Euroopan unionin neuvoston puheenjohtajavaltio ja Euroopan parlamentti pääsivät viime vuonna väliaikaiseen sopimukseen Digital Operational Resilience Actista (DORA), jolla parannetaan rahoituslaitosten kyberturvallisuutta Euroopassa. Kun DORA on otettu käyttöön EU-maissa, rahoitusyritysten on varmistettava, että ne voivat torjua kaikenlaisia tieto- ja viestintätekniikan (ICT) häiriöitä ja uhkia, reagoida niihin ja toipua niistä. Lopullisena tavoitteena on ehkäistä ja lieventää kyberuhkia. Sääntelyssä sovelletaan eriytettyä lähestymistapaa pienten, mikroyritysten ja toisiinsa liittyvien yksiköiden sääntelyyn.
Testaa joustavuutta
Euroopan valvontaviranomaiset (ESA), eli Euroopan pankkiviranomainen (EBA), Euroopan arvopaperimarkkinaviranomainen (ESMA) ja Euroopan vakuutus- ja työeläkeviranomainen (EIOPA) kehittävät "teknisiä standardeja, jotka kaikkien rahoituspalvelulaitosten on noudattaa". Lisäksi kriittisten kolmannen osapuolen ICT-palveluntarjoajien, erityisesti EU:n rahoituslaitosten pilvipalveluntarjoajien, on perustettava EU:hun tytäryhtiö asianmukaista valvontaa varten, ja tilintarkastajat otetaan mukaan asetuksen tuleviin tarkistuksiin.
Uusi laki pakottaa FSI-yritykset EU:ssa testaamaan organisaatioidensa kestävyyttä; Toisin sanoen heidän on periaatteessa hallittava riskejä ja käytettävä riskienhallintakehystä DORAn vaatimusten täyttämiseksi. Siksi on suositeltavaa, että kaikki rahoitusalan CISO:t harkitsevat yhteistyötä kyberturvallisuustoimittajien ja kumppaneiden kanssa, jotka ovat täysin ajan tasalla DORAsta.
Vuoden 2023 lisäsuosituksia rahoituspalveluiden CISO:ille
Myös muita konkreettisempia suosituksia annetaan vuotta 2023 suunnitteleville finanssialan laitoksille. Rahoituspalvelualalla työskentelevien CISO:n (Heads of Information Security) on ymmärrettävä, että vuosi 2023 ei ole kuin vuosi 2022; Suuria muutoksia tapahtuu ja kyberriski kasvaa.
Siirtyminen interventio- ja toipumisajatteluun
Kiristyshaittaohjelmien määrä on lisääntynyt, ja tämä on kaikkien laitosten, ei vain rahoituslaitosten, tärkein ongelma. Perinteisesti rahoituspalvelualan mentaliteetti on: "Ei, emme halua riskejä." Tähän asti kaikki on ollut suojasta ja havaitsemisesta. Nykyisen kyberriskin luonteen vuoksi tämä lähestymistapa ei kuitenkaan ole enää realistinen.
Rahoitusalan CISO:n on ymmärrettävä nopeasti muuttuva uhkakuva ja keskityttävä olemaan joustavampia. Tämä tarkoittaa, että rahoitusalan laitoksen strategian tulisi siirtyä kaikkien riskien välttämisestä hyökkäyksestä nopeaan toipumiseen. Tämä johtaa luonnollisesti investointeihin alustoihin, jotka mahdollistavat toiminnot, kuten päätepisteiden havaitsemisen ja vastauksen (EDR), laajennetun havaitsemisen ja vastauksen (XDR) sekä turvajärjestelyn, automaation ja vasteen (SOAR).
Sulautetun rahoituksen riskit
Toinen rahoituslaitosten CISO:n huomioitava asia vuonna 2023 on sulautetun rahoituksen nouseva trendi.
Mitä on sulautettu rahoitus?
”Sulutettu rahoitus on prosessi, jossa kaikki rahoituspalvelut integroidaan yhteen paikkaan perinteisten instituutioiden sijaan. Se tarjoaa turvallisen, yksinkertaisen ja tehokkaan tavan koota kaikki jälleenmyyjän käytettävissä olevat palvelut yhteen, helposti hallittavaan malliin. Rahoitusratkaisuja voidaan integroida yrityksen infrastruktuuriin, mikä helpottaa rahoituspalvelujen, kuten lainananto-, vakuutus- tai maksutapahtumien saatavuutta, ohjaamatta ihmisiä kolmannen osapuolen kohteisiin. Tämä tarkoittaa sitä, että vähemmän sovelluksia, joiden kanssa selata, vähemmän ihmisiä, jotka käsittelevät rahaa, vähemmän huolta ja vähemmän aikaa, joka kuluu talouslogistiikan perässä. Kiinnostus tätä alaa kohtaan on kasvanut nopeasti viime vuosina. Yhdysvaltain sulautettujen rahoitusmarkkinoiden arvo saavutti 2020 miljardia dollaria vuonna 22,5, ja sen odotetaan kasvavan kymmenkertaiseksi 2025 miljardiin dollariin vuoteen 230 mennessä. (NCR, 8. elokuuta 2022)
Rahoitus tulee vallitsevammaksi vuonna 2023 ja sen jälkeen. Harkitse esimerkiksi sulautettua rahoitusta, jossa ei-perinteiset organisaatiot käyttävät rahoitustuotteita "osta nyt maksa myöhemmin" -myynnissä. Tämä menetelmä lisää myyntiä, mutta lisää myös organisaatioiden riskiä.
Sulautettua rahoitusta helpottavat pankkitoiminta palveluna (BaaS) ja sovellusohjelmointirajapinta (API). Tämän menetelmän odotetaan tuottavan yli 2026 miljardia dollaria vuosituloja pankeille vuoteen 25 mennessä, ja vuoteen 2025 mennessä vakiintuneet pankit siirtävät 25 prosenttia pienten ja keskisuurten yritysten tuloista vakiintuneisiin kanaviin. (Suputetut sovellukset: uusia tuloja ja uusia riskejä pankeille (garp.org)
Vuonna 2023 ja sen jälkeen FSI:n CISO:n on kiinnitettävä erityistä huomiota seuraaviin:
- Organisaatioiden on varmistettava, että niillä on vankat kyberturvallisuus- ja tietosuojakäytännöt, mukaan lukien toimenpiteet, joilla estetään tietosuojaloukkaukset ja luvaton pääsy arkaluonteisiin tietoihin.
- Kun laitokset työskentelevät muiden kuin finanssialan kumppaneiden kanssa, joilla ei välttämättä ole samantasoista asiantuntemusta tai kokemusta rahoituspalveluista, niiden on seurattava mahdollisia tietojen väärinkäytön riskejä.
- Kun rahoitustuotteita ja -palveluita integroidaan muihin kuin rahoitustuotteisiin tai -alustoihin, eturistiriitojen mahdollisuus olisi otettava huomioon ja laitosten olisi kerrottava asiakkaille avoimesti kyseisten tuotteiden ja palvelujen ehdoista.
- On tarpeen pysyä ajan tasalla sulautetun rahoituksen sääntelyn kehityksestä ja varmistaa, että organisaatio noudattaa kaikkia asiaankuuluvia lakeja ja määräyksiä.
- Organisaation tulee tehdä yhteistyötä asiantuntijayritysten kanssa tai harkita alan asiantuntijoiden kuulemista varmistaakseen, että sillä on tiedot ja resurssit kyberturvallisuus- ja tietosuojariskien tehokkaaseen hallintaan sulautetun rahoituksen yhteydessä.
Tietoisuus on myös tärkeää, koska teknologia ei yksin pysty tähän. Rahoituslaitosten on alettava kouluttaa työntekijöitään DevSecOpsiin, tekoälyyn, koneoppimiseen ja API-tietoturvaan. Tässä vaiheessa Fortinet korostaa sitoutumistaan auttaa kuromaan kybertaitojen kuilua ja lisäämään kybertietoisuutta TAA-aloitteen ja Education Institute -ohjelmien kautta.
Ole ensimmäinen, joka kommentoi