محلل المرور | ناقلات الرؤية الرقمية | صور جيتي
تدخل لوائح الاتحاد الأوروبي الصارمة الجديدة التي تتطلب من البنوك تعزيز أنظمة الأمن السيبراني الخاصة بها حيز التنفيذ رسميًا يوم الجمعة – لكن العديد من شركات الخدمات المالية في الكتلة لم تمتثل بعد للقواعد بشكل كامل.
الاتحاد الأوروبي قانون المرونة التشغيلية الرقمية، أو DORA، يتطلب من كل من شركات الخدمات المالية وموردي التكنولوجيا لديها تعزيز أنظمة تكنولوجيا المعلومات الخاصة بهم لضمان مرونة الصناعة في حالة وقوع هجوم إلكتروني أو أي شكل آخر من أشكال التعطيل. ودخلت حيز التنفيذ في 17 يناير.
يمكن أن تكون العقوبات المفروضة على انتهاكات التشريع الجديد كبيرة. وقد تواجه شركات الخدمات المالية التي تخالف القواعد الجديدة غرامات تصل إلى 2% من الإيرادات العالمية السنوية. ويمكن أيضًا تحميل المديرين الأفراد المسؤولية عن الانتهاكات ويواجهون عقوبات تصل إلى مليون يورو (مليون دولار).
حتى الآن، كان معدل الامتثال بين شركات الخدمات المالية للقواعد الجديدة مختلطًا، وفقًا لهارفي جانج، كبير مسؤولي الخصوصية ونائب المستشار العام في شركة سيسكو العملاقة لتكنولوجيا المعلومات.
وقال جانغ لشبكة سي إن بي سي في مقابلة: “أعتقد أننا رأينا حقيبة مختلطة”. “وبطبيعة الحال، فإن الشركات الأكثر نضجا تستمر في النظر في هذا الأمر لمدة عام على الأقل – إن لم يكن أطول”.
“نحن نحاول حقًا بناء برنامج الامتثال هذا، ولكنه معقد للغاية. أعتقد أن هذا هو التحدي. وقد رأينا ذلك أيضًا مع اللائحة العامة لحماية البيانات والتشريعات الواسعة الأخرى التي تخضع للتفسير – ماذا يعني الامتثال فعليًا؟ إنه يعني مختلفًا قال: “الأشياء لأشخاص مختلفين”.
وأضاف جانج أن هذا الافتقار إلى الفهم المشترك لما يعتبر امتثالًا قويًا لـ DORA أدى بدوره إلى قيام العديد من المؤسسات بتكثيف معايير الأمان إلى المستوى الذي يتجاوز فيه بالفعل “خط الأساس” لما هو متوقع من معظم الشركات.
هل المؤسسات المالية جاهزة؟
بموجب قانون DORA، سيُطلب من الشركات المالية إجراء إدارة صارمة لمخاطر تكنولوجيا المعلومات والحوادث، والتصنيف والإبلاغ، واختبار المرونة التشغيلية، وتبادل المعلومات الاستخبارية حول التهديدات السيبرانية ونقاط الضعف، واتخاذ تدابير لإدارة مخاطر الطرف الثالث.
سيُطلب من الشركات أيضًا إجراء تقييمات “لمخاطر التركيز” المرتبطة بالاستعانة بمصادر خارجية للوظائف التشغيلية المهمة أو المهمة لشركات خارجية.
أ استطلاع على مستوى التعداد شمل 200 من كبار مسؤولي أمن المعلومات في المملكة المتحدة بتكليف من شركة Orange Cyberdefense، قسم الأمن السيبراني لشركة الاتصالات الفرنسية البرتقاليوأظهر أن 43% من المؤسسات المالية في بريطانيا لم تمتثل بعد بشكل كامل لقانون DORA.
وهذا أمر مثير للقلق لأنه، على الرغم من أن المملكة المتحدة تقع خارج الاتحاد الأوروبي الآن، فإن قانون DORA ينطبق على جميع الكيانات المالية العاملة ضمن ولايات الاتحاد الأوروبي – حتى لو كان مقرها خارج الكتلة.
وقال ريتشارد ليندساي، المستشار الاستشاري الرئيسي في شركة Orange Cyberdefense، لشبكة CNBC: “في حين أنه من الواضح أن DORA ليس لها أي وصول قانوني في المملكة المتحدة، فإن الكيانات الموجودة هنا والتي تعمل أو تقدم خدمات لكيانات في الاتحاد الأوروبي ستخضع للتنظيم”.
وأضاف أن التحدي الرئيسي الذي يواجه العديد من المؤسسات المالية عندما يتعلق الأمر بتحقيق الامتثال لـ DORA هو إدارة موفري تكنولوجيا المعلومات من الأطراف الثالثة.
وقال ليندسي: “تعمل المؤسسات المالية ضمن نظام بيئي رقمي متعدد الطبقات ومعقد للغاية”. “إن التتبع والتأكد من امتثال جميع أجزاء هذا النظام بشكل واضح للعناصر ذات الصلة بـ DORA سيتطلب عقلية وحلولًا وموارد جديدة.”
وقال جانغ إن البنوك تضيف أيضًا مستويات أعلى من التدقيق في مفاوضات العقود مع موردي التكنولوجيا بسبب المتطلبات الصارمة لـ DORA.
صرح كبير مسؤولي الخصوصية في Cisco لـ CNBC أنه يعتقد أن هناك توافقًا عندما يتعلق الأمر بمبادئ القانون وروحه. ومع ذلك، أضاف أن “أي تشريع هو نتاج تسوية، وبالتالي، عندما يصبح أكثر توجيهًا، يصبح الأمر صعبًا”.
“المبادئ التي نتفق معها، لكن أي تشريع هو نتاج تسوية، وكلما أصبحت أكثر توجيهية، يصبح الأمر صعبا”.
ومع ذلك، وعلى الرغم من التحديات، فإن التوقعات الواسعة بين الخبراء هي أنه لن يمر وقت طويل حتى تحقق البنوك والمؤسسات المالية الأخرى الامتثال.
وقال فابيو كولومبو، رئيس أمن الخدمات المالية في أوروبا والشرق الأوسط وأفريقيا في شركة Accenture، لشبكة CNBC: “تلتزم البنوك في أوروبا بالفعل باللوائح المهمة التي تغطي غالبية المجالات التي تندرج تحت DORA”.
“ونتيجة لذلك، تتمتع مؤسسات الخدمات المالية بالفعل بقدرات ناضجة في مجال الحوكمة والامتثال، مع عمليات الإبلاغ عن الحوادث الحالية وأطر متينة لمخاطر تكنولوجيا المعلومات والاتصالات.”
المخاطر التي يواجهها موردو تكنولوجيا المعلومات
يمكن أيضًا فرض غرامات على موفري تكنولوجيا المعلومات بموجب DORA. وتهدد القواعد بفرض رسوم تصل إلى 1% من متوسط الإيرادات اليومية في جميع أنحاء العالم لمدة تصل إلى ستة أشهر.
وقال بريان فوكس، كبير مسؤولي التكنولوجيا في شركة إدارة سلسلة توريد البرمجيات “سوناتايب”، لشبكة CNBC: “هذه العقوبات ضرورية”. “إنهم محفزون قويون، يدفعون القادة إلى أخذ الامتثال والمرونة التشغيلية على محمل الجد أكثر من أي وقت مضى.”
وقالت ليندساي من شركة Orange Cyberdefense إن هناك خطرًا على المدى الطويل من أن تقوم شركات الخدمات المالية في نهاية المطاف بنقل وظائفها وخدماتها الأمنية الحيوية داخل الشركة.
وقال “إن التقدم في التكنولوجيا قد يسمح للمؤسسات المالية بنقل الخدمات إلى الداخل، وتبسيط هذا الجانب وتقليل مخاطر عدم الامتثال”.
وأضاف ليندساي: “في كلتا الحالتين، ستحتاج العقود الحالية إلى التحديث لضمان الامتثال بموجب العقد ومراقبته بين الكيان والمزود”.
وفي الوقت نفسه، هناك العديد من اللوائح الأخرى التي تركز على الأمن السيبراني والتي يتعين على المؤسسات الالتزام بها، مثل توجيه أمن الشبكات والمعلومات 2، أو NIS 2، وقانون المرونة السيبرانية. السابق دخل حيز التنفيذ في أكتوبر.
وقال فوكس من شركة Sonatype لشبكة CNBC: “كما هو الحال مع أي لائحة جديدة، ستكون هناك بالتأكيد فترة انتقالية حيث تتكيف المنظمات مع المتطلبات والمعايير الجديدة”. “هذه بداية رحلة طويلة نحو تحسين أمان البرمجيات ومرونتها.”
