Sidste år nåede formandskabet for Rådet for Den Europæiske Union og Europa-Parlamentet til en foreløbig aftale om Digital Operational Resilience Act (DORA) for at forbedre cybersikkerheden for finansielle institutioner i Europa. Når DORA er vedtaget af EU-lande, bliver finansielle virksomheder nødt til at sikre, at de kan imødegå, reagere på og komme sig over alle typer af informations- og kommunikationsteknologi (IKT) forstyrrelser og trusler med det ultimative mål at forebygge og afbøde cybertrusler. Regulering har en differentieret tilgang til regulering af små, mikro- og indbyrdes forbundne enheder.
Test af fleksibilitet
De europæiske tilsynsmyndigheder (ESA), nemlig European Banking Authority (EBA), European Securities and Markets Authority (ESMA) og European Insurance and Occupational Pensions Authority (EIOPA) - udvikler "tekniske standarder, som alle finansielle institutioner skal overholde”. Derudover vil kritiske tredjeparts-IKT-tjenesteudbydere, især cloud-udbydere til finansielle institutioner i EU, skulle oprette et datterselskab i EU for passende tilsyn, og revisorer vil blive inddraget i fremtidige revisioner af forordningen.
Den nye lov vil tvinge FSI-virksomheder i EU til at teste deres organisationers modstandsdygtighed; det vil sige, at de grundlæggende skal styre risici og bruge en risikostyringsramme for at imødekomme DORAs krav. Derfor anbefales det, at alle CISO'er i den finansielle branche overvejer at arbejde med cybersikkerhedsleverandører og partnere, som er fuldt opdateret om DORA.
Yderligere 2023-anbefalinger for CISO'er for finansielle tjenesteydelser
Der gives også andre mere konkrete anbefalinger til institutioner i den finansielle sektor, der planlægger 2023. CISO'er (Heads of Information Security), der arbejder i finanssektoren, skal forstå, at 2023 ikke bliver som 2022; Store forandringer finder sted, og cyberrisikoen er stigende.
Skift til en interventions- og recovery-tankegang
Der er en stigning i ransomware, og dette er et topproblem for alle institutioner, ikke kun finansielle institutioner. Traditionelt er den finansielle serviceindustris mentalitet: "Nej, vi vil ikke have risiko." Indtil nu har det hele handlet om beskyttelse og detektion. Men i betragtning af arten af cyberrisiko i dag, er denne tilgang ikke længere realistisk.
CISO'er i den finansielle industri skal forstå det hurtigt skiftende trussellandskab og fokusere på at være mere modstandsdygtige. Det betyder, at en finanssektors strategi bør skifte fra at forsøge at undgå alle risici til at være i stand til hurtigt at komme sig efter et angreb. Dette vil naturligvis føre til investeringer i platforme, der muliggør funktioner som endpoint detection and response (EDR), udvidet detektion og respons (XDR) og sikkerhedsorkestrering, automatisering og respons (SOAR).
De risici, der følger med indlejret finansiering
Et andet spørgsmål for CISO'er i finansielle institutioner at overveje i 2023 er den stigende tendens til indlejret finansiering.
Hvad er indlejret finansiering?
“Embedded finance er processen med at integrere alle finansielle tjenester ét sted i stedet for at handle med traditionelle institutioner. Det tilbyder en sikker, enkel og effektiv måde at samle alle de tjenester, en forhandler kan bruge, i en enkelt, nem at administrere model. Finansielle løsninger kan integreres i en virksomheds infrastruktur, hvilket letter adgangen til finansielle tjenester såsom udlån, forsikring eller betalingstransaktioner uden at lede folk til tredjepartsdestinationer. Det betyder færre apps at rode med, færre mennesker at beskæftige sig med penge, mindre at bekymre sig om og mindre tid brugt på at holde trit med økonomisk logistik. Interessen for denne branche er vokset hurtigt i løbet af de sidste par år. Det amerikanske embedded finansmarked nåede 2020 milliarder dollars i 22,5 og forventes at vokse tidoblet til 2025 milliarder dollars i 230.” (NCR, 8. august 2022)
Finansiering vil blive mere udbredt i verden fra 2023 og fremover. Overvej f.eks. indlejret finansiering, hvor ikke-traditionelle organisationer bruger finansieringsprodukter til "køb nu, betal senere"-salg. Denne metode øger salget, men øger også risikoen for organisationer.
Embedded finansiering er lettet af banking as a service (BaaS) og Application Programming Interface (API) teknologier. Denne metode forventes at generere mere end 2026 milliarder dollars i årlig omsætning for banker i 25, og i 2025 vil etablerede banker flytte 25 procent af små og mellemstore virksomheders indkomst til etablerede kanaler. (Embedded Applications: New Revenue and New Risks for Banks (garp.org)
For 2023 og derefter skal CISO'er hos FSI være særligt opmærksomme på følgende:
- Organisationer skal sikre, at de har robuste cybersikkerheds- og databeskyttelsespolitikker, herunder foranstaltninger til at forhindre databrud og uautoriseret adgang til følsomme oplysninger.
- Hvor institutioner arbejder med ikke-finansielle partnere, som måske ikke har samme ekspertise eller erfaring inden for finansielle tjenesteydelser, skal de overvåge potentielle risici for datamisbrug eller misbrug.
- Når finansielle produkter og tjenester integreres i ikke-finansielle produkter eller platforme, bør potentialet for interessekonflikter ses på, og institutionerne bør være gennemsigtige over for kunderne om vilkårene og betingelserne for disse produkter og tjenester.
- Det er nødvendigt at holde sig opdateret på lovgivningsmæssig udvikling relateret til indlejret finansiering og sikre, at organisationen overholder alle relevante love og regler.
- Organisationen bør samarbejde med specialiserede firmaer eller overveje at rådføre sig med eksperter på området for at sikre, at den har viden og ressourcer til effektivt at håndtere cybersikkerheds- og privatlivsrisici i forbindelse med indlejret finansiering.
Bevidsthed er også vigtig, fordi teknologi alene ikke kan opnå dette. Finansielle institutioner skal begynde at træne deres medarbejdere i DevSecOps, kunstig intelligens, machine learning og API-sikkerhed. På dette tidspunkt understreger Fortinet sit engagement i at hjælpe med at lukke cyberfærdighedskløften og øge cyberbevidstheden gennem TAA-initiativet og Education Institute-programmerne.
Vær den første til at kommentere