Vorig jaar bereikten het voorzitterschap van de Raad van de Europese Unie en het Europees Parlement een tussentijds akkoord over de Digital Operational Resilience Act (DORA) om de cyberbeveiliging van financiële instellingen in Europa te verbeteren. Zodra DORA door EU-landen is aangenomen, moeten financiële ondernemingen ervoor zorgen dat ze alle soorten verstoringen en bedreigingen op het gebied van informatie- en communicatietechnologie (ICT) kunnen tegengaan, erop kunnen reageren en kunnen herstellen, met als uiteindelijk doel het voorkomen en beperken van cyberdreigingen. Regelgeving hanteert een gedifferentieerde aanpak voor het reguleren van kleine, micro- en onderling verbonden entiteiten.
Flexibiliteit testen
De Europese toezichthoudende autoriteiten (ETA's), namelijk de Europese Bankautoriteit (EBA), de Europese Autoriteit voor effecten en markten (ESMA) en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA) - ontwikkelen "technische normen die alle instellingen voor financiële dienstverlening moeten voldoen aan". Daarnaast zullen kritieke externe ICT-dienstverleners, met name cloudproviders aan financiële instellingen in de EU, een dochteronderneming binnen de EU moeten opzetten voor passend toezicht, en zullen auditors worden betrokken bij toekomstige herzieningen van de verordening.
De nieuwe wet dwingt FSI-bedrijven in de EU om de veerkracht van hun organisaties te testen; dat wil zeggen dat ze in principe risico's moeten beheersen en een raamwerk voor risicobeheer moeten gebruiken om aan de eisen van DORA te voldoen. Daarom wordt aanbevolen dat alle CISO's in de financiële sector overwegen om samen te werken met cyberbeveiligingsleveranciers en -partners die volledig op de hoogte zijn van DORA.
Verdere aanbevelingen voor 2023 voor CISO's op het gebied van financiële dienstverlening
Er worden ook andere, meer concrete aanbevelingen gedaan voor instellingen in de financiële sector die plannen maken voor 2023. CISO's (Heads of Information Security) die in de financiële dienstverlening werken, moeten begrijpen dat 2023 niet zal zijn zoals 2022; Er vinden grote veranderingen plaats en het cyberrisico neemt toe.
Verschuiving naar een interventie- en herstelmentaliteit
Er is een toename van ransomware en dit is een topprobleem voor alle instellingen, niet alleen voor financiële instellingen. Traditioneel is de mentaliteit in de financiële dienstverlening: "Nee, we willen geen risico's." Tot nu toe draaide het allemaal om bescherming en detectie. Gezien de aard van het huidige cyberrisico is deze benadering echter niet langer realistisch.
CISO's in de financiële sector moeten het snel veranderende bedreigingslandschap begrijpen en zich richten op veerkrachtiger worden. Dit betekent dat de strategie van een instelling uit de financiële sector moet verschuiven van het proberen alle risico's te vermijden naar het snel kunnen herstellen van een aanval. Dit zal uiteraard leiden tot investeringen in platforms die functies mogelijk maken zoals endpoint-detectie en -respons (EDR), uitgebreide detectie en respons (XDR) en beveiligingsorkestratie, automatisering en respons (SOAR).
De risico's die gepaard gaan met embedded finance
Een ander probleem voor CISO's in financiële instellingen om in 2023 rekening mee te houden, is de stijgende trend van embedded finance.
Wat is embedded finance?
“Embedded finance is het proces van het integreren van alle financiële diensten op één plek in plaats van te maken te hebben met traditionele instellingen. Het biedt een veilige, eenvoudige en efficiënte manier om alle services te verzamelen die een retailer kan gebruiken in één eenvoudig te beheren model. Financiële oplossingen kunnen worden geïntegreerd in de infrastructuur van een bedrijf, waardoor de toegang tot financiële diensten zoals leningen, verzekeringen of betalingstransacties wordt vergemakkelijkt zonder mensen naar bestemmingen van derden te leiden. Dat betekent minder apps om mee te rotzooien, minder mensen om met geld om te gaan, minder zorgen te maken en minder tijd te besteden aan het bijhouden van de financiële logistiek. De belangstelling voor deze branche is de afgelopen jaren snel gegroeid. De Amerikaanse embedded finance-markt bereikte $ 2020 miljard in 22,5 en zal naar verwachting in 2025 vertienvoudigen tot $ 230 miljard. (NCR, 8 augustus 2022)
Financiën zullen steeds vaker voorkomen in de wereld van 2023 en daarna. Denk bijvoorbeeld aan embedded finance, waarbij niet-traditionele organisaties financiële producten gebruiken voor 'nu kopen, later betalen'-verkopen. Deze methode verhoogt de omzet, maar verhoogt ook het risico voor organisaties.
Embedded finance wordt mogelijk gemaakt door banking as a service (BaaS) en API-technologieën (Application Programming Interface). Deze methode zal naar verwachting tegen 2026 meer dan $ 25 miljard aan jaarlijkse inkomsten voor banken genereren, en tegen 2025 zullen gevestigde banken 25 procent van de inkomsten van kleine en middelgrote bedrijven verschuiven naar gevestigde kanalen. (Ingesloten toepassingen: nieuwe inkomsten en nieuwe risico's voor banken (garp.org)
Voor 2023 en daarna moeten CISO's bij FSI bijzondere aandacht besteden aan het volgende:
- Organisaties moeten ervoor zorgen dat ze een robuust cyberbeveiligings- en gegevensbeschermingsbeleid hebben, inclusief maatregelen om datalekken en ongeoorloofde toegang tot gevoelige informatie te voorkomen.
- Waar instellingen werken met niet-financiële partners die mogelijk niet hetzelfde niveau van expertise of ervaring in financiële dienstverlening hebben, moeten zij mogelijke risico's van datamisbruik of -misbruik monitoren.
- Bij het integreren van financiële producten en diensten in niet-financiële producten of platforms moet rekening worden gehouden met de mogelijkheid van belangenconflicten, en instellingen moeten tegenover klanten transparant zijn over de voorwaarden van die producten en diensten.
- Het is noodzakelijk om op de hoogte te blijven van ontwikkelingen op het gebied van regelgeving met betrekking tot embedded finance en ervoor te zorgen dat de organisatie voldoet aan alle relevante wet- en regelgeving.
- De organisatie moet samenwerken met gespecialiseerde firma's of overleg plegen met experts in het veld om ervoor te zorgen dat ze over de kennis en middelen beschikt om cyberbeveiligings- en privacyrisico's effectief te beheren in de context van embedded finance.
Bewustwording is ook belangrijk omdat technologie alleen dit niet kan bereiken. Financiële instellingen moeten hun werknemers gaan trainen in DevSecOps, kunstmatige intelligentie, machine learning en API-beveiliging. Op dit punt benadrukt Fortinet haar inzet om de kloof in cybervaardigheden te helpen dichten en het cyberbewustzijn te vergroten via het TAA-initiatief en de programma's van het Education Institute.
Wees de eerste om te reageren