Το τοπίο γύρω από τα θέματα της ασφάλειας στον κυβερνοχώρο και της επιχειρησιακής ανθεκτικότητας εξελίσσεται ραγδαία, ιδίως στον κρίσιμο τομέα των χρηματοπιστωτικών υπηρεσιών. Η ευρωπαϊκή κανονιστική πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα (Digital Operational Resilience Act - DORA) έρχεται να κωδικοποιήσει τον τρόπο με τον οποίο τα χρηματοπιστωτικά ιδρύματα διαχειρίζονται τους κινδύνους στον κυβερνοχώρο και την ανθεκτικότητα των υποδομών τους. Ως εκ τούτου, είναι επιτακτική η ανάγκη για όλες τις οντότητες του χρηματοπιστωτικού οικοσυστήματος –συμπεριλαμβανομένων των τραπεζών, των ασφαλιστικών εταιρειών αλλά και των τρίτων μερών που παρέχουν υποστηρικτικές υπηρεσίες σε πελάτες τους στην Κύπρο– να προετοιμαστούν έως τις 17 Ιανουαρίου 2025, οπότε και τίθεται σε εφαρμογή η DORA.
Η DORA στοχεύει στη δημιουργία ενός ισχυρού ρυθμιστικού πλαισίου που θα διασφαλίζει την ακεραιότητα, την ασφάλεια και την ανθεκτικότητα των συστημάτων δικτύου και πληροφοριών σε ολόκληρο τον τομέα των χρηματοπιστωτικών υπηρεσιών. Αυτό περιλαμβάνει την εφαρμογή αυστηρών απαιτήσεων για τη διαχείριση κινδύνων, την αναφορά συμβάντων, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας και τη διαχείριση κινδύνων από τρίτους. Με τη δημιουργία ενός ενιαίου προτύπου, η DORA επιδιώκει να μετριάσει τους κινδύνους που συνδέονται με τις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ICT) και να ενισχύσει τη συνολική σταθερότητα των χρηματοπιστωτικών συστημάτων στην Ε.Ε.
Προκλήσεις για τον χρηματοπιστωτικό τομέα της Κύπρου
Οι χρηματοπιστωτικοί οργανισμοί στην Κύπρο αντιμετωπίζουν ποικίλες προκλήσεις λόγω των διαφορετικών μεγεθών και δυνατοτήτων τους. Ωστόσο, σχεδιάζοντας αποτελεσματικά και αξιοποιώντας τους κατάλληλους πόρους και συνεργασίες, θα μπορέσουν να ενισχύσουν το ανταγωνιστικό τους πλεονέκτημα σε έναν ψηφιακό κόσμο μέσω της συμμόρφωσης με την DORA.
Ένα πρώτο βήμα για τα χρηματοπιστωτικά ιδρύματα είναι να προβούν σε ενδελεχή αξιολόγηση του υφιστάμενου πλαισίου κυβερνοασφάλειας και ανθεκτικότητας που διαθέτουν, σε αντιπαραβολή με τις απαιτήσεις της DORA. Τέτοιες ασκήσεις θα βοηθήσουν στον εντοπισμό κενών στη συμμόρφωση και θα βοηθήσουν στην ιεράρχηση των απαιτούμενων λύσεων.
Πολλά χρηματοπιστωτικά ιδρύματα θα χρειαστεί να αναβαθμίσουν τις τεχνολογικές υποδομές τους και ενδεχομένως να χρειαστεί να υιοθετήσουν νέες τεχνολογίες που θα ενισχύουν την ασφάλεια και την ανθεκτικότητά τους στον κυβερνοχώρο. Άλλα, ενδέχεται να χρειαστεί να αναθεωρήσουν τα υφιστάμενα τους συστήματα ICT, γεγονός που θα απαιτήσει σημαντικές επενδύσεις και στρατηγικό σχεδιασμό. Επιπλέον, είναι πολύ σύνηθες για πολλούς φορείς να μην διαθέτουν επαρκή εσωτερική τεχνογνωσία ή πόρους για να αντιμετωπίσουν τις ολοκληρωμένες απαιτήσεις που θέτει η πράξη DORA –και για όσους δεν διαθέτουν αυτές τις εσωτερικές δυνατότητες, η συνεργασία με μια εξειδικευμένη εταιρεία σε θέματα κυβερνοασφάλειας θα είναι καθοριστικής σημασίας.
Σημαντικό ρόλο θα διαδραματίσουν, επίσης, τα προγράμματα συνεχούς κατάρτισης του προσωπικού όλων των βαθμίδων. Τα προγράμματα αυτά θα πρέπει να εστιάζουν όχι μόνο στη συμμόρφωση, αλλά και στην καλλιέργεια μιας κουλτούρας ευαισθητοποίησης σε θέματα κυβερνοασφάλειας σε ολόκληρο τον οργανισμό.
Η διενέργεια συστηματικών αξιολογήσεων ανθεκτικότητας –συμπεριλαμβανομένων των ασκήσεων προσομοίωσης ακραίων καταστάσεων (stress tests) και της ανάλυσης σεναρίων– θα βοηθήσει τους οργανισμούς να κατανοήσουν τον τρόπο με τον οποίο τα συστήματά τους ανταποκρίνονται σε διάφορες καταστάσεις. Αυτό είναι ζωτικής σημασίας τόσο για τη συμμόρφωση όσο και για τη συνεχή βελτίωση των στρατηγικών ανθεκτικότητας. Η προληπτική αλληλεπίδραση με τις ευρωπαϊκές εποπτικές Αρχές και τις τοπικές ρυθμιστικές Αρχές θα βοηθήσει επίσης τα χρηματοπιστωτικά ιδρύματα να είναι ενήμερα για τις κανονιστικές επικαιροποιήσεις. Τέτοιες δοκιμές θα βοηθήσουν και στη λεπτομερή ρύθμιση των στρατηγικών συμμόρφωσης με βάση την ανατροφοδότηση από τις ρυθμιστικές Αρχές.
Ευκαιρία για ενίσχυση έναντι των απειλών στον κυβερνοχώρο
Τα χρηματοπιστωτικά ιδρύματα στην Κύπρο θα πρέπει να αντικρίσουν την πορεία τους προς τη συμμόρφωση με την πράξη DORA ως μια ευκαιρία να ενισχύσουν την άμυνά τους έναντι της αυξανόμενης συχνότητας και της πολυπλοκότητας των απειλών στον κυβερνοχώρο. Αν και το έργο μπορεί να φαίνεται αποθαρρυντικό, οι οργανισμοί δεν πρέπει να υποτιμούν την στρατηγική σημασία της ασφάλειας στον κυβερνοχώρο και της επιχειρησιακής ανθεκτικότητας. Επισημαίνεται επίσης ότι η DORA επιφορτίζει τα ανώτερα στελέχη και τα μέλη των διοικητικών συμβουλίων με την ευθύνη να διασφαλίσουν ότι οι οργανισμοί τους πληρούν όλες τις κανονιστικές απαιτήσεις.
Καθώς πλησιάζει η προθεσμία για την εφαρμογή της DORA, είναι ζωτικής σημασίας όλοι οι ενδιαφερόμενοι, από τα εκτελεστικά συμβούλια έως τα τμήματα πληροφορικής, να συντονίσουν τις προσπάθειές τους για να συμβάλουν στη διασφάλιση μιας απρόσκοπτης μετάβασης στο νέο αυτό κανονιστικό περιβάλλον. Αυτή η προληπτική προσέγγιση θα συμβάλει στη διασφάλιση όχι μόνο των λειτουργιών των χρηματοπιστωτικών ιδρυμάτων της Κύπρου, αλλά και της φήμης και της αξιοπιστίας τους στα μάτια των πελατών τους και της αγοράς γενικότερα.
Ο Μάρκος Μαρκίδης, είναι consult partner στην Kyndryl Κύπρου
