Bankaların, sigorta şirketlerinin ve düzenlemeye tabi diğer finansal kuruluşların yeni sistem esnekliği ve iş sürekliliği standartlarına uyması için 2025’in ortalarına kadar ve bunları dış kaynaklı BT ve bulut sözleşmelerine yansıtmak için fazladan bir yıla kadar süreleri var.
Gereksinimler, Avustralya İhtiyati Düzenleme Kurumu’nun (APRA) geçen yıl önerdiği “operasyonel risk yönetimi” için CPS 230 adlı yeni bir ihtiyati standart kapsamında geliyor.
APRA, CPS 230’u Ocak 2024’ten itibaren uygulamayı planlamıştı, ancak şimdi başlangıç tarihini 1 Temmuz 2025’e erteledi.
APRA, “mevcut hizmet sağlayıcılarla (gerekirse) sözleşmelerin yeniden müzakere edilmesi” için bir yıla kadar bir geçiş dönemi daha sunuluyor, ancak APRA “kritik operasyonlar için önemleri göz önüne alındığında, malzeme hizmet sağlayıcılarla yapılan sözleşmelerin mümkün olan en kısa sürede güncellenmesi gerektiğini” söyledi. ve operasyonel risk.”
CPS 230’un önemli bir özelliği, bir bankanın veya başka bir kuruluşun, çeşitli olay müdahale mekanizmalarını devreye soktuğunda düzenleyicileri ne kadar hızlı bilgilendirmesi gerektiğine ilişkin bazı standartlar belirlemesidir.
İşletmenin mali veya operasyonel sonuçları “muhtemel” olabilecek bir olayı APRA’ya bildirmek için en fazla 72 saati ve iş sürekliliği planları (BCP) etkinleştirildiyse bunu ifşa etmek için en fazla 24 saati vardır.
APRA, “herhangi bir offshore anlaşmasından” önce veya bir offshoring anlaşmasına geçişten önce ve ardından bir offshore anlaşması akdedildikten veya değiştirildikten sonra da bilgilendirilmelidir.
Sektörün bazı bölümleri ek süre ararken, APRA uzatmaları reddetti.
Bir yanıt belgesinde, “Bildirimler, gerekli bilgilerin APRA’ya hızlı bir şekilde iletilmesini sağlamak için hayati bir mekanizmadır” dedi.
“Bildirim gereklilikleri, bir kuruluşu bir olayı yönetmekten alıkoymayı veya gereksiz bir yük getirmeyi amaçlamaz.
“APRA’nın uygun şekilde bilgilendirilmesini sağlamanın yanı sıra bildirimler, APRA’nın sistem çapındaki olası sonuçları dikkate almak da dahil olmak üzere gerektiği şekilde yanıt vermesine veya yardım etmesine olanak tanır.”
APRA, BCP ile ilgili bildirimin yalnızca “tolerans dışında kritik bir operasyonda aksama” olduğunda gerekli olduğunu açıkladı.
Düzenlemeye tabi kuruluşlar, bir kesintiye ne kadar süre tahammül edeceklerine, “bir kesintinin sonucu olarak” ne kadar veri kaybını kabul edeceklerine ve yedek olarak başka bir yerden hangi minimum standartlardan temin edebileceklerine bağlı olarak tolerans düzeylerini tanımlamalıdır. , standardın metnine göre. [pdf]
Olayın siber güvenlikle ilgili olduğu ve bildirim gerekliliklerinin farklı bir ihtiyati standart olan CPS 234 kapsamında olduğu durumlarda, APRA’nın bir bildirimi yalnızca bir kez görmesi gerekir.
CPS 234, bilgi güvenliği ile ilgilenir ve finans sektörünün veri varlıklarını güvence altına alması ve ihlalleri bildirmesi ile ilgilidir.
CPS 230, teknolojiyle ilgili daha geniş bir potansiyel kesinti ve olay yelpazesini yakalar. Ayrıca, dördüncü taraf riski – tedarikçilerin tedarikçileri de dahil olmak üzere, BCP ve dış kaynak kullanımı hakkında belirli kurallar uygular.
Kesintiye dikkat
APRA başkanı John Lonsdale, finansal hizmetlerdeki kesintilerin “faturaları ödemek, mali kayıptan kurtulmak veya emeklilikte geçimlerini sağlamak için bunlara güvenen insanlar üzerinde büyük zararlı etkilere neden olabileceğini” söyledi.
Lonsdale yaptığı açıklamada, “APRA’nın yeni standardına duyulan ihtiyaç, önemli siber ihlaller de dahil olmak üzere son zamanlarda meydana gelen bir dizi operasyonel risk kontrol hatası ve kesintisi ile kanıtlanmıştır.”
“Bu yeni standart, düzenlemeye tabi kuruluşların kontroller oluşturmasını ve test etmesini ve kesintiler meydana gelirse yanıt vermek için sağlam iş sürekliliği planları sürdürmesini sağlayacaktır.”
Lonsdale, CPS 230’un yürürlüğe girmesine kadar büyük bir boşluk olmasına rağmen, kuruluşların “yeni gereksinimleri karşılamaya hazırlanmak için son dakikaya kadar beklemek yerine uygulamaya hazırlanmada proaktif olmalarını” beklediğini de sözlerine ekledi.
Bulut sağlayıcı endişeleri, sözleşmeye dayalı aşırı erişime odaklanıyor
Standardın onayıyla aynı zamana denk gelecek şekilde yayınlanan bir dizi belge arasında endüstrinin APRA’nın danışmanlığına yaptığı sunumlar da yer alıyor.
Şaşırtıcı olmayan bir şekilde, AWS, Microsoft, Google Cloud ve Salesforce dahil olmak üzere çok sayıda bulut hizmeti sağlayıcısı temsil edilmektedir.
CPS 230 kapsamında, sunucuların ve hizmetlerin mimarisi ve coğrafi konumundan hizmet sözleşmelerinin şartlarına kadar bir dizi cephede ekstra incelemeye tabi tutulurlar.
Salesforce ve AWS dahil olmak üzere birçok sağlayıcı, finansal kurumların coğrafi konum ve hizmet yoğunlaşması risklerini özel olarak değerlendirme gerekliliklerine karşı çıktı ancak bunları hariç tutma konusunda başarısız oldu.
“APRA tarafından düzenlenen kuruluşlar, hem hizmet sağlayıcıların coğrafi konumu veya yoğunluğuyla ilişkili riskleri değerlendirme gerekliliğini hem de offshore düzenlemeleri için daha zahmetli bildirim gerekliliklerini, onları açık denizde veri depolamaktan veya hiper kullanmaktan kaçınmaya veya bunlara karşı dikkatli olmaya teşvik edecek şekilde yorumlayabilir. -ölçekli bulut sağlayıcıları, uluslararası hizmet sağlayıcıları veya yalnızca tek bir bulut sağlayıcısı, ”dedi AWS.
Salesforce, tüm yeni ve gelişmekte olan hizmetlerin yerel olarak barındırılmaya başlamaması nedeniyle, coğrafi hususların finansal firmaların faydalanabileceği hizmet sayısını da daraltabileceği konusunda uyardı.
Salesforce, “Hizmet sağlayıcının ‘coğrafi konumuna’ dayalı risk değerlendirmelerinin zorunlu kılınması, APRA tarafından düzenlenen kuruluşlar tarafından kullanılabilen ürün sayısını da kısıtlıyor” dedi.
Her ikisi de – başarısız bir şekilde – sağlayıcıların konum ve hizmet yoğunlaşma riskleri yerine güvenlik ve dayanıklılık açısından değerlendirilmesi gerektiğini önerdi.
CPS 230 uyumlu sözleşmeler oluşturmak da önemli bir husustur.
CPS 230, diğer şeylerin yanı sıra, sözleşmelerin APRA’ya bir banka veya başka bir kuruluş tarafından tutulan bir hizmet sağlayıcıya “yerinde ziyaret yapma hakkı” vermesini gerektiren maddeler içerir.
AWS, açıklığa kavuşturulması gerektiğini söyledi; Salesforce daha da ileri giderek, müşterilerin şu anda “belirli durumlarda Salesforce’un işleme faaliyetlerinin yerinde denetimini talep etmek için” kendisiyle iletişime geçebileceğini, ancak özellikle müşteri olmayan bir taraf için kapsamlı bir erişim hakkı sunulmadığını belirtti.
Bu arada Microsoft, BT sözleşmelerinin karmaşık olabileceğini ve bireysel yeniden değerlendirme ve yeniden müzakerenin zaman alabileceği bir dizi bileşen parçasına ve birbiriyle ilişkili hizmetlere sahip olabileceğini kaydetti.
“Hizmet sağlayıcılar ve müşterileri arasındaki anlaşmaları taraflar arasında kararlaştırılan şartlara göre verimli bir şekilde yenileme yeteneği, müşteriler ve paydaşları tarafından beklenen hizmetin sürekliliği için anahtardır” dedi.
APRA, bulut rehberliğini güncelleyecek
APRA yanıt belgesinde, “bulut hizmetlerini içeren dış kaynak kullanımı” hakkında yayınladığı 2018 kılavuzunun yürürlükte kaldığını söyledi.
Bununla birlikte, kılavuz yeniden gözden geçirilecek ve CPS 230 ışığında değişebilir.
APRA, gelecekte uygun bir zamanda bulut bilgi belgesinin tam bir incelemesini üstlenecek” dedi.
“Bu arada, düzenlemeye tabi kuruluşlar, bulut bilgi işlem düzenlemelerine girerken veya bu düzenlemelerde değişiklik yaparken bulut bilgi belgesinde belirtilen uygulamaları ve temel ilkeleri dikkate almaya devam etmeli ve bulut kullanımı konusunda APRA ile ilişki kurmaya devam etmelidir.”