Компаниите за финансови услуги и техните доставчици на цифрови технологии са подложени на силен натиск да постигнат съответствие със строгите нови правила на ЕС, които изискват от тях да повишат своята киберустойчивост.

До началото на следващата година организациите, които предлагат финансови услуги, и техните доставчици на технологии ще трябва да се уверят, че отговарят на изискванията на нов закон, известен като DORA, или Закон за цифровата оперативна устойчивост (Digital Operational Resilience Act).

Какво представлява той? Защо е важен? Какво правят банките, за да са сигурни, че са подготвени за него?

Какво е DORA?

DORA изисква от банките, застрахователните и инвестиционните дружества да засилят своята ИТ сигурност. Регламентът на ЕС също така има за цел да гарантира, че секторът на финансовите услуги е устойчив в случай на сериозно прекъсване на дейността.

Такива прекъсвания могат да включват атака с цел получаване на откуп, която води до спиране на компютрите на финансовата компания, или DDoS (разпределена атака за отказ на услуга), която вади от строя уебсайта на компанията.

Регламентът също така има за цел да помогне на организациите да избегнат големи прекъсвания на работата, като историческия срив, причинен миналия месец от доставчикът на киберсигурност CrowdStrike, при който обикновена софтуерна актуализация доведе до срив на операционната система Windows на Microsoft. По време на срива множество банки и инвестиционни дружества - от JPMorgan Chase и Santander до Visa и Charles Schwab - не можеха да предоставят услуги, а възстановяването им отне няколко часа. В бъдеще подобно събитие би попаднало в обхвата на новоприетите правила на ЕС.

Провалът на CrowdStrike и следващият глобален ИТ срив, който вече се подготвя

Майк Слийтхолм, президент на финтех компанията Broadridge International, отбелязва пред CNBC, че отличителен белег на DORA е, че той не се фокусира само върху това, което банките правят, за да осигурят устойчивост, а внимателно разглежда и техните доставчици на технологии.

Съгласно DORA финансовите компании ще трябва да предприемат стриктно управление на ИТ риска, управление на инциденти, класификация и докладване, тестване на цифровата оперативна устойчивост, обмен на информация и разузнавателни данни във връзка с киберзаплахите и уязвимостите, както и мерки за управление на рисковете от трети страни.

От финансовите доставчици ще се изисква да извършват оценки на "риска от концентрация", свързан с възлагането на критични или важни оперативни функции на външни компании.

„Тези ИТ доставчици често предоставят критични цифрови услуги на клиентите си", посочва Джо Вакаро, генерален мениджър на притежаваната от Cisco компания за мониторинг на качеството на интернет ThousandEyes. "Тези външни доставчици сега трябва да бъдат част от процеса на тестване и отчитане. Това означава, че компаниите за финансови услуги трябва да приемат решения, които им помагат да открият и картографират тези понякога скрити зависимости от доставчиците“.

По думите му банките също така ще трябва да "разширят възможностите си за гарантиране на доставката и изпълнението на цифровите преживявания не само в инфраструктурата, която притежават, но и в тази, която не притежават".

Кога ще започне да се прилага законът?

DORA влезе в сила на 16 януари 2023 г., но правилата няма да бъдат прилагани от държавите членки на ЕС, до 17 януари 2025 г.

ЕС приоритизира тези реформи, тъй като финансовият сектор е все по-зависим от технологиите и технологичните компании за предоставяне на жизненоважни услуги. Това прави банките и другите доставчици на финансови услуги по-уязвими към кибератаки и други инциденти.

"Сега се обръща голямо внимание на управлението на риска от трети страни", акцентира Слийтхолм. "Банките използват доставчици на услуги от трети страни за важни части от технологичната си инфраструктура. Целите за подобряване на времето за възстановяване са важна част. Наистина става въпрос за сигурността около технологиите, като се обръща специално внимание на възстановяването на киберсигурността при пробиви“.

Microsoft обвини ЕС за най-тежкия ИТ срив в света

Много от реформите в областта на цифровата политика на ЕС от последните няколко години обикновено се съсредоточават върху задълженията на самите дружества да се уверят, че техните системи и рамки са достатъчно надеждни, за да се предпазят от вредни събития като загуба на данни заради хакери или неоторизирани физически и юридически лица.

Общият регламент за защита на данните на ЕС - GDPR, например изисква от дружествата да гарантират, че начинът, по който обработват информация, позволяваща идентифициране на лица, се извършва със съгласие и че тя е достатъчно защитена, за да се сведе до минимум възможността да бъде изложена на риск при пробив или изтичане.

DORA ще се фокусира повече върху цифровата верига на доставки на банките - което представлява нова, потенциално по-неудобна правна динамика за финансовите организации.

Какво ще стане, ако дадена компания не успее да отговори на изискванията?

За финансовите компании, които не спазват новите правила, органите на ЕС ще имат право да налагат глоби в размер до 2% от годишните им глобални приходи.

Отделни ръководители също могат да бъдат подведени под отговорност за нарушения. Санкциите за физически лица във финансови институции могат да достигнат до 1 милион евро.

За доставчиците на ИТ услуги регулаторните органи могат да наложат глоби в размер до 1% от среднодневните глобални приходи за предходната стопанска година. Те могат също така да бъдат глобявани всеки ден в продължение на до шест месеца, докато постигнат съответствие.

Доставчиците от трети страни в областта на ИТ, считани от регулаторите на ЕС за "критични", могат да бъдат глобени с до 5 млн. евро, а когато глобата е насочена към конкретен мениджър - с максимум 500 000 евро.

Това са молко по-ниски потенциални глоби от тези по GDPR, където компаниите могат да бъдат глобени с до 10 млн. евро или 4% от годишните им глобални приходи - в зависимост от това коя от двете суми е по-висока.

Карл Леонард, стратег по киберсигурност за региона на Европа, Близкия изток и Африка (EMEA) в компанията за софтуер за сигурност Proofpoint, подчертава, че наказателните санкции могат да варират в различните държави членки в зависимост от това как всяка от тях прилага правилата на съответните си пазари.

„DORA също така призовава за "принцип на пропорционалност", когато става въпрос за санкции в отговор на нарушения на законодателството“, добавя Леонард.

Това означава, че всеки отговор на законовите пропуски ще трябва да балансира времето, усилията и парите, които организациите изразходват за подобряване на вътрешните си процеси и технологиите за сигурност, спрямо това колко критична е услугата, която предлагат, и какви данни се опитват да защитят.

Киберсигурност в ерата на дълбоките фалшификати

Готови ли са банките и техните доставчици?

Стивън Макдърмид, главен директор по сигурността за EMEA в компанията за киберсигурност Okta, обяснява пред CNBC, че много компании за финансови услуги са дали приоритет на използването на съществуващите програми за вътрешна оперативна устойчивост и риск от трети страни, за да се приведат в съответствие с DORA и "да идентифицират всички пропуски, които може да имат".

"Това е намерението на DORA - да създаде съответствие на много съществуващи програми за управление под един надзорен орган и да ги хармонизира в целия ЕС", добавя той.

Фредрик Форслунд, вицепрезидент и генерален мениджър за международната дейност в компанията за саниране на данни Blancco, предупреждава, от своя страна, че макар банките и доставчиците на технологии да са постигнали напредък в спазването на DORA, все още има "какво да се направи".

По скалата от 1 до 10, където 1 означава несъответствие, а 10 - пълно съответствие, Форслунд казва: "Ние сме на 6 и се борим да стигнем до 7. Знаем, че до януари трябва да сме на 10, но не всички ще успеят“.