ปีที่แล้ว ประธานสภาสหภาพยุโรปและรัฐสภายุโรปได้บรรลุข้อตกลงชั่วคราวเกี่ยวกับกฎหมาย Digital Operational Resilience Act (DORA) เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของสถาบันการเงินในยุโรป เมื่อ DORA ถูกนำมาใช้โดยประเทศในสหภาพยุโรป บริษัททางการเงินจะต้องตรวจสอบให้แน่ใจว่าพวกเขาสามารถตอบโต้ ตอบสนอง และกู้คืนจากการหยุดชะงักและภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ทุกประเภท โดยมีเป้าหมายสูงสุดในการป้องกันและบรรเทาภัยคุกคามทางไซเบอร์ กฎระเบียบใช้วิธีการที่แตกต่างในการควบคุมหน่วยงานขนาดเล็ก ขนาดเล็ก และเชื่อมต่อถึงกัน
ความยืดหยุ่นในการทดสอบ
หน่วยงานกำกับดูแลของยุโรป (ESAs) ได้แก่ European Banking Authority (EBA) European Securities and Markets Authority (ESMA) และ European Insurance and Occupational Pensions Authority (EIOPA) - กำลังพัฒนา "มาตรฐานทางเทคนิคที่สถาบันการเงินทุกแห่งต้อง ปฏิบัติตาม” นอกจากนี้ ผู้ให้บริการไอซีทีที่เป็นบุคคลภายนอกที่สำคัญ โดยเฉพาะผู้ให้บริการคลาวด์แก่สถาบันการเงินในสหภาพยุโรป จะต้องจัดตั้งบริษัทสาขาภายในสหภาพยุโรปเพื่อการกำกับดูแลที่เหมาะสม และผู้ตรวจสอบจะมีส่วนร่วมในการทบทวนกฎระเบียบในอนาคต
กฎหมายใหม่จะบังคับให้บริษัท FSI ในสหภาพยุโรปทดสอบความยืดหยุ่นขององค์กรของตน นั่นคือ โดยพื้นฐานแล้ว พวกเขาจะต้องจัดการความเสี่ยงและใช้กรอบการกำกับดูแลความเสี่ยงเพื่อตอบสนองความต้องการของ DORA ดังนั้นจึงขอแนะนำให้ CISO ในอุตสาหกรรมการเงินทั้งหมดพิจารณาการทำงานร่วมกับผู้จำหน่ายและคู่ค้าด้านความปลอดภัยทางไซเบอร์ที่ได้รับข้อมูลล่าสุดเกี่ยวกับ DORA อย่างเต็มที่
คำแนะนำเพิ่มเติมในปี 2023 สำหรับ CISO ของบริการทางการเงิน
นอกจากนี้ยังมีคำแนะนำที่เป็นรูปธรรมอื่นๆ สำหรับสถาบันการเงินในภาคการเงินที่วางแผนในปี 2023 CISOs (Heads of Information Security) ที่ทำงานในอุตสาหกรรมบริการทางการเงินจำเป็นต้องเข้าใจว่าปี 2023 จะไม่เหมือนกับปี 2022; การเปลี่ยนแปลงครั้งใหญ่กำลังเกิดขึ้นและความเสี่ยงทางไซเบอร์ก็เพิ่มขึ้น
เปลี่ยนเป็นความคิดแทรกแซงและการกู้คืน
มีแรนซัมแวร์เพิ่มขึ้น และนี่เป็นปัญหาอันดับต้น ๆ สำหรับทุกสถาบัน ไม่ใช่แค่สถาบันการเงินเท่านั้น ตามเนื้อผ้า ความคิดของอุตสาหกรรมบริการทางการเงินคือ: "ไม่ เราไม่ต้องการความเสี่ยง" จนถึงตอนนี้ ทุกอย่างเกี่ยวกับการป้องกันและการตรวจจับ อย่างไรก็ตาม ด้วยธรรมชาติของความเสี่ยงทางไซเบอร์ในปัจจุบัน แนวทางนี้ไม่สามารถทำได้จริงอีกต่อไป
CISO ในอุตสาหกรรมการเงินจำเป็นต้องเข้าใจภูมิทัศน์ของภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วและมุ่งเน้นไปที่ความยืดหยุ่นมากขึ้น ซึ่งหมายความว่ากลยุทธ์ของสถาบันในภาคการเงินควรเปลี่ยนจากการพยายามหลีกเลี่ยงความเสี่ยงทั้งหมดเป็นเพื่อให้สามารถฟื้นตัวจากการโจมตีได้อย่างรวดเร็ว สิ่งนี้จะนำไปสู่การลงทุนในแพลตฟอร์มที่เปิดใช้งานฟังก์ชันต่างๆ เช่น การตรวจจับและตอบสนองปลายทาง (EDR) การตรวจจับและการตอบสนองแบบขยาย (XDR) และการจัดการความปลอดภัย ระบบอัตโนมัติและการตอบสนอง (SOAR)
ความเสี่ยงที่มาพร้อมกับการเงินแบบฝังตัว
อีกประเด็นหนึ่งที่ CISO ในสถาบันการเงินต้องพิจารณาในปี 2023 คือแนวโน้มที่เพิ่มขึ้นของการเงินแบบฝังตัว
การเงินแบบฝังตัวคืออะไร?
“การเงินแบบฝังตัวเป็นกระบวนการของการรวมบริการทางการเงินทั้งหมดไว้ในที่เดียว แทนที่จะจัดการกับสถาบันแบบดั้งเดิม นำเสนอวิธีที่ปลอดภัย เรียบง่าย และมีประสิทธิภาพในการรวบรวมบริการทั้งหมดที่ผู้ค้าปลีกสามารถใช้ได้ในโมเดลเดียวที่จัดการง่าย โซลูชันทางการเงินสามารถรวมเข้ากับโครงสร้างพื้นฐานของธุรกิจ อำนวยความสะดวกในการเข้าถึงบริการทางการเงิน เช่น การให้กู้ยืม การประกัน หรือธุรกรรมการชำระเงินโดยไม่ต้องนำผู้คนไปยังจุดหมายปลายทางของบุคคลที่สาม นั่นหมายถึงแอปที่ต้องยุ่งวุ่นวายน้อยลง ผู้คนน้อยลงในการจัดการกับเงิน ความกังวลน้อยลง และใช้เวลาน้อยลงในการดูแลเรื่องโลจิสติกส์ทางการเงิน ความสนใจในอุตสาหกรรมนี้เติบโตขึ้นอย่างรวดเร็วในช่วงไม่กี่ปีที่ผ่านมา ตลาดการเงินแบบฝังตัวของสหรัฐมีมูลค่าถึง 2020 พันล้านดอลลาร์ในปี 22,5 และคาดว่าจะเติบโตเป็นสิบเท่าเป็น 2025 พันล้านดอลลาร์ในปี 230” (NCR, 8 สิงหาคม 2022)
การเงินจะแพร่หลายมากขึ้นในโลกปี 2023 และต่อๆ ไป ตัวอย่างเช่น พิจารณาการเงินแบบฝังตัว ซึ่งองค์กรที่ไม่ใช่แบบดั้งเดิมใช้ผลิตภัณฑ์ทางการเงินสำหรับการขายแบบ "ซื้อตอนนี้ จ่ายทีหลัง" วิธีการนี้จะเพิ่มยอดขายแต่ยังเพิ่มความเสี่ยงให้กับองค์กรด้วย
การเงินแบบฝังได้รับการอำนวยความสะดวกโดยเทคโนโลยีธนาคารในฐานะบริการ (BaaS) และเทคโนโลยีอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) วิธีนี้คาดว่าจะสร้างรายได้ต่อปีให้กับธนาคารมากกว่า 2026 หมื่นล้านดอลลาร์ภายในปี 25 และภายในปี 2025 ธนาคารเดิมจะเปลี่ยนรายได้ธุรกิจขนาดกลางและขนาดย่อมร้อยละ 25 ไปยังช่องทางเดิม (แอปพลิเคชันแบบฝังตัว: รายได้ใหม่และความเสี่ยงใหม่สำหรับธนาคาร (garp.org)
สำหรับปี 2023 และหลังจากนั้น CISO ที่ FSI จำเป็นต้องให้ความสนใจเป็นพิเศษกับสิ่งต่อไปนี้:
- องค์กรจำเป็นต้องตรวจสอบให้แน่ใจว่าตนมีนโยบายการรักษาความปลอดภัยทางไซเบอร์และการปกป้องข้อมูลที่เข้มงวด รวมถึงมาตรการป้องกันการละเมิดข้อมูลและการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
- ในกรณีที่สถาบันทำงานร่วมกับพันธมิตรที่ไม่ใช่สถาบันการเงินซึ่งอาจไม่มีความเชี่ยวชาญหรือประสบการณ์ด้านบริการทางการเงินในระดับเดียวกัน พวกเขาต้องติดตามความเสี่ยงที่อาจเกิดขึ้นจากการใช้ข้อมูลในทางที่ผิดหรือในทางที่ผิด
- เมื่อผสานรวมผลิตภัณฑ์และบริการทางการเงินเข้ากับผลิตภัณฑ์หรือแพลตฟอร์มที่ไม่ใช่ผลิตภัณฑ์ทางการเงิน ควรพิจารณาถึงผลประโยชน์ทับซ้อนที่อาจเกิดขึ้น และสถาบันควรมีความโปร่งใสกับลูกค้าเกี่ยวกับข้อกำหนดและเงื่อนไขของผลิตภัณฑ์และบริการเหล่านั้น
- จำเป็นต้องติดตามข่าวสารล่าสุดเกี่ยวกับการพัฒนาด้านกฎระเบียบที่เกี่ยวข้องกับการเงินแบบฝังตัว และตรวจสอบให้แน่ใจว่าองค์กรปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมด
- องค์กรควรร่วมมือกับบริษัทผู้เชี่ยวชาญหรือพิจารณาปรึกษากับผู้เชี่ยวชาญในสาขานั้นเพื่อให้แน่ใจว่ามีความรู้และทรัพยากรในการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวอย่างมีประสิทธิภาพในบริบทของการเงินแบบฝังตัว
ความตระหนักก็มีความสำคัญเช่นกันเพราะเทคโนโลยีเพียงอย่างเดียวไม่สามารถบรรลุสิ่งนี้ได้ สถาบันการเงินจำเป็นต้องเริ่มฝึกอบรมพนักงานเกี่ยวกับ DevSecOps, ปัญญาประดิษฐ์, การเรียนรู้ของเครื่อง และความปลอดภัยของ API ณ จุดนี้ ฟอร์ติเน็ตเน้นย้ำถึงความมุ่งมั่นที่จะช่วยปิดช่องว่างทักษะทางไซเบอร์และเพิ่มความตระหนักรู้ทางไซเบอร์ผ่านโครงการริเริ่มของ TAA และสถาบันการศึกษา
เป็นคนแรกที่แสดงความคิดเห็น