Keçən il Avropa İttifaqı Şurasına sədrlik və Avropa Parlamenti Avropada maliyyə institutlarının kibertəhlükəsizliyini yaxşılaşdırmaq üçün Rəqəmsal Əməliyyat Dayanıqlığı Aktı (DORA) üzrə müvəqqəti razılaşma əldə ediblər. DORA AB ölkələri tərəfindən qəbul edildikdən sonra maliyyə şirkətləri kibertəhlükələrin qarşısının alınması və azaldılması məqsədi ilə bütün növ informasiya və kommunikasiya texnologiyaları (İKT) pozuntularına və təhdidlərinə qarşı dura, cavab verə və bərpa edə bilməlidirlər. Tənzimləmə kiçik, mikro və bir-biri ilə əlaqəli qurumların tənzimlənməsinə differensial yanaşma tətbiq edir.
Çevikliyin sınaqdan keçirilməsi
Avropa Nəzarət Orqanları (ESA), yəni Avropa Bank Təşkilatı (EBA), Avropa Qiymətli Kağızlar və Bazarlar Təşkilatı (ESMA) və Avropa Sığorta və Peşə Təqaüdləri Təşkilatı (EIOPA) bütün maliyyə xidmətləri institutlarının məcburi olduğu “texniki standartlar” hazırlayır. riayət edin”. Bundan əlavə, kritik üçüncü tərəf İKT xidməti təminatçıları, xüsusən də Aİ-dəki maliyyə institutları üçün bulud provayderləri müvafiq nəzarəti həyata keçirmək üçün Aİ daxilində törəmə müəssisə yaratmalı olacaqlar və auditorlar tənzimləmənin gələcək nəzərdən keçirilməsinə cəlb olunacaqlar.
Yeni qanun Aİ-dəki FSI şirkətlərini öz təşkilatlarının dayanıqlığını sınamağa məcbur edəcək; yəni, onlar əsasən riskləri idarə etməli və DORA-nın tələblərini yerinə yetirmək üçün risk idarəetmə çərçivəsindən istifadə etməlidirlər. Buna görə də, bütün maliyyə sənayesi CISO-larına DORA-da tam yenilənmiş kibertəhlükəsizlik təchizatçıları və tərəfdaşları ilə işləməyi nəzərdən keçirmələri tövsiyə olunur.
Maliyyə xidmətləri üzrə CISO-lar üçün əlavə 2023 tövsiyələri
2023-cü ili planlaşdıran maliyyə sektoru institutları üçün digər daha konkret tövsiyələr də verilir. Maliyyə xidmətləri sənayesində çalışan CISO-lar (İnformasiya Təhlükəsizliyi Başçıları) 2023-cü ilin 2022-ci il kimi olmayacağını başa düşməlidirlər; Böyük dəyişikliklər baş verir və kiber risk artır.
Müdaxilə və bərpa zehniyyətinə keçid
Ransomware-də artım var və bu, təkcə maliyyə institutları üçün deyil, bütün qurumlar üçün əsas məsələdir. Ənənəvi olaraq, maliyyə xidmətləri sənayesi zehniyyəti belədir: "Xeyr, biz risk istəmirik." İndiyə qədər hər şey qorunma və aşkarlama ilə bağlı idi. Bununla belə, bu gün kiber riskin xarakterini nəzərə alaraq, bu yanaşma artıq real deyil.
Maliyyə sənayesindəki CISO-lar sürətlə dəyişən təhlükə mənzərəsini anlamalı və diqqətini daha davamlı olmağa yönəltməlidirlər. Bu o deməkdir ki, maliyyə sektoru qurumunun strategiyası bütün risklərdən qaçmağa çalışmaqdan hücumdan tez sağalmaq qabiliyyətinə keçməlidir. Bu, təbii olaraq son nöqtənin aşkarlanması və cavablandırılması (EDR), genişləndirilmiş aşkarlanması və cavablandırılması (XDR) və təhlükəsizlik orkestrasiyası, avtomatlaşdırma və cavab reaksiyası (SOAR) kimi funksiyaları təmin edən platformalara investisiyaların qoyulmasına səbəb olacaq.
Daxili maliyyə ilə gələn risklər
Maliyyə institutlarında CISO-ların 2023-cü ildə nəzərdən keçirməli olduğu digər məsələ daxili maliyyənin yüksələn tendensiyasıdır.
Daxili maliyyə nədir?
“Dahili maliyyə ənənəvi institutlarla işləmək əvəzinə bütün maliyyə xidmətlərinin bir yerdə inteqrasiyası prosesidir. O, pərakəndə satıcının istifadə edə biləcəyi bütün xidmətləri vahid, idarə olunması asan bir modeldə toplamaq üçün təhlükəsiz, sadə və səmərəli üsul təklif edir. Maliyyə həlləri biznesin infrastrukturuna inteqrasiya oluna bilər ki, bu da insanları üçüncü tərəflərə istiqamətləndirmədən kredit, sığorta və ya ödəniş əməliyyatları kimi maliyyə xidmətlərinə çıxışı asanlaşdırır. Bu, qarışmaq üçün daha az proqram, pulla məşğul olmaq üçün daha az insan, daha az narahat olmaq və maliyyə logistikası ilə ayaqlaşmaq üçün daha az vaxt deməkdir. Son bir neçə ildə bu sənayeyə maraq sürətlə artıb. ABŞ-ın daxili maliyyə bazarı 2020-ci ildə 22,5 milyard dollara çatdı və 2025-ci ilə qədər on dəfə artaraq 230 milyard dollara çatacağı gözlənilir”. (NCR, 8 avqust 2022)
Maliyyə 2023-cü ildə və ondan sonrakı dünyada daha çox yayılacaq. Məsələn, qeyri-ənənəvi təşkilatların "indi al, sonra ödə" satışları üçün maliyyə məhsullarından istifadə etdiyi daxili maliyyəni nəzərdən keçirək. Bu üsul satışı artırır, həm də təşkilatlar üçün riski artırır.
Daxili maliyyə xidmət kimi bankçılıq (BaaS) və tətbiqi proqramlaşdırma interfeysi (API) texnologiyaları ilə asanlaşdırılır. Bu metodun 2026-cı ilə qədər banklar üçün illik 25 milyard dollardan çox gəlir əldə edəcəyi gözlənilir və 2025-ci ilə qədər mövcud banklar kiçik və orta biznes gəlirlərinin 25 faizini mövcud kanallara keçirəcəklər. (Daxil edilmiş Tətbiqlər: Banklar üçün Yeni Gəlir və Yeni Risklər (garp.org)
2023 və sonrakı illər üçün FSI-da CISO-lar aşağıdakılara xüsusi diqqət yetirməlidirlər:
- Təşkilatlar etibarlı kibertəhlükəsizlik və məlumatların mühafizəsi siyasətlərinə, o cümlədən məlumatların pozulmasının və həssas məlumatlara icazəsiz girişin qarşısını almaq üçün tədbirlərə malik olmasını təmin etməlidirlər.
- Qurumlar maliyyə xidmətlərində eyni səviyyədə təcrübə və ya təcrübəyə malik olmayan qeyri-maliyyə partnyorları ilə işlədikdə, onlar məlumatların sui-istifadəsi və ya sui-istifadəsi ilə bağlı potensial risklərə nəzarət etməlidirlər.
- Maliyyə məhsulları və xidmətlərini qeyri-maliyyə məhsul və ya platformalarına inteqrasiya edərkən, maraqların toqquşması potensialına nəzər salınmalı və qurumlar həmin məhsul və xidmətlərin şərtləri və şərtləri ilə bağlı müştərilərlə şəffaf olmalıdır.
- Daxili maliyyə ilə bağlı tənzimləyici inkişaflardan xəbərdar olmaq və təşkilatın bütün müvafiq qanun və qaydalara əməl etməsini təmin etmək lazımdır.
- Təşkilat daxili maliyyə kontekstində kibertəhlükəsizlik və məxfilik risklərini effektiv şəkildə idarə etmək üçün bilik və resurslara malik olmasını təmin etmək üçün mütəxəssis firmalarla əməkdaşlıq etməli və ya bu sahədə ekspertlərlə məsləhətləşmələr aparmağı düşünməlidir.
Maarifləndirmə də vacibdir, çünki texnologiya tək başına buna nail ola bilməz. Maliyyə qurumları öz işçilərinə DevSecOps, süni intellekt, maşın öyrənməsi və API təhlükəsizliyi üzrə təlimlərə başlamalıdır. Bu nöqtədə, Fortinet TAA təşəbbüsü və Təhsil İnstitutu proqramları vasitəsilə kiber bacarıqlar boşluğunu aradan qaldırmağa və kiber məlumatlılığı artırmağa kömək etmək öhdəliyini vurğulayır.
Şərh yazan ilk kişi olun