Έντονες πιέσεις δέχονται οι τράπεζες και οι εταιρείες παροχής ψηφιακής τεχνολογίας τους, με σκοπό να συμμορφωθούν με τους νέους αυστηρούς κανόνες της ΕΕ προκειμένου να διασφαλίσουν με αξιοπιστία τη λειτουργία τους στον κυβερνοχώρο.
Μέχρι τις αρχές του επόμενου έτους, οι τράπεζες και οι εταιρείες τεχνολογίας που συνεργάζονται, θα πρέπει να συμμορφώνονται με το νέο νόμο από την Ευρωπαϊκή Ένωση, γνωστό ως DORA ή Digital Operational Resilience Act.
Τι προβλέπει ο νέος νόμος
Ο νέος νόμος απαιτεί την ενίσχυση της ασφάλειας τόσο από τις τράπεζες, όσο και από ασφαλιστικές εταιρείες, αλλά και εταιρείες επενδύσεων ώστε να αντιμετωπίσουν τους ενδεχόμενους κινδύνους σε περίπτωση σοβαρής διαταραχής των λειτουργιών τους.
Σύμφωνα με το CNBC, τέτοιες διαταραχές θα μπορούσαν να περιλαμβάνουν μια επίθεση που προκαλεί τη διακοπή λειτουργίας των υπολογιστών μιας εταιρείας ή μια επίθεση «DDOS», η οποία αναγκάζει τον ιστότοπο μιας εταιρείας να τεθεί εκτός λειτουργίας.
Ο κανονισμός επιδιώκει, επίσης, να βοηθήσει τις επιχειρήσεις να αποφύγουν σημαντικά γεγονότα διακοπής λειτουργίας, όπως το παγκόσμιο ψηφιακό black out τον περασμένο μήνα που προκάλεσε η εταιρεία CrowdStrike.
Πολλές τράπεζες, εταιρείες πληρωμών και επενδυτικές εταιρείες - από την JPMorgan Chase και τη Santander έως τη Visa
και τη Charles Schwab, δεν μπόρεσαν να παρέχουν τις υπηρεσίες τους λόγω του black out, καθώς χρειάστηκαν αρκετές ώρες για να αποκαταστήσουν την εξυπηρέτηση των καταναλωτών.
Στο μέλλον, ένα τέτοιο γεγονός θα εμπίπτει στον τύπο της διακοπής της υπηρεσίας που θα πρέπει να εξεταστεί από τους επερχόμενους κανόνες της ΕΕ.
Ο Μάικ Σλάιτχολμ, πρόεδρος της εταιρείας fintech Broadridge International, σημειώνει ότι ένας σημαντικός παράγοντας του DORA είναι ότι δεν επικεντρώνεται μόνο σε όσα κάνουν οι τράπεζες για να διασφαλίσουν την ανθεκτικότητα - εξετάζει επίσης προσεκτικά τους παρόχους τεχνολογίας των επιχειρήσεων.
Μεταξύ άλλων, οι εταιρείες αυτές και τα χρηματοπιστωτικά ιδρύματα, θα πρέπει να διενεργούν αξιολογήσεις των ενδεχόμενων κινδύνων που σχετίζονται με την ανάθεση κρίσιμων ή σημαντικών επιχειρησιακών λειτουργιών σε τρίτες, εξωτερικές εταιρείες.
«Αυτοί οι πάροχοι συστημάτων Πληροφορικής συχνά παρέχουν"κρίσιμες ψηφιακές υπηρεσίες στους πελάτες"», δήλωσε ο Τζο Βασάρο, γενικός διευθυντής της εταιρείας παρακολούθησης της ποιότητας του Διαδικτύου ThousandEyes που ανήκει στη Cisco.
«Οι ίδιοι πάροχοι πρέπει πλέον να αποτελούν μέρος της διαδικασίας ελέγχου και υποβολής εκθέσεων, πράγμα που σημαίνει ότι οι εταιρείες χρηματοπιστωτικών υπηρεσιών πρέπει να υιοθετήσουν λύσεις που θα τις βοηθήσουν να αποκαλύψουν και να χαρτογραφήσουν αυτές τις ενίοτε κρυφές εξαρτήσεις με τους παρόχους», δήλωσε στο CNBC.
Οι τράπεζες θα πρέπει επίσης να «επεκτείνουν την ικανότητά τους να διασφαλίζουν την παράδοση και την απόδοση των ψηφιακών εμπειριών όχι μόνο στις υποδομές που τους ανήκουν, αλλά και σε αυτές που δεν τους ανήκουν», πρόσθεσε.
Πότε τίθεται σε ισχύ ο νόμος
Ο DORA τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, αλλά οι κανόνες δεν θα εφαρμοστούν από τα κράτη μέλη της ΕΕ μέχρι τις 17 Ιανουαρίου 2025.
Η ΕΕ έδωσε προτεραιότητα στις μεταρρυθμίσεις αυτές λόγω του τρόπου με τον οποίο ο χρηματοπιστωτικός τομέας εξαρτάται όλο και περισσότερο από την τεχνολογία και τις εταιρείες τεχνολογίας για την παροχή ζωτικών υπηρεσιών. Αυτό έχει καταστήσει τις τράπεζες και άλλους παρόχους χρηματοπιστωτικών υπηρεσιών πιο ευάλωτους σε κυβερνοεπιθέσεις και άλλα περιστατικά.
«Δίνεται μεγάλη έμφαση στη διαχείριση κινδύνων από τρίτους», δήλωσε ο Σλάιτχολμ στο CNBC. «Οι τράπεζες χρησιμοποιούν τρίτους παρόχους υπηρεσιών για σημαντικά τμήματα της τεχνολογικής τους υποδομής», ποοσέθεσε.
Πολλές μεταρρυθμίσεις της ψηφιακής πολιτικής της ΕΕ τα τελευταία χρόνια τείνουν να επικεντρώνονται στις υποχρεώσεις των ίδιων των εταιρειών να διασφαλίζουν ότι τα συστήματα και το πλαίσιο λειτουργίας τους είναι αρκετά ισχυρά, ώστε να προστατεύονται από επιζήμια γεγονότα, όπως η απώλεια δεδομένων από χάκερ ή μη εξουσιοδοτημένα άτομα και οντότητες.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ, για παράδειγμα, απαιτεί από τις εταιρείες να διασφαλίζουν ότι ο τρόπος με τον οποίο επεξεργάζονται στοιχεία των πελατών τους γίνεται με τη συγκατάθεσή τους και ο χειρισμός τους γίνεται με επαρκή προστασία ώστε να ελαχιστοποιείται το ενδεχόμενο τα δεδομένα αυτά να εκτεθούν σε παραβίαση ή διαρροή.
Τι συνέπειες έχει η μη συμμόρφωση των νέων κανόνων
Σε περίπτωση που χρηματοπιστωτικές επιχειρήσεις παραβιάζουν τους νέους κανόνες, οι αρχές της ΕΕ μπορούν να επιβάλλουν πρόστιμα ύψους έως και 2% των ετήσιων παγκόσμιων εσόδων τους. Για τις παραβάσεις επίσης, μπορούν να θεωρηθούν υπεύθυνοι και μεμονωμένοι διαχειριστές. Οι κυρώσεις για τα άτομα εντός των χρηματοπιστωτικών οντοτήτων θα μπορούσαν να φτάσουν το 1 εκατ. ευρώ.
Για τις εταιρείες ψηφιακής τεχνολογίας, οι ρυθμιστικές αρχές μπορούν να επιβάλουν πρόστιμα ύψους έως και 1% των μέσων ημερήσιων παγκόσμιων εσόδων του προηγούμενου οικονομικού έτους.
Οι εταιρείες πληροφορικής τρίτων που θεωρούνται "κρίσιμες" από τις ρυθμιστικές αρχές της ΕΕ θα μπορούσαν να αντιμετωπίσουν πρόστιμα ύψους έως και 5 εκατ. ευρώ - ή, στην περίπτωση ενός μεμονωμένου διαχειριστή, μέγιστο ποσό 500.000 ευρώ.
Ο Καρλ Λέοναρντ, στρατηγικός υπεύθυνος για την ασφάλεια στον κυβερνοχώρο στην εταιρεία λογισμικού ασφαλείας Proofpoint, τονίζει ότι οι ποινικές κυρώσεις μπορεί να διαφέρουν από κράτος μέλος σε κράτος μέλος, ανάλογα με τον τρόπο με τον οποίο κάθε χώρα της ΕΕ εφαρμόζει τους κανόνες στις αντίστοιχες αγορές της.
Πόσο έτοιμες είναι οι τράπεζες και οι εταιρείες τεχνολογίας
Ο Στήβεν Μακντερμίντ, επικεφαλής ασφαλείας της εταιρείας κυβερνοασφάλειας Okta, δήλωσε στο CNBC ότι πολλές εταιρείες χρηματοπιστωτικών υπηρεσιών έχουν θέσει ως προτεραιότητα τη χρήση των υφιστάμενων εσωτερικών προγραμμάτων επιχειρησιακής ανθεκτικότητας και κινδύνων από τρίτους για να συμμορφωθούν με το DORA και "να εντοπίσουν τυχόν κενά που μπορεί να έχουν".
Σε μια κλίμακα από το 1 έως το 10 (με το 1 να αντιπροσωπεύει τη μη συμμόρφωση και το 10 την πλήρη συμμόρφωση) - ο Φρέντικ Φορσλουντ, αντιπρόεδρος και γενικός διευθυντής του διεθνούς τμήματος της εταιρείας Blancco εκτιμά ότι «είμαστε στο 6 και αγωνιζόμαστε να φτάσουμε στο 7».
«Γνωρίζουμε ότι πρέπει να φτάσουμε στο 10 μέχρι τον Ιανουάριο», είπε, σημειώνοντας ωστόσο, ότι «δεν θα καταφέρουν όλοι να φτάσουν μέχρι εκεί».
Πηγή: CNBC