Im vergangenen Jahr haben der Ratsvorsitz der Europäischen Union und das Europäische Parlament eine Interimsvereinbarung zum Digital Operational Resilience Act (DORA) getroffen, um die Cybersicherheit von Finanzinstituten in Europa zu verbessern. Sobald DORA von den EU-Ländern angenommen wird, müssen Finanzunternehmen sicherstellen, dass sie allen Arten von Störungen und Bedrohungen der Informations- und Kommunikationstechnologie (IKT) entgegenwirken, darauf reagieren und sich davon erholen können, mit dem ultimativen Ziel, Cyber-Bedrohungen zu verhindern und abzuschwächen. Die Regulierung verfolgt einen differenzierten Ansatz zur Regulierung kleiner, kleinster und miteinander verbundener Unternehmen.
Flexibilität testen
Die Europäischen Aufsichtsbehörden (ESAs), nämlich die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) – entwickeln „technische Standards, die alle Finanzdienstleistungsinstitute einhalten müssen erfüllen". Darüber hinaus müssen kritische Drittanbieter von IKT-Diensten, insbesondere Cloud-Anbieter von Finanzinstituten in der EU, eine Tochtergesellschaft innerhalb der EU für eine angemessene Aufsicht gründen, und Wirtschaftsprüfer werden an zukünftigen Überprüfungen der Verordnung beteiligt sein.
Das neue Gesetz wird FSI-Unternehmen in der EU zwingen, die Widerstandsfähigkeit ihrer Organisationen zu testen; Das heißt, sie müssen grundsätzlich Risiken managen und ein Risk-Governance-Framework verwenden, um die Anforderungen von DORA zu erfüllen. Daher wird allen CISOs der Finanzbranche empfohlen, die Zusammenarbeit mit Cybersicherheitsanbietern und -partnern in Erwägung zu ziehen, die bezüglich DORA auf dem neuesten Stand sind.
Weitere Empfehlungen für 2023 für Finanzdienstleistungs-CISOs
Weitere konkretere Empfehlungen werden auch für die Planung von Finanzinstituten im Jahr 2023 gegeben. CISOs (Heads of Information Security), die in der Finanzdienstleistungsbranche tätig sind, müssen verstehen, dass 2023 nicht wie 2022 sein wird; Große Veränderungen finden statt und das Cyber-Risiko nimmt zu.
Übergang zu einer Interventions- und Wiederherstellungsmentalität
Es gibt eine Zunahme von Ransomware, und dies ist ein Top-Thema für alle Institutionen, nicht nur für Finanzinstitute. Traditionell ist die Mentalität der Finanzdienstleistungsbranche: „Nein, wir wollen kein Risiko.“ Bisher drehte sich alles um Schutz und Erkennung. Angesichts der heutigen Natur des Cyberrisikos ist dieser Ansatz jedoch nicht mehr realistisch.
CISOs in der Finanzbranche müssen die sich schnell verändernde Bedrohungslandschaft verstehen und sich darauf konzentrieren, widerstandsfähiger zu sein. Das bedeutet, dass sich die Strategie eines Finanzinstituts von dem Versuch, alle Risiken zu vermeiden, hin zu einer schnellen Erholung von einem Angriff verlagern sollte. Dies wird natürlich zu Investitionen in Plattformen führen, die Funktionen wie Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) und Security Orchestration, Automation and Response (SOAR) ermöglichen.
Die Risiken, die mit Embedded Finance einhergehen
Ein weiteres Thema, das CISOs in Finanzinstituten im Jahr 2023 berücksichtigen sollten, ist der steigende Trend der eingebetteten Finanzierung.
Was ist eingebettete Finanzierung?
„Embedded Finance ist der Prozess der Integration aller Finanzdienstleistungen an einem Ort, anstatt sich mit traditionellen Institutionen zu befassen. Es bietet eine sichere, einfache und effiziente Möglichkeit, alle Dienste, die ein Einzelhändler nutzen kann, in einem einzigen, einfach zu verwaltenden Modell zu sammeln. Finanzlösungen können in die Infrastruktur eines Unternehmens integriert werden und erleichtern den Zugang zu Finanzdienstleistungen wie Kreditvergabe, Versicherungen oder Zahlungsverkehr, ohne dass Personen auf Drittziele verwiesen werden müssen. Das bedeutet weniger Apps, mit denen man sich herumschlagen muss, weniger Leute, die mit Geld umgehen müssen, weniger Sorgen und weniger Zeitaufwand, um mit der Finanzlogistik Schritt zu halten. Das Interesse an dieser Branche ist in den letzten Jahren stark gewachsen. Der US-amerikanische Embedded-Finance-Markt erreichte 2020 ein Volumen von 22,5 Milliarden US-Dollar und soll bis 2025 auf 230 Milliarden US-Dollar verzehnfacht werden.“ (NCR, 8. August 2022)
Das Finanzwesen wird in der Welt von 2023 und darüber hinaus an Bedeutung gewinnen. Betrachten Sie zum Beispiel eingebettete Finanzierungen, bei denen nicht-traditionelle Organisationen Finanzprodukte für „Jetzt kaufen, später bezahlen“-Verkäufe verwenden. Diese Methode steigert den Umsatz, erhöht aber auch das Risiko für Unternehmen.
Embedded Finance wird durch Banking as a Service (BaaS)- und Application Programming Interface (API)-Technologien erleichtert. Es wird erwartet, dass diese Methode bis 2026 einen Jahresumsatz von mehr als 25 Milliarden US-Dollar für Banken generieren wird, und bis 2025 werden etablierte Banken 25 Prozent der Einnahmen aus kleinen und mittleren Unternehmen auf etablierte Kanäle verlagern. (Eingebettete Anwendungen: Neue Einnahmen und neue Risiken für Banken (garp.org)
Für 2023 und darüber hinaus müssen CISOs bei FSI Folgendes besonders beachten:
- Unternehmen müssen sicherstellen, dass sie über robuste Cybersicherheits- und Datenschutzrichtlinien verfügen, einschließlich Maßnahmen zur Verhinderung von Datenschutzverletzungen und unbefugtem Zugriff auf vertrauliche Informationen.
- Wenn Institute mit Nicht-Finanzpartnern zusammenarbeiten, die möglicherweise nicht über das gleiche Maß an Fachwissen oder Erfahrung mit Finanzdienstleistungen verfügen, müssen sie potenzielle Risiken des Datenmissbrauchs oder -missbrauchs überwachen.
- Bei der Integration von Finanzprodukten und -dienstleistungen in nichtfinanzielle Produkte oder Plattformen sollte das Potenzial für Interessenkonflikte geprüft werden, und die Institute sollten den Kunden gegenüber transparent über die Geschäftsbedingungen dieser Produkte und Dienstleistungen sein.
- Es ist notwendig, über regulatorische Entwicklungen im Zusammenhang mit Embedded Finance auf dem Laufenden zu bleiben und sicherzustellen, dass die Organisation alle relevanten Gesetze und Vorschriften einhält.
- Die Organisation sollte mit spezialisierten Firmen zusammenarbeiten oder sich mit Experten auf diesem Gebiet beraten, um sicherzustellen, dass sie über das Wissen und die Ressourcen verfügt, um Cybersicherheits- und Datenschutzrisiken im Kontext von Embedded Finance effektiv zu managen.
Bewusstsein ist auch deshalb wichtig, weil Technologie allein dies nicht leisten kann. Finanzinstitute müssen damit beginnen, ihre Mitarbeiter in DevSecOps, künstlicher Intelligenz, maschinellem Lernen und API-Sicherheit zu schulen. An dieser Stelle betont Fortinet sein Engagement, die Lücke bei den Cyberkompetenzen zu schließen und das Cyberbewusstsein durch die TAA-Initiative und Programme des Bildungsinstituts zu steigern.
Schreiben Sie den ersten Kommentar