14.5.2024.

Upravljanje cyber rizikom: strategije nadzora za financijske institucije prema nadolazećoj uredbi DORA

Foto: Unsplash

Kako digitalno doba napreduje, održavanje operativne otpornosti na kibernetičke prijetnje postalo je temeljni aspekt strateškog planiranja unutar financijskog sektora. Predstojeća provedba Zakona o digitalnoj operativnoj otpornosti (DORA) mijenja paradigmu u informacijskoj sigurnosti, koja je sada ukorijenjena u strategiju, a ne samo okvir za potvrdu usklađenosti.

Nojus Bendoraitis, suosnivač & COO CyberUpgradea, opisuje način na koji će DORA preoblikovati krajolik upravljanja rizicima za financijske institucije i ulogu koju kibersigurnosna rješenja vođena umjetnom inteligencijom igraju u osiguravanju usklađenosti.

Financijske institucije moraju poboljšati nadzor nad ICT pružateljima usluga trećih strana kako bi zadovoljile stroge zahtjeve DORA-e i učinkovito upravljale raznim rizicima. Kako bi osigurali usklađenost, subjekti trebaju robustan okvir za procjenu rizika i upravljanje incidentima, kao i strategije za dubinsku analizu i prijelaz pružatelja usluga.

EU-ov Zakon o digitalnoj operativnoj otpornosti (DORA), koji stupa na snagu u siječnju 2025., osmišljen je kako bi osigurao da svi sudionici u financijskom sustavu EU-a imaju snažne zaštitne mjere protiv digitalnih poremećaja. Prije DORA-e, propisi o digitalnoj operativnoj otpornosti razlikovali su se u državama EU-a, što je za financijske institucije koje posluju u više zemalja predstavljalo izazov za usklađivanje s različitim zahtjevima. Pružanjem jedinstvenog skupa standarda koje će svi subjekti u EU-u morati ispuniti, DORA ima za cilj ojačati ukupnu otpornost financijskog sustava, posebno u svjetlu rastućih kibernetičkih prijetnji.
Kako bi se uskladili s novim odredbama, financijski subjekti suočavaju se s izazovom ponovne procjene i potencijalnog preispitivanja svojih dogovora s ICT pružateljima trećih strana. Međutim, određeni napredni alati i strategije, uključujući automatizaciju temeljenu na umjetnoj inteligenciji, mogu pomoći u rješavanju ovih izazova i pojednostaviti integraciju DORA-e.

Okviri za učinkovito upravljanje rizikom

Prema Nojusu Bendoraitisu, suosnivaču i operativnom direktoru tvrtke CyberUpgrade, pružatelja rješenja za kibernetičku sigurnost vođenih umjetnom inteligencijom, kako bi se postigla usklađenost i osigurala otpornost na rastuće kibernetičke prijetnje, financijski će subjekti morati uspostaviti strukturiraniji pristup procjeni, praćenju i kontroli rizike trećih strana.

„Učinkoviti okviri za upravljanje rizikom morat će uključivati detaljne procjene rizika i procese dubinske analize koji pokrivaju sve faze životnog ciklusa ICT usluga – od odabira i ugovaranja do kontinuiranog praćenja i eventualnog prekida.”

Prije DORA-e, prakse za upravljanje ICT rizicima trećih strana uvelike su varirale među entitetima i zemljama unutar EU-a, napominje Bendoraitis. “Tvrtke su se često oslanjale na nacionalne smjernice bez jedinstvenog standarda, što je dovelo do različitih razina strogosti u praksi upravljanja rizikom. Osim toga, upravljanje rizikom je često bilo reaktivno, a ne proaktivno, s financijskim subjektima koji su se bavili rizicima nakon što su postali problemi, umjesto da ih unaprijed predviđaju i umanjuju.”

DORA ima za cilj ispraviti te nedostatke zahtijevajući sveobuhvatne procjene sposobnosti pružatelja ICT usluga, uključujući njihovu usklađenost s relevantnim propisima i mjerama kibernetičke sigurnosti. “Prema DORA-i, svi ugovori s pružateljima ICT usluga morat će sadržavati jasne uvjete u vezi s usklađenošću, revizijskim pravima, zaštitom podataka i postupcima raskida kako bi se zaštitili interesi financijskog subjekta.”
Tvrtke će također morati kontinuirano procjenjivati učinak pružatelja usluga i usklađenost s ugovorom i regulatornim standardima, uz mandate za jasne strukture upravljanja.

Alati i strategije za usklađenost

Naglašavanje hitnosti ispunjavanja DORA-inih nadzornih zahtjeva jest činjenica da se financijske institucije suočavaju s ozbiljnim posljedicama za nepoštivanje, s kaznama u rasponu od značajnih novčanih kazni, potencijalno u iznosu od 1% dnevnog globalnog prometa, do administrativnih mjera, ovisno o težini prekršaja.
Bendoraitis predlaže da financijske institucije mogu poboljšati svoj status usklađenosti usklađivanjem svojih strategija s postojećim standardima kao što je ISO 27001. “ISO 27001 može pomoći poduzeću da ispuni zahtjeve DORA-e, unatoč tome što je izborni certifikat — može djelovati kao značajan ‘pečat odobrenja’ .

Drugim riječima, tvrtke mogu iskoristiti postojeći, pouzdani skup politika i kontrola za sustavno upravljanje sigurnosnim rizicima, naravno,” savjetuje Bendoraitis.
Setovi alata temeljeni na umjetnoj inteligenciji također se mogu pokazati korisnima u ovom procesu. “Automatizirana rješenja poput kontinuiranog praćenja dobavljača trećih strana i automatizacije postupaka dubinske analize dobavljača mogu osigurati da se uloži samo onoliko truda koliko je potrebno u nadgledanje davanjan dobavljač, ovisno o njihovoj razini, smanjujući potencijalni otpad uključen u potpuno ručne procese.”

Bendoraitis, međutim, napominje da sami alati temeljeni na umjetnoj inteligenciji nisu zamjena za kritičku analizu i sposobnosti donošenja odluka stručnjaka za kibernetičku sigurnost. “U konačnici, to će biti kombinacija napredne tehnologije i kvalificiranih stručnjaka koji će ojačati operativnu otpornost financijskih institucija u budućnosti.”

Cyber Upgrade je tvrtka posvećena izradi rješenja za cyber sigurnost na visokoj razini, vođenih umjetnom inteligencijom, dostupnim modernim tvrtkama, s jasnim fokusom na pružanje softvera koji je pristupačan i prilagodljiv specifičnim potrebama svojih klijenata. Osnovana od strane tima iskusnih stručnjaka i poduzetnika, vizija tvrtke vrti se oko osnaživanja tvrtki da se zaštite od modernih kibernetičkih prijetnji, dok istovremeno potiče kulturu svijesti o kibernetičkoj sigurnosti.