Penktadienį oficialiai įsigaliojo griežtos naujos Europos Sąjungos taisyklės, pagal kurias reikalaujama, kad bankai sustiprintų savo kibernetinio saugumo sistemas, tačiau daugelis bloko finansinių paslaugų įmonių dar nevisiškai laikosi šių taisyklių.
ES Skaitmeninio operacinio atsparumo akte (angl. Digital Operational Resilience Act, DORA) reikalaujama, kad tiek finansinių paslaugų įmonės, tiek jų technologijų tiekėjai sustiprintų savo IT sistemas ir užtikrintų, kad pramonė būtų atspari kibernetinės atakos ar kitokio pobūdžio sutrikimų atveju. Jis įsigaliojo sausio 17 d.
Už naujojo teisės akto pažeidimus gali būti skiriamos didelės baudos. Finansinių paslaugų įmonėms, pažeidusioms naująsias taisykles, gali grėsti iki 2 % metinių pasaulinių pajamų siekiančios baudos. Atskiri vadovai taip pat gali būti patraukti atsakomybėn už pažeidimus ir jiems gali būti taikomos iki 1 mln. eurų (1 mln. JAV dolerių) siekiančios sankcijos.
Pasak IT milžinės „Cisco“ vyriausiojo privatumo pareigūno ir vyriausiojo patarėjo pavaduotojo Harvio Jango, kol kas finansinių paslaugų įmonės nevienodai laikosi naujųjų taisyklių.
„Manau, kad kol kas matome nevienareikšmius rezultatus, – interviu CNBC sakė H. Jangas. „Žinoma, brandesnio etapo įmonės toliau žiūri į tai bent metus, jei ne ilgiau.“
„Mes tikrai stengiamės sukurti šią atitikties programą, bet ji tokia sudėtinga. Manau, kad tai ir yra iššūkis. Tai matėme ir su BDAR bei kitais plačiais teisės aktais, kuriuos galima interpretuoti – ką iš tikrųjų reiškia laikytis reikalavimų? Skirtingiems žmonėms tai reiškia skirtingus dalykus“, – sakė jis.
Jangas pridūrė, kad dėl to, jog trūksta bendro supratimo apie tai, kas laikytina griežta DORA reikalavimų laikymusi, daugelis įstaigų taip sustiprino saugumo standartus, kad jie iš tikrųjų viršija „bazinį“ lygį, kurio tikimasi iš daugumos įmonių.
Ar finansų įstaigos pasirengusios?
Pagal DORA nuostatas finansų įmonės privalės imtis griežtų IT rizikos ir incidentų valdymo, klasifikavimo ir ataskaitų teikimo, operacinio atsparumo testavimo, dalijimosi žvalgybine informacija apie kibernetines grėsmes ir pažeidžiamumą bei priemonių trečiųjų šalių rizikai valdyti.
Įmonės taip pat privalės atlikti „koncentracijos rizikos“, susijusios su kritinių ar svarbių operacinių funkcijų perdavimu išorės įmonėms, vertinimą.
Prancūzijos telekomunikacijų bendrovės „Orange“ kibernetinio saugumo padalinio „Orange Cyberdefense“ užsakymu atlikta 200 JK vyriausiųjų informacijos saugumo pareigūnų apklausa.
, parodė, kad 43 proc. finansų įstaigų Didžiojoje Britanijoje dar ne visiškai laikosi DORA reikalavimų.
Tai kelia susirūpinimą, nes nors Jungtinė Karalystė šiuo metu nepriklauso Europos Sąjungai, DORA taikoma visiems ES jurisdikcijoje veikiantiems finansų subjektams, net jei jie įsikūrę už bloko ribų.
„Nors aišku, kad DORA neturi teisinės galios Jungtinėje Karalystėje, čia įsikūrusiems subjektams, veikiantiems arba teikiantiems paslaugas ES subjektams, reglamentas bus taikomas“, – CNBC sakė ‚Orange Cyberdefense‘ vyriausiasis konsultantas Richardas Lindsay.
Jis pridūrė, kad daugeliui finansų įstaigų pagrindinis iššūkis siekiant užtikrinti atitiktį DORA reikalavimams buvo svarbiausių trečiųjų šalių IT paslaugų teikėjų valdymas.
„Finansų įstaigos veikia daugiasluoksnėje ir labai sudėtingoje skaitmeninėje ekosistemoje“, – sakė R. Lindsay. „Stebėti ir užtikrinti, kad visos šios sistemos dalys akivaizdžiai atitiktų atitinkamus DORA elementus, reikės naujo mąstymo, sprendimų ir išteklių.“
Dėl griežtų DORA reikalavimų bankai taip pat griežčiau tikrina sutartis su technologijų tiekėjais, sakė Jangas.
„Cisco“ vyriausiasis privatumo pareigūnas CNBC sakė, kad, jo nuomone, teisės principai ir dvasia yra suderinti. Tačiau jis pridūrė, kad „bet koks teisės aktas yra kompromiso rezultatas, todėl, kai jie tampa vis labiau rekomendacinio pobūdžio, tampa sudėtinga“.
„Principams mes pritariame, tačiau bet koks teisės aktas yra kompromiso vaisius, todėl, kai jis tampa vis labiau įsakmus, kyla sunkumų.“
Vis dėlto, nepaisant sunkumų, ekspertai tikisi, kad netrukus bankai ir kitos finansų įstaigos pasieks atitiktį reikalavimams.
„Bankai Europoje jau dabar laikosi svarbių taisyklių, kurios apima daugumą sričių, patenkančių į DORA, – CNBC sakė Fabio Colombo, „Accenture“ EMEA finansinių paslaugų saugumo vadovas.
„Dėl to finansinių paslaugų įstaigos jau turi brandžius valdymo ir atitikties užtikrinimo pajėgumus, jau veikiančius pranešimų apie incidentus procesus ir tvirtas IRT rizikos sistemas.“
Rizika IT tiekėjams
IT tiekėjams taip pat gali būti skiriamos baudos pagal DORA. Pagal taisykles gresia iki 1 proc. vidutinių pasaulinių dienos pajamų iki šešių mėnesių.
„Šios sankcijos yra būtinos, – CNBC sakė programinės įrangos tiekimo grandinės valdymo įmonės „Sonatype“ vyriausiasis technologijų vadovas Brianas Foxas. „Jos yra galinga motyvacinė priemonė, verčianti vadovus rimčiau nei bet kada anksčiau atsižvelgti į reikalavimų laikymąsi ir veiklos atsparumą.“
Bendrovės „Orange Cyberdefense“ atstovas Lindsay sakė, kad ilgainiui kyla rizika, jog finansinių paslaugų įmonės galiausiai perkels svarbiausias saugumo funkcijas ir paslaugas į savo vidų.
„Technologijų pažanga gali leisti finansų įstaigoms perkelti paslaugas atgal į vidų, supaprastinti šį aspektą ir sumažinti neatitikties riziką“, – sakė jis.
„Bet kokiu atveju reikės atnaujinti galiojančias sutartis, kad būtų užtikrinta, jog subjektas ir paslaugų teikėjas laikytųsi sutartyje numatytų reikalavimų ir juos stebėtų“, – pridūrė Lindsay.
Tuo tarpu yra keletas kitų į kibernetinį saugumą orientuotų reglamentų, su kuriais organizacijos turės susitaikyti, pavyzdžiui, Tinklų ir informacijos saugumo direktyva 2, arba NIS 2, ir Kibernetinio atsparumo įstatymas. Pirmasis įsigaliojo spalio mėn.
„Kaip ir bet kurio naujo reglamento atveju, organizacijoms, be abejo, reikės pereinamojo laikotarpio, kol jos prisitaikys prie naujų reikalavimų ir standartų“, – CNBC sakė Sonatype’s Fox. „Tai yra ilgos kelionės į programinės įrangos saugumo ir atsparumo didinimą pradžia.“