Novi izazov za finansijski sektor – regulatorni DDoS

U svetu gde tehnologija pokreće svaki deo naših života – od plaćanja računa do čuvanja podataka – pitanje sajber bezbednosti postaje ključno, posebno za finansijski sektor. Banke, osiguravajuće kuće i druge institucije svakodnevno obavljaju ogroman broj transakcija i obrađuju poverljive podatke, što ih čini najčešćim i najvrednijim metama sajber napada.

Napadi poput fišinga (prevara putem lažnih e-poruka), malvera (zlonamernog softvera), ransomvera (šifrovanje podataka uz zahtev za otkup) i DDoS napada (preopterećenje sistema) prisutni su u svim industrijama, ali u finansijskom sektoru oni su znatno učestaliji, složeniji i opasniji. Pored konstantne borbe sa sajber kriminalcima, finansijske institucije sada se suočavaju sa dodatnim izazovom – novim, strožim regulativama poput DORA regulative (Digital Operational Resilience Act) i novog Zakona o informacionoj bezbednosti.

Regulative koje stupaju na snagu sledeće godine uvode niz zahteva koji testiraju otpornost sistema i spremnost finansijskih institucija na krizne situacije. Ove promene stavljaju veliki pritisak na resurse banaka i mogu se slobodno opisati kao regulatorni DDoS – talas zahteva za brzim odgovorima, prilagođavanju i dodatnom kapacitetu.

Ključne promene koje očekuju finansijske institucije

1. Standardizacija procedura i izveštavanje o incidentima

Banke i druge finansijske institucije moraće da uspostave jasne i detaljno definisane protokole za reagovanje na incidente. Nova regulativa zahteva preciznu klasifikaciju incidenata i obavezno izveštavanje nadležnim institucijama u jasno određenim vremenskim okvirima. Ovo znači da će ozbiljni sigurnosni problemi morati brzo i transparentno da se prijavljuju, uz sve potrebne analize i dokumentaciju.

2. Testiranje spremnosti timova za krizne situacije

Institucije će redovno sprovoditi testove svojih timova za krizne situacije. Fokus će biti na proveri brzine i efikasnosti odgovora na incidente, organizaciji kriznih timova i njihovoj sposobnosti da donesu prave odluke pod pritiskom.

3. Detaljno pen testiranje

Dosadašnji pristup, gde su banke same birale koje će sisteme testirati uglavnom fokusirajući se na one vidljive korisnicima, poput e-bankinga ili mobilnog bankarstva, kao i osnovne (core) sisteme, menja se. Sada će analiza rizika biti obavezna pre planiranja testiranja, a svaki sistem koji se proceni kao deo rizičnog procesa moraće da prođe rigorozno testiranje. Ovo značajno povećava obim i kompleksnost pen testiranja, jer će morati da obuhvati i sisteme koji su dosad bili van dometa testiranja.

4. Sigurnost u svim fazama razvoja aplikacija

Bezbednost više neće moći da bude dodatak na kraju razvoja aplikacije. Uz primenu SSDLC metodologije (Secure Software Development LifeCycle), banke će morati da integrišu bezbednosne provere u sve faze razvoja – od ideje i planiranja do puštanja aplikacije u rad.

5. Upravljanje rizicima trećih strana

Finansijske institucije sve više zavise od spoljnjih partnera i dobavljača, što stvara nove bezbednosne rizike. Nova regulativa zahteva kontinuirano praćenje i procenu sigurnosnih praksi trećih strana, kao i obavezno izveštavanje o incidentima koji se dogode kod partnera ili dobavljača.

Sve ove promene jasno pokazuju da banke više neće moći da se oslanjaju primarno na svoje interne resurse. Implementacija novih procedura, testiranje sistema i kontinuirano upravljanje rizicima zahtevaće spoljnu podršku stručnjaka sa iskustvom i kapacitetima da odgovore na ove zahteve.

Kompanije poput Orion telekoma, koja ima iskustvo u pružanju naprednih usluga iz oblasti sajber bezbednosti i koja je partner Udruženja finansijskih direktora Srbije u ovom domenu, mogu biti ključni partneri bankama u ovom procesu. Bilo da je reč o upravljanju incidentima, testiranju sistema ili proceni rizika, spoljni partneri mogu omogućiti finansijskim institucijama da se uspešno prilagode novim standardima.

U svetu gde su sajber pretnje sve prisutnije, a poverenje klijenata najvredniji resurs, pravi partner može napraviti ključnu razliku. Jer u ovoj trci, korak ispred nije luksuz – to je neophodnost.

Autor Marko Elazar, Orion telekom