Руководство по кибербезопасности для лидеров отрасли финансовых услуг в 2023 году

В прошлом году председательство в Совете Европейского Союза и Европейский парламент достигли временного соглашения по Закону о цифровой операционной устойчивости (DORA) для повышения кибербезопасности финансовых учреждений в Европе. Как только DORA будет принята странами ЕС, финансовые компании должны будут убедиться, что они могут противостоять, реагировать и восстанавливаться после всех типов сбоев и угроз информационно-коммуникационных технологий (ИКТ) с конечной целью предотвращения и смягчения киберугроз. Регулирование использует дифференцированный подход к регулированию малых, микро- и взаимосвязанных предприятий.

Гибкость тестирования

Европейские надзорные органы (ESA), а именно Европейское банковское управление (EBA), Европейское управление по ценным бумагам и рынкам (ESMA) и Европейское управление по страхованию и профессиональным пенсиям (EIOPA), разрабатывают «технические стандарты, которые должны соблюдать все учреждения, предоставляющие финансовые услуги». соответствовать". Кроме того, важнейшие сторонние поставщики ИКТ-услуг, особенно поставщики облачных услуг для финансовых учреждений в ЕС, должны будут создать дочернюю компанию в ЕС для надлежащего надзора, а аудиторы будут привлекаться к будущим проверкам регулирования.

Новый закон заставит компании FSI в ЕС проверить устойчивость своих организаций; то есть им в основном нужно будет управлять рисками и использовать структуру управления рисками для удовлетворения требований DORA. Поэтому рекомендуется, чтобы все директора по информационной безопасности финансовой отрасли рассмотрели возможность сотрудничества с поставщиками и партнерами в области кибербезопасности, которые полностью обновлены с помощью DORA.

Дальнейшие рекомендации на 2023 год для директоров по информационной безопасности в сфере финансовых услуг

Даны и другие более конкретные рекомендации для учреждений финансового сектора, планирующих до 2023 года. Директора по информационной безопасности (руководители отдела информационной безопасности), работающие в сфере финансовых услуг, должны понимать, что 2023 год не будет таким, как 2022 год; Происходят большие изменения, и киберриск возрастает.

Переход к мышлению о вмешательстве и восстановлении

Растет количество программ-вымогателей, и это главная проблема для всех учреждений, а не только для финансовых учреждений. Традиционно менталитет индустрии финансовых услуг таков: «Нет, мы не хотим риска». До сих пор все сводилось к защите и обнаружению. Однако, учитывая современный характер киберриска, этот подход уже нереалистичен.

Директорам по информационной безопасности в финансовой отрасли необходимо понимать быстро меняющийся ландшафт угроз и сосредоточиться на том, чтобы быть более устойчивыми. Это означает, что стратегия учреждения финансового сектора должна перейти от попыток избежать всех рисков к способности быстро восстанавливаться после атаки. Это, естественно, приведет к инвестициям в платформы, обеспечивающие такие функции, как обнаружение и реагирование на конечных точках (EDR), расширенное обнаружение и реагирование (XDR), а также координация безопасности, автоматизация и реагирование (SOAR).

Риски, связанные со встроенным финансированием

Еще одна проблема, которую директора по информационной безопасности в финансовых учреждениях должны рассмотреть в 2023 году, — это растущая тенденция встроенного финансирования.

Что такое встроенное финансирование?

«Встроенные финансы — это процесс интеграции всех финансовых услуг в одном месте вместо работы с традиционными учреждениями. Он предлагает безопасный, простой и эффективный способ собрать все услуги, которые может использовать розничный продавец, в единую, простую в управлении модель. Финансовые решения могут быть интегрированы в инфраструктуру бизнеса, упрощая доступ к финансовым услугам, таким как кредитование, страхование или платежные операции, не направляя людей к сторонним адресатам. Это означает меньше приложений, с которыми можно возиться, меньше людей, которые будут иметь дело с деньгами, меньше забот и меньше времени, затрачиваемого на поддержание финансовой логистики. За последние несколько лет интерес к этой отрасли стремительно вырос. Рынок встроенного финансирования в США достиг 2020 млрд долларов в 22,5 году и, как ожидается, вырастет в десять раз до 2025 млрд долларов к 230 году». (НКР, 8 августа 2022 г.)

Финансы станут более распространенными в мире в 2023 году и далее. Например, рассмотрим встроенное финансирование, когда нетрадиционные организации используют финансовые продукты для продаж по принципу «купи сейчас, заплати потом». Этот метод увеличивает продажи, но также увеличивает риск для организаций.

Встроенные финансы облегчаются технологиями банковского обслуживания как услуги (BaaS) и интерфейса прикладного программирования (API). Ожидается, что к 2026 году этот метод принесет банкам более 25 миллиардов долларов годового дохода, а к 2025 году действующие банки переведут 25 процентов доходов малого и среднего бизнеса в действующие каналы. (Встроенные приложения: новые доходы и новые риски для банков (garp.org)

В 2023 году и далее директора по информационной безопасности в FSI должны уделять особое внимание следующему:

• Организациям необходимо обеспечить надежную политику кибербезопасности и защиты данных, включая меры по предотвращению утечек данных и несанкционированного доступа к конфиденциальной информации.
• Если учреждения работают с нефинансовыми партнерами, которые могут не иметь такого же уровня знаний или опыта в сфере финансовых услуг, они должны отслеживать потенциальные риски неправомерного или неправомерного использования данных.
• При интеграции финансовых продуктов и услуг в нефинансовые продукты или платформы следует учитывать потенциальный конфликт интересов, а учреждения должны быть прозрачными с клиентами в отношении условий этих продуктов и услуг.
• Необходимо быть в курсе нормативных изменений, связанных со встроенными финансами, и следить за тем, чтобы организация соблюдала все соответствующие законы и правила.
• Организация должна сотрудничать со специализированными фирмами или рассмотреть возможность консультации с экспертами в этой области, чтобы убедиться, что у нее есть знания и ресурсы для эффективного управления рисками кибербезопасности и конфиденциальности в контексте встроенных финансов.

Осведомленность также важна, потому что одной только технологии этого не достичь. Финансовым учреждениям необходимо начать обучать своих сотрудников DevSecOps, искусственному интеллекту, машинному обучению и безопасности API. На данный момент Fortinet подчеркивает свое обязательство помочь сократить разрыв в навыках кибербезопасности и повысить осведомленность о кибербезопасности с помощью инициативы TAA и программ Института образования.