Finans sektörü, siber tehditlere karşı savunmalarını güçlendirmek için artan baskı altında. Dijital dönüşüm hızlanmasıyla, finansal kurumlar operasyonları bozabilecek, hassas verileri tehlikeye atabilecek ve pazar istikrarına zarar verebilecek siber saldırılara her zamankinden daha fazla maruz kalıyor. Bu riskleri ele almak için Avrupa Birliği, finansal kuruluşların ve üçüncü taraf BİT sağlayıcılarının siber olaylara dayanabilmelerini ve kurtulmasını sağlamak için tasarlanmış bir düzenleme olan Dijital Operasyonel Dayanıklılık Yasası’nı (DORA) tanıttı.
Dora, operasyonel esneklik, olay raporlaması ve üçüncü taraf risk yönetimi için katı gereksinimler belirleyerek geleneksel siber güvenlik düzenlemelerinin ötesine geçiyor. AB finans sektörü genelinde güvenlik için birleşik bir yaklaşım yaratmayı ve daha geniş ekonomiyi etkileyebilecek sistemik riskleri azaltmayı amaçlamaktadır. Ancak, AB müşterilerine hizmet veren İngiltere merkezli firmalar da dahil olmak üzere düzenlemeden etkilenen işletmeler için uyum sadece en iyi uygulama değildir; Bu bir zorunluluktur.
Finans endüstrisi uzun zamandır siber suçlular için en iyi hedef olmuştur. Bankalar, sigorta şirketleri ve yatırım firmaları günde büyük miktarda hassas veriyi ele almakta ve milyonlarca işlemi işlemektedir. Bu hizmetlerde yapılan herhangi bir aksaklık, sadece bireysel işletmeler için değil, tüm ekonomiler için de geniş kapsamlı sonuçlara sahip olabilir.
Tehdit aktörleri, fidye yazılımı çeteleri, devlet destekli bilgisayar korsanları ve siber suçlu sendikalar ile bunu çok iyi biliyorlar. Son yıllarda yüksek profilli olaylar, tek bir ihlalin küresel pazarlarda nasıl dalgalanabileceğini göstermiştir. Swift banka saldırılarından Capital One veri ihlaline kadar, finansal kurumlar siber esnekliğin artık isteğe bağlı olmadığı gerçeğini hesaba katmak zorunda kaldı.
Dora, sürekli güvenlik testi, sağlam risk yönetimi çerçeveleri ve siber olaylar için gelişmiş raporlama mekanizmalarını zorunlu kılarak bu artan riski kabul eder. Bu önlemler, kuruluşların önemli zararlara neden olmadan önce tehditlerden tanımlayabilmelerini, yanıt verebilmelerini ve iyileşmesini sağlar. Güvenlik politikalarına odaklanan geçmiş yönetmeliklerin aksine, Dora eylemde etkili esneklik kanıtı talep ediyor.
Dora’ya uymamak sadece düzenleyici bir konu değildir, aynı zamanda finansal ve itibar bir risktir. AB, altı aya kadar günlük cironun% 1’ine kadar para cezası da dahil olmak üzere yeni gereksinimleri karşılamayan kuruluşlar için zorlu cezalar getirdi. Büyük finansal kurumlar için, bu milyonlarca gelir kaybına dönüşebilir.
Ancak para cezaları denklemin sadece bir parçasıdır. Dayanıklılık standartlarının karşılamaması, bir kuruluşun siber saldırılara maruz kalmasını da artırabilir, bu da uzun süreli kesintilere, veri ihlallerine ve finansal kayıplara yol açabilir. Müşteri güveni finans sektöründe çok önemlidir ve bir kurumun varlıklarını koruyamadığına dair herhangi bir gösterge, müşterileri daha güçlü güvenlik önlemleri olan rakiplere yönlendirebilir.
AB finansal piyasasında faaliyet gösteren İngiltere merkezli firmalar için bahisler daha da yüksektir. Uygunluk olmadan, bu işletmeler kilit pazarlara erişimi kaybetme, onları Avrupalı müşterilerden ve iş fırsatlarından ayırma riskiyle karşı karşıya. Brexit zaten düzenleyici manzaraları yeniden şekillendirirken, İngiltere finans firmaları AB standartlarını karşılama konusunda geride kalmayı göze alamazlar.
Dora’nın katı gereksinimlerini karşılamak, özellikle sınırlı kaynaklara sahip daha küçük kuruluşlar için ezici görünebilir. Ancak, finansal firmaların sıfırdan başlaması gerekmez. ISO 27001 gibi yerleşik güvenlik çerçeveleri, Dora’nın risk yönetimi, olay yanıtı ve operasyonel esneklik de dahil olmak üzere birçok temel görevi karşılaması için yapılandırılmış bir yaklaşım sağlar.
ISO 27001, Dora’nın proaktif risk değerlendirmesi ve sürekli iyileştirme odağı ile yakından uyumlu iyi tanımlanmış bir bilgi güvenliği yönetim sistemi (ISMS) sunar. Daha önce ISO 27001’i uygulayan kuruluşların, Dora’nın gereksinimlerinin çoğunu ele almak için güçlü bir temele sahip olacak ve uyumluluk yükünü azaltacaktır.
ISO 27001’in ötesinde, NIST’in Siber Güvenlik Çerçevesi ve CIS kontrolleri gibi diğer çerçeveler, BİT altyapısının güvence altına alınması ve tehditlere yanıt verme konusunda ek rehberlik sağlayabilir. Bu standartlardan yararlanarak, kuruluşlar uyumluluk çabalarını kolaylaştırabilir, esneklik taahhüdünü gösterebilir ve gelecekteki düzenleyici değişikliklere uyum sağlamalarını sağlayan ölçeklenebilir bir yaklaşım yaratabilir.
Birçok işletme için, Dora uyumluluğuna ulaşmak, güvenlik altyapısı, esneklik testi ve yetenekli personel için önemli yatırım gerektirecektir. Ancak, eylemsizlik maliyeti çok daha büyüktür.
Operasyonel esneklik oluşturmak sadece düzenleyici beklentileri karşılamak, BİT güvenliğini güçlendirerek, titiz test prosedürlerini uygulayarak ve olay müdahale yeteneklerini geliştirerek, finansal kurumlar güven ve güvenilirliğin en önemli olduğu bir sektörde rekabet avantajı kazanabilir.
Şimdi proaktif adımlar atan finansal kuruluşlar, gelişen tehdit manzarasında gezinmek, varlıklarını korumak ve Avrupa pazarındaki duruşlarını korumak için daha iyi konumlandırılacaktır. Finansal cezaları, itibar hasarını ve sürekli büyüyen siber tehditlere maruz kalma riskini geciktirenler.
