Компаниите за финансови услуги и техните доставчици на цифрови технологии са подложени на сериозен натиск да постигнат съответствие със строгите нови правила на ЕС, които изискват те да повишат своята киберустойчивост.

До началото на следващата година, компаниите за финансови услуги и техните технологични доставчици трябва да отговарят на изискванията на новия Закон за цифровата оперативна устойчивост (DORA) на ЕС.

Какво е DORA, защо това законодателство е важно и какво правят банките, за да си гарантират, че ще са подготвени за него.

Какво е DORA?

DORA изисква банките, застрахователните и инвестиционните компании да подсилят своята IT сигурност. Регламентът на ЕС също така иска да гарантира, че индустрията на финансовите услуги е устойчива в случай на сериозно нарушение на дейността.

Подобни нарушения биха могли да включва рансъмъуер атаки, които водят до спиране на работата на компютрите на финансова компания или атака за отказа на услуга (DDOS), която изважда от строя уебсайта на компания.

Този регламент също така има за цел да помогне на компаниите да избягват големи прекъсвания на дейността, както по време на историческия IT срив през миналия месец, причинен от компанията за киберсигурност CrowdStrike, когато обикновена софтуерна актуализация доведе до срив на операционната система Microsoft Windows.

Множество банки, компании за разплащания и инвестиционни компании, от JPMorgan Chase и Santander до Visa и Charles Schwab, не можеха да предоставят услуги заради срива. На тези компании им бяха необходими няколко часа, за да възстановят услугите за клиентите.

В бъдеще подобно събитие би попаднало в типа прекъсване на услугата, което ще подлежи на проверка съгласно предстоящите нови правила в ЕС.

Отличителният фактор при DORA е, че не се фокусира само върху това какво правят банките, за да гарантират устойчивостта си, а също така разглежда отблизо и техните технологични доставчици, казва пред CNBC Майк Слайтхолм, президент на финтех компанията Broadridge International.

Съгласно изискванията на DORA, от банките ще трябва да предприемат стриктно управление на IT риска, управление на инцидентите, класификация и отчитане, тестване на цифровата оперативна устойчивост, споделянето на информация и сведения във връзка с кибератаки и уязвимости и мерки за управление на риска, свързани с трети страни.

От компаниите ще се изисква да правят оценки на “риска от концентрация”, свързан с възлагането на критични или важни оперативни функции на външни компании.

Тези IT доставчици, често предлагат “критично важни цифрови услуги на клиенти,” казва Джо Вакаро, генерален мениджър на притежаваната от Cisco компания за мониторинг на интернет качеството ThousandEyes.

“Тези доставчици трети страни вече трябва да бъдат част от процеса по тестване и докладване, което означава, че компаниите за финансови услуги трябва да приемат решения, които им помагат да разкриват тези понякога скрити зависимости между тях и доставчиците,” казва той.

Банките също така ще трябва да “разширят способността си да гарантират предоставянето и качеството на дигитални цифрови изживявания не само за инфраструктура, която притежават, но и за такава, която не е тяхна собственост,” допълва Вакаро.

Откога ще се прилага законът?

DORA влезе в сила на 16 януари 2023 г., но свързаните с него правила няма да бъдат прилагани от страните членки на ЕС до 17 януари 2025 г.

ЕС дава приоритет на тези реформи заради това, че финансовият сектор е все по-зависим от технологиите и технологичните компании за предоставянето на важни услуги. Това направи банките и други компании за финансови услуги по-уязвими на кибератаки и други инциденти.

“Голяма част от фокуса е върху управлението на риска, свързан с трети страни”, казва Слайтхолм. “Банките използват доставчици на услуги трети страни за важни части от своята технологична инфраструктура.”

Много реформи на цифровата политика в ЕС през последните годни се фокусират върху задължения на самите компании, за да гарантират, че техните системи и рамки са достатъчно стабилни, за да предпазват от събития като загуба на данни в полза на хакери или неоторизирани лица.

Общият регламент за защита на данните (GDPR) на ЕС, например, изисква компаниите да гарантират, че начинът, по който обработват личните данни се прави със съгласието на потребителите и с достатъчно защити, за да се сведе до минимум вероятността тази информация да бъде разкрита при технологичен пробив или изтичане на данни.

DORA ще се фокусира повече върху веригата на доставки на банките, което представлява нова, потенциално по-неудобна правна динамика за финансовите компании.

Какво ще следва, ако дадена компания не отговаря на изискванията?

При финансовите компании, които не спазват новите правила, ЕС ще може да налага глоби в размер на до 2% от техните глобални годишни приходи.

Отговорност за нарушения ще може да се търси и от отделни мениджъри. Санкциите на физически лица във финансови организации може да достигат 1 млн. евро.

При доставчиците на IT услуги, регулаторните органи ще могат да налагат глоби в размер на до 1% от средните дневни глобални приходи за предходната финансова година. Компаниите също така може да бъдат глобявани всеки ден в продължение на до 6 месеца, докато не приведат дейността си в съответствие с изискванията.

IT компаниите трети страни, определяни като “критично важни” от страна на регулаторните органи на ЕС, може да бъдат заплашени от глоби в размер на до 5 млн. евро, или в случая на отделен мениджър – максимум 500 000 евро.

Санкциите не са толкова строги, както при GDPR, където компании може да бъдат глобявани с до 10 млн. евро или 4% от глобалните им годишни проходи в зависимост от това кое от двете е по-голямата сума.

Наказателните санкции може да варират в различните държави в зависимост от това как всяка страна прилага правилата на своя пазар, казва Карл Леонард, анализатор киберсигурност в софтуерната компания Proofpoint.

DORA също така призовава за “принципа на пропорционалност”, когато става въпрос за наказания в отговор на нарушения на законодателството, допълва Леонард.

Това означава, че всяка реакция на правните пропуски ще трябва да балансира времето, усилията и парите, които компаниите харчат за подсилване на техните вътрешни процеси и технологии за сигурност съгласно това колко критична е услугата, която предлагат и какви данни се опитват да защитят.

Готови ли са банките и техните доставчици?

Много компании за финансови услуги дават приоритет на използването на съществуващата вътрешна оперативна устойчивост и програми за рисковете от трети страни, за да постигнат съответствие с изискванията на DORA и да “установят евентуални пропуски, които имат”, казва Стивън Макдърмид, главен служител по сигурността за Европа, Близкия изток и Африка в компанията за киберсигурност Okta.

“Това е намерението на DORA - да постигне съответствие на много съществуващи програми за управление под един надзорен орган и да ги хармонизира в ЕС”, допълва той.

Банките и технологичните компании отчитат напредък по отношение на постигането на съответствие с изискванията на DORA, но все още “има работа за вършене”, предупреждава Фредрик Форслунд, президент и генерален мениджър на компанията за изтриване на данни Blancco.

Форслунд казва, че по скала от 1 до 10, където 1 представлява несъответствие, а 10 пълно съответствие “в момента сме на ниво 6 и се борим да достигнем до 7.”

“Знаем какво трябва да сме свършили за оценка 10 до януари, но не всички ще са готови дотогава”, допълва той. 

Новините на Darik Business Review във Facebook , Instagram , LinkedIn и Twitter !