Οι εταιρείες χρηματοπιστωτικών υπηρεσιών και οι προμηθευτές ψηφιακής τεχνολογίας δέχονται έντονες πιέσεις για να επιτύχουν συμμόρφωση με τους νέους αυστηρούς κανόνες της Ε.Ε. που τους επιβάλλουν να ενισχύσουν την προστασία τους στον κυβερνοχώρο.
Μέχρι τις αρχές του επόμενου έτους, οι εταιρείες αυτές θα πρέπει να διασφαλίσουν ότι συμμορφώνονται με έναν νέο νόμο από την Ευρωπαϊκή Ένωση, γνωστό ως DORA ή Digital Operational Resilience Act.
Το CNBC παρουσιάζει όλα όσα πρέπει να γνωρίζετε για το DORA – συμπεριλαμβανομένου του τι είναι, γιατί έχει σημασία και τι κάνουν οι τράπεζες για να διασφαλίσουν ότι είναι προετοιμασμένες γι’ αυτό.
Τι είναι το DORA;
Το DORA απαιτεί από τις τράπεζες, τις ασφαλιστικές εταιρείες και τις επενδυτικές να ενισχύσουν την ασφάλεια των τεχνολογικών τμημάτων τους. Ο κανονισμός της Ε.Ε. επιδιώκει επίσης να διασφαλίσει ότι ο κλάδος των χρηματοπιστωτικών υπηρεσιών είναι ανθεκτικός σε περίπτωση σοβαρής διαταραχής των λειτουργιών.
Τέτοιες διαταραχές θα μπορούσαν να περιλαμβάνουν μια επίθεση ransomware που προκαλεί τη διακοπή λειτουργίας των υπολογιστών μιας χρηματοπιστωτικής εταιρείας ή μια επίθεση DDOS που αναγκάζει τον ιστότοπο μιας εταιρείας να τεθεί εκτός λειτουργίας.
Ο κανονισμός επιδιώκει επίσης να βοηθήσει τις επιχειρήσεις να αποφύγουν μεγάλα συμβάντα διακοπής λειτουργίας, όπως το ιστορικό πρόβλημα τον περασμένο μήνα που προκάλεσε η ενημέρωση λογισμικού της εταιρείας CrowdStrike.
Πολλές τράπεζες, εταιρείες πληρωμών και επενδυτικές εταιρείες – από την JPMorgan Chase και τη Santander, έως τη Visa και την Charles Schwab δεν μπόρεσαν να παρέχουν υπηρεσίες λόγω της διακοπής λειτουργίας. Οι εταιρείες αυτές χρειάστηκαν αρκετές ώρες για να αποκαταστήσουν την εξυπηρέτηση των πελατών τους.
Σύμφωνα με το DORA, οι τράπεζες θα πρέπει να θέσουν σε λειτουργία πρωτόκολλα αυστηρής διαχείρισης τεχνολογικών κινδύνων, διαχείρισης περιστατικών, ταξινόμησης και υποβολής εκθέσεων, δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, ανταλλαγής πληροφοριών σε σχέση με απειλές και ευπάθειες στον κυβερνοχώρο, καθώς και μέτρα για τη διαχείριση κινδύνων τρίτων.
Οι επιχειρήσεις, παράλληλα, θα πρέπει να διενεργούν αξιολογήσεις του κινδύνου που σχετίζεται με την εξωτερική ανάθεση κρίσιμων ή σημαντικών επιχειρησιακών λειτουργιών σε τρίτες εταιρείες.
Πότε εφαρμόζεται ο νόμος;
Ο DORA τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, αλλά οι κανόνες δεν θα εφαρμοστούν από τα κράτη μέλη της Ε.Ε. μέχρι τις 17 Ιανουαρίου 2025.
Η Ε.Ε. έδωσε προτεραιότητα στις μεταρρυθμίσεις αυτές λόγω του τρόπου με τον οποίο ο χρηματοπιστωτικός τομέας εξαρτάται όλο και περισσότερο από την τεχνολογία και τις εταιρείες τεχνολογίας για την παροχή καίριων υπηρεσιών. Αυτό έχει καταστήσει τις τράπεζες και άλλες εταιρείες-παρόχους χρηματοπιστωτικών υπηρεσιών πιο ευάλωτες σε κυβερνοεπιθέσεις και άλλα περιστατικά.
Πολλές από τις μεταρρυθμίσεις της ψηφιακής πολιτικής της Ε.Ε. τα τελευταία χρόνια τείνουν να επικεντρώνονται στις υποχρεώσεις των ίδιων των εταιρειών να διασφαλίζουν ότι τα συστήματα και τα τεχνολογικά πλαίσιά τους είναι αρκετά ισχυρά ώστε να προστατεύονται από επιζήμια συμβάντα όπως η απώλεια δεδομένων από χάκερ ή μη εξουσιοδοτημένα άτομα και οντότητες.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων της Ε.Ε., ή GDPR, για παράδειγμα, απαιτεί από τις εταιρείες να διασφαλίζουν ότι ο τρόπος με τον οποίο επεξεργάζονται προσωπικές πληροφορίες γίνεται με συγκατάθεση και ότι ο χειρισμός τους γίνεται με επαρκή προστασία ώστε να ελαχιστοποιείται το ενδεχόμενο τα δεδομένα αυτά να διαρρεύσουν.
Το DORA θα επικεντρωθεί περισσότερο στην ψηφιακή αλυσίδα εφοδιασμού των τραπεζών – η οποία αντιπροσωπεύει μια νέα, ενδεχομένως λιγότερο άνετη νομική δυναμική για τις χρηματοπιστωτικές επιχειρήσεις.
Τι γίνεται αν μια επιχείρηση δεν συμμορφωθεί;
Για τις χρηματοπιστωτικές επιχειρήσεις που παραβαίνουν τους νέους κανόνες, οι αρχές της Ε.Ε. θα έχουν την ικανότητα να επιβάλλουν πρόστιμα ύψους έως και 2% των ετήσιων παγκόσμιων εσόδων τους.
Τα μεμονωμένα διευθυντικά στελέχη μπορούν επίσης να θεωρηθούν υπεύθυνα για παραβάσεις. Οι κυρώσεις σε άτομα εντός χρηματοπιστωτικών οντοτήτων θα μπορούσαν να φτάσουν το 1 εκατομμύριο ευρώ.
Για τους παρόχους τεχνολογικών υπηρεσιών, οι ρυθμιστικές αρχές μπορούν να επιβάλουν πρόστιμα ύψους έως και 1% των μέσων ημερήσιων παγκόσμιων εσόδων του προηγούμενου οικονομικού έτους. Στις επιχειρήσεις μπορεί επίσης να επιβάλλονται πρόστιμα κάθε μέρα για διάστημα έως και έξι μηνών έως ότου συμμορφωθούν με τους κανόνες.
Οι εταιρείες πληροφορικής τρίτων που θεωρούνται «κρίσιμες» από τις ρυθμιστικές αρχές της Ε.Ε. θα μπορούσαν να αντιμετωπίσουν πρόστιμα ύψους έως και 5 εκατομμυρίων ευρώ – ή, στην περίπτωση ενός μεμονωμένου στελέχους, μέγιστο ποσό 500.000 ευρώ.
Αυτό είναι ελαφρώς λιγότερο αυστηρό από το GDPR, βάσει του οποίου οι επιχειρήσεις μπορούν να τιμωρηθούν με πρόστιμο έως και 10 εκατομμύρια ευρώ ή το 4% των ετήσιων παγκόσμιων εσόδων τους.
Είναι οι τράπεζες και οι εταιρείες έτοιμες;
Ο Στίβεν ΜακΝτέρμιντ, στέλεχος της εταιρείας κυβερνοασφάλειας Okta, δήλωσε στο CNBC ότι πολλές εταιρείες χρηματοπιστωτικών υπηρεσιών έχουν θέσει ως προτεραιότητα τη χρήση των υφιστάμενων εσωτερικών προγραμμάτων επιχειρησιακής προστασίας από κινδύνους μέσω τρίτων για να συμμορφωθούν με το DORA και «να εντοπίσουν τυχόν κενά που μπορεί να έχουν».
«Αυτή είναι και η πρόθεση του DORA, να ευθυγραμμίσει πολλά υφιστάμενα προγράμματα υπό μια ενιαία εποπτική αρχή και να τα εναρμονίσει σε ολόκληρη την Ε.Ε.», προσέθεσε.
Ο Φρέντρικ Φόρσλουντ, αντιπρόεδρος και γενικός διευθυντής του διεθνούς τμήματος της εταιρείας Blancco, που δραστηριοποιείται στον τομέα της διαχείρισης δεδομένων, προειδοποίησε ότι αν και οι τράπεζες και οι προμηθευτές τεχνολογίας έχουν σημειώσει πρόοδο όσον αφορά τη συμμόρφωση με το DORA, υπάρχει ακόμη «αρκετή δουλειά που πρέπει να γίνει».
Σε μια κλίμακα από το ένα έως το 10 ο Φόρσλουντ δήλωσε πως «είμαστε στο 6 και αγωνιζόμαστε να φτάσουμε στο 7. Γνωρίζουμε ότι πρέπει να φτάσουμε στο 10 μέχρι τον Ιανουάριο», τόνισε, προσθέτοντας ότι «δεν θα το καταφέρουν όλοι».