα πρέπει να εξισορροπήσει τον χρόνο, την προσπάθεια και τα χρήματα που ξοδεύουν οι εταιρείες για τη βελτίωση των εσωτερικών διαδικασιών και των τεχνολογιών ασφαλείας τους με το πόσο κρίσιμη είναι η υπηρεσία που προσφέρουν και τα δεδομένα που προσπαθούν να προστατεύσουν.
Είναι έτοιμες οι τράπεζες και οι προμηθευτές τους;
Ο Stephen McDermid, επικεφαλής ασφαλείας για την εταιρεία κυβερνοασφάλειας Okta, είπε στο CNBC ότι πολλές εταιρείες χρηματοοικονομικών υπηρεσιών έχουν δώσει προτεραιότητα στη χρήση υπαρχόντων εσωτερικών λειτουργικών ανθεκτικοτήτων και προγραμμάτων κινδύνου τρίτων για να συμμορφωθούν με το DORA και «να εντοπίσουν τυχόν κενά που μπορεί να έχουν».
«Αυτή είναι η πρόθεση της DORA, να δημιουργήσει ευθυγράμμιση πολλών υφιστάμενων προγραμμάτων διακυβέρνησης υπό μια ενιαία εποπτική αρχή και να τα εναρμονίσει σε ολόκληρη την ΕΕ», πρόσθεσε.
Ο Fredrik Forslund, αντιπρόεδρος και γενικός διευθυντής της διεθνούς εταιρείας απολύμανσης δεδομένων Blancco, προειδοποίησε ότι παρόλο που οι τράπεζες και οι προμηθευτές τεχνολογίας έχουν σημειώσει πρόοδο προς τη συμμόρφωση με την DORA, υπάρχει ακόμη «δουλειά που πρέπει να γίνει».
Σε μια κλίμακα από το ένα έως το 10 - με την τιμή το ένα να αντιπροσωπεύει τη μη συμμόρφωση και το 10 να αντιπροσωπεύει την πλήρη συμμόρφωση - ο Forslund είπε, ”Είμαστε στο 6 και προσπαθούμε να φτάσουμε στο 7″.
«Γνωρίζουμε ότι πρέπει να είμαστε στις 10 μέχρι τον Ιανουάριο», είπε, προσθέτοντας ότι «δεν θα είναι όλοι εκεί μέχρι τον Ιανουάριο».
Οι 4+1 θετικές επιπτώσεις της DORA
Η εφαρμογή της DORA αναμένεται να έχει σημαντικές επιπτώσεις στο τραπεζικό σύστημα και στον ευρύτερο χρηματοπιστωτικό τομέα με τους εξής τρόπους:
1. Ενίσχυση της Ασφάλειας και της Ανθεκτικότητας:
Η DORA απαιτεί από τις τράπεζες και άλλους χρηματοπιστωτικούς οργανισμούς να υιοθετήσουν αυστηρά μέτρα για την αντιμετώπιση των ψηφιακών κινδύνων. Οι τράπεζες θα πρέπει να διασφαλίσουν την ανθεκτικότητα των συστημάτων τους απέναντι σε απειλές όπως κυβερνοεπιθέσεις, τεχνικές βλάβες και φυσικές καταστροφές. Αυτό θα βελτιώσει την ασφάλεια των τραπεζικών συστημάτων και θα μειώσει τον κίνδυνο διακοπών στις υπηρεσίες που παρέχουν.
2. Βελτίωση της Διαχείρισης Κινδύνων:
Η DORA απαιτεί από τις τράπεζες να εφαρμόσουν ενισχυμένες διαδικασίες για την ανίχνευση, διαχείριση και αποκατάσταση από ψηφιακούς κινδύνους. Αυτό περιλαμβάνει την παρακολούθηση και τον έλεγχο των τρίτων μερών που συνεργάζονται με τις τράπεζες, όπως οι πάροχοι υπηρεσιών cloud. Έτσι, οι τράπεζες θα μπορούν να ανταποκρίνονται πιο αποτελεσματικά σε περιστατικά και να μειώνουν την πιθανότητα σοβαρών επιπτώσεων.
3. Διαφάνεια και Αναφορά Περιστατικών:
Οι τράπεζες θα είναι υποχρεωμένες να αναφέρουν σημαντικά περιστατικά ψηφιακής ανθεκτικότητας στις αρμόδιες αρχές, κάτι που θα συμβάλλει στη συλλογή δεδομένων για την καλύτερη κατανόηση και αντιμετώπιση των ψηφιακών κινδύνων σε επίπεδο αγοράς. Αυτό θα επιτρέψει στις ρυθμιστικές αρχές να έχουν μια καλύτερη εικόνα των προκλήσεων που αντιμετωπίζει ο τομέας και να λάβουν μέτρα όπου χρειάζεται.
4. Προώθηση της Καινοτομίας με Ασφάλεια:
Η DORA θα βοηθήσει το τραπεζικό σύστημα να υιοθετήσει νέες τεχνολογίες, όπως το fintech, με ασφαλή τρόπο. Με την ύπαρξη ενός σαφούς ρυθμιστικού πλαισίου, οι τράπεζες θα μπορούν να πειραματίζονται και να εφαρμόζουν καινοτόμες λύσεις χωρίς να διακινδυνεύουν την ψηφιακή τους ασφάλεια.
5. Συνεργασία και Συντονισμός:
Η DORA θα προωθήσει την συνεργασία μεταξύ των χρηματοπιστωτικών ιδρυμάτων και των ρυθμιστικών αρχών σε θέματα ψηφιακής ασφάλειας. Αυτή η συνεργασία θα βελτιώσει τον συντονισμό στην αντιμετώπιση ψηφιακών απειλών, καθιστώντας τις τράπεζες πιο προετοιμασμένες και ανθεκτικές.
Με αυτούς τους τρόπους, η DORA θα ενισχύσει τη συνολική σταθερότητα και ασφάλεια του τραπεζικού συστήματος, διασφαλίζοντας ότι οι τράπεζες μπορούν να συνεχίσουν να παρέχουν τις υπηρεσίες τους με ασφάλεια και αποτελεσματικότητα, ακόμη και σε περιόδους ψηφιακών προκλήσεων.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Σχόλια
Δεν βρέθηκαν σχόλια γι'αυτό το άρθρο.
Γίνε ο πρώτος που θα σχολιάσει το άρθρο χρησιμοποιώντας την παρακάτω φόρμα