تواجه البنوك معايير أمنية جديدة صارمة في الاتحاد الأوروبي – كما يخضع موردو التكنولوجيا لديها للتدقيق أيضًا

تتعرض شركات الخدمات المالية وموردوها للتكنولوجيا الرقمية لضغوط شديدة لتحقيق الامتثال للقواعد الجديدة الصارمة من الاتحاد الأوروبي والتي تلزمهم بتعزيز قدرتهم على الصمود في مواجهة الهجمات الإلكترونية.

بحلول بداية العام المقبل، سيتعين على شركات الخدمات المالية وموردي التكنولوجيا لديها التأكد من امتثالها لقانون جديد قادم من الاتحاد الأوروبي يُعرف باسم DORA، أو قانون المرونة التشغيلية الرقمية.

تستعرض قناة CNBC كل ما تحتاج إلى معرفته حول DORA – بما في ذلك ماهيته، وأهميته، وما تفعله البنوك للتأكد من استعدادها له.

يتطلب قانون DORA من البنوك وشركات التأمين والاستثمارات تعزيز أمن تكنولوجيا المعلومات لديها. كما يسعى قانون الاتحاد الأوروبي إلى ضمان قدرة قطاع الخدمات المالية على الصمود في حالة حدوث خلل شديد في العمليات.

وقد تشمل مثل هذه الاضطرابات هجومًا بالفدية يتسبب في إيقاف تشغيل أجهزة الكمبيوتر الخاصة بالشركة المالية، أو هجوم DDOS (رفض الخدمة الموزع) الذي يجبر موقع الشركة على الخروج من وضع عدم الاتصال.

وتسعى اللائحة أيضًا إلى مساعدة الشركات على تجنب أحداث الانقطاع الكبرى، مثل الانهيار التاريخي لتكنولوجيا المعلومات في الشهر الماضي بسبب هجمات شركة الإنترنت. كراود سترايك عندما أدى تحديث بسيط للبرامج أصدرته الشركة إلى تعطل نظام التشغيل ويندوز التابع لشركة مايكروسوفت.

العديد من البنوك وشركات الدفع وشركات الاستثمار – من ج. ب. مورجان تشيس و سانتاندير، ل تأشيرة و تشارلز شواب – لم تتمكن الشركات من تقديم الخدمة بسبب الانقطاع. واستغرق الأمر عدة ساعات لاستعادة الخدمة للمستهلكين.

وفي المستقبل، فإن مثل هذا الحدث سوف يقع ضمن نوع انقطاع الخدمة الذي سوف يواجه التدقيق بموجب القواعد القادمة للاتحاد الأوروبي.

ويشير مايك سليثولم، رئيس شركة التكنولوجيا المالية Broadridge International، إلى أن العامل البارز في DORA هو أنه لا يركز فقط على ما تفعله البنوك لضمان المرونة – بل يلقي أيضًا نظرة فاحصة على موردي التكنولوجيا للشركات.

وبموجب قانون DORA، ستكون البنوك ملزمة بتنفيذ إدارة صارمة لمخاطر تكنولوجيا المعلومات، وإدارة الحوادث، والتصنيف والإبلاغ، واختبار المرونة التشغيلية الرقمية، وتبادل المعلومات والاستخبارات فيما يتعلق بالتهديدات والثغرات الإلكترونية، والتدابير اللازمة لإدارة مخاطر الأطراف الثالثة.

وسيتعين على الشركات إجراء تقييمات “لمخاطر التركيز” المتعلقة بالاستعانة بمصادر خارجية لأداء وظائف تشغيلية بالغة الأهمية أو الحيوية لشركات خارجية.

وقال جو فاكارو، المدير العام لشركة مراقبة جودة الإنترنت المملوكة لشركة سيسكو، ثاوزند آيز، إن مزودي تكنولوجيا المعلومات هؤلاء غالبًا ما يقدمون “خدمات رقمية بالغة الأهمية للعملاء”.

وأضاف لشبكة CNBC: “يتعين على مقدمي الخدمات الخارجيين الآن أن يكونوا جزءًا من عملية الاختبار والإبلاغ، وهذا يعني أن شركات الخدمات المالية بحاجة إلى تبني حلول تساعدها على الكشف عن هذه التبعيات المخفية في بعض الأحيان ورسم خريطة لها مع مقدمي الخدمات”.

وأضاف فاكارو أن البنوك سوف تضطر أيضًا إلى “توسيع قدرتها على ضمان تقديم وأداء التجارب الرقمية ليس فقط عبر البنية التحتية التي تمتلكها، ولكن أيضًا تلك التي لا تمتلكها”.

دخل قانون DORA حيز التنفيذ في 16 يناير 2023، ولكن لن يتم فرض القواعد من قبل الدول الأعضاء في الاتحاد الأوروبي حتى 17 يناير 2025.

وقد أعطى الاتحاد الأوروبي الأولوية لهذه الإصلاحات بسبب اعتماد القطاع المالي بشكل متزايد على التكنولوجيا وشركات التكنولوجيا لتقديم الخدمات الحيوية. وقد أدى هذا إلى جعل البنوك ومقدمي الخدمات المالية الآخرين أكثر عرضة للهجمات الإلكترونية وغيرها من الحوادث.

وقال سليثولم لشبكة سي إن بي سي: “هناك تركيز كبير الآن على إدارة المخاطر من قبل أطراف ثالثة. تستعين البنوك بمقدمي خدمات من أطراف ثالثة لأجزاء مهمة من البنية التحتية التكنولوجية الخاصة بها”.

وأضاف أن “أهداف تحسين وقت الاسترداد تشكل جزءًا مهمًا من هذا الأمر. ويتعلق الأمر حقًا بالأمن المحيط بالتكنولوجيا، مع التركيز بشكل خاص على عمليات استرداد الأمن السيبراني من الأحداث السيبرانية”.

تميل العديد من إصلاحات السياسة الرقمية في الاتحاد الأوروبي خلال السنوات القليلة الماضية إلى التركيز على التزامات الشركات نفسها للتأكد من أن أنظمتها وأطر عملها قوية بما يكفي للحماية من الأحداث الضارة مثل فقدان البيانات لصالح المتسللين أو الأفراد والكيانات غير المصرح لهم.

على سبيل المثال، يتطلب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، أو GDPR، من الشركات التأكد من أن الطريقة التي تعالج بها المعلومات الشخصية التي يمكن التعرف عليها تتم بموافقة، وأنه يتم التعامل معها بحماية كافية لتقليل احتمال تعرض مثل هذه البيانات في حالة خرق أو تسريب.

ستركز DORA بشكل أكبر على سلسلة التوريد الرقمية للبنوك – والتي تمثل ديناميكية قانونية جديدة وأقل راحة محتملة للشركات المالية.

بالنسبة للشركات المالية التي تخالف القواعد الجديدة، فإن سلطات الاتحاد الأوروبي ستكون لديها القدرة على فرض غرامات تصل إلى 2% من إيراداتها السنوية العالمية.

كما يمكن تحميل المديرين الأفراد المسؤولية عن الخروقات. وقد تصل العقوبات المفروضة على الأفراد داخل الكيانات المالية إلى مليون يورو (1.1 مليون دولار).

بالنسبة لمقدمي خدمات تكنولوجيا المعلومات، يمكن للجهات التنظيمية فرض غرامات تصل إلى 1% من متوسط ​​الإيرادات العالمية اليومية في السنة المالية السابقة. كما يمكن تغريم الشركات كل يوم لمدة تصل إلى ستة أشهر حتى تحقق الامتثال.

قد تواجه شركات تكنولوجيا المعلومات التابعة لجهات خارجية والتي تعتبر “حاسمة” من قبل الجهات التنظيمية في الاتحاد الأوروبي غرامات تصل إلى 5 ملايين يورو – أو في حالة المدير الفردي، بحد أقصى 500 ألف يورو.

وهذا أقل شدة قليلاً من قانون مثل اللائحة العامة لحماية البيانات، والتي بموجبها يمكن تغريم الشركات بما يصل إلى 10 ملايين يورو (10.9 مليون دولار)، أو 4% من إيراداتها السنوية العالمية – أيهما أعلى.

ويؤكد كارل ليونارد، استراتيجي الأمن السيبراني لمنطقة أوروبا والشرق الأوسط وإفريقيا في شركة برمجيات الأمن Proofpoint، أن العقوبات الجنائية قد تختلف من دولة عضو إلى أخرى اعتمادًا على كيفية تطبيق كل دولة في الاتحاد الأوروبي للقواعد في أسواقها المعنية.

وأضاف ليونارد أن قانون مكافحة الإرهاب يدعو أيضًا إلى “مبدأ التناسب” عندما يتعلق الأمر بالعقوبات ردًا على انتهاكات التشريع.

وهذا يعني أن أي استجابة للإخفاقات القانونية يجب أن تحقق التوازن بين الوقت والجهد والمال الذي تنفقه الشركات على تحسين عملياتها الداخلية وتقنياتها الأمنية مقابل مدى أهمية الخدمة التي تقدمها والبيانات التي تحاول حمايتها.

وقال ستيفن ماكديرميد، كبير مسؤولي الأمن في منطقة أوروبا والشرق الأوسط وأفريقيا بشركة الأمن السيبراني أوكتا، لشبكة CNBC إن العديد من شركات الخدمات المالية أعطت الأولوية لاستخدام المرونة التشغيلية الداخلية الحالية وبرامج المخاطر الخاصة بأطراف ثالثة للامتثال لقانون DORA و”تحديد أي ثغرات قد تكون لديهم”.

وأضاف أن “هذا هو هدف وكالة الحوكمة، وهو خلق التوافق بين العديد من برامج الحوكمة القائمة تحت سلطة إشرافية واحدة وتوحيدها في جميع أنحاء الاتحاد الأوروبي”.

حذر فريدريك فورسلوند نائب الرئيس والمدير العام للشؤون الدولية في شركة بلانكو لتطهير البيانات، من أنه على الرغم من أن البنوك وموردي التكنولوجيا يحرزون تقدماً نحو الامتثال لقانون DORA، إلا أنه لا يزال هناك “عمل يتعين القيام به”.

وعلى مقياس من واحد إلى عشرة – حيث تمثل القيمة واحد عدم الامتثال وتمثل القيمة 10 الامتثال الكامل – قال فورسلوند: “نحن عند المستوى 6 ونحن نعمل جاهدين للوصول إلى المستوى 7”.

وقال “نعلم أنه يتعين علينا أن نصل إلى المستوى 10 بحلول يناير”، مضيفا أن “ليس الجميع سيكونون هناك بحلول يناير”.