Trafik_analizörü | Digitalvision Vektörleri | Getty Images

Finansal hizmetler şirketleri ve dijital teknoloji tedarikçileri, siber dayanıklılıklarını artırmalarını gerektiren AB’nin katı yeni kurallarına uymak için yoğun baskı altında.

Önümüzdeki yılın başından itibaren finansal hizmetler şirketleri ve teknoloji tedarikçileri, Avrupa Birliği’nden gelen DORA veya Dijital Operasyonel Dayanıklılık Yasası olarak bilinen yeni bir yasaya uyum sağladıklarından emin olmak zorunda kalacaklar.

CNBC, DORA hakkında bilmeniz gerekenleri, DORA’nın ne olduğunu, neden önemli olduğunu ve bankaların buna hazırlıklı olmak için neler yaptığını anlatıyor.

DORA Nedir?

DORA, bankaların, sigorta şirketlerinin ve yatırımların BT güvenliklerini güçlendirmesini gerektirir. AB düzenlemesi ayrıca finansal hizmetler sektörünün operasyonlarda ciddi bir kesinti olması durumunda dayanıklı olmasını sağlamayı amaçlamaktadır.

Bu tür kesintiler, bir finans şirketinin bilgisayarlarının kapanmasına neden olan bir fidye yazılımı saldırısını veya bir firmanın web sitesinin çevrimdışı olmasına neden olan bir DDOS (dağıtılmış hizmet reddi) saldırısını içerebilir.

Yönetmelik ayrıca, şirketlerin geçen ay siber güvenlik firması CrowdStrike’ın yayınladığı basit bir yazılım güncellemesinin Microsoft’un Windows işletim sisteminin çökmesine yol açması sonucu yaşanan tarihi BT krizi gibi büyük kesinti olaylarından kaçınmasına yardımcı olmayı amaçlıyor.

JPMorgan Chase ve Santander’den Visa ve Charles Schwab’a kadar birçok banka, ödeme firması ve yatırım şirketi kesinti nedeniyle hizmet sağlayamadı. Bu firmaların tüketicilere hizmeti geri yüklemesi birkaç saat sürdü.

Gelecekte böyle bir olay, AB’nin yeni kuralları kapsamında incelemeye tabi tutulacak hizmet kesintileri arasında yer alacaktır.

Fintech firması Broadridge International’ın Başkanı Mike Sleightholme, DORA’nın öne çıkan özelliklerinden birinin sadece bankaların dayanıklılığı sağlamak için neler yaptığına odaklanmaması, aynı zamanda firmaların teknoloji tedarikçilerini de yakından incelemesi olduğunu belirtiyor.

DORA kapsamında bankaların, titiz BT risk yönetimi, olay yönetimi, sınıflandırma ve raporlama, dijital operasyonel dayanıklılık testleri, siber tehditler ve güvenlik açıklarıyla ilgili bilgi ve istihbarat paylaşımı ve üçüncü taraf risklerini yönetmeye yönelik önlemler almaları gerekecek.

Firmaların, kritik veya önemli operasyonel fonksiyonların dış şirketlere devredilmesiyle ilgili “konsantrasyon riski” değerlendirmeleri yapması gerekecek.

Cisco’ya ait internet kalite izleme firması ThousandEyes’ın genel müdürü Joe Vaccaro, bu BT sağlayıcılarının genellikle “müşterilere kritik dijital hizmetler” sunduğunu söyledi.

CNBC’ye konuşan uzman, “Bu üçüncü taraf sağlayıcıların artık test ve raporlama sürecinin bir parçası olması gerekiyor. Bu da finansal hizmetler şirketlerinin, sağlayıcılarla olan bu bazen gizli bağımlılıkları ortaya çıkarmalarına ve haritalamalarına yardımcı olacak çözümler benimsemeleri gerektiği anlamına geliyor” dedi.

Vaccaro, bankaların ayrıca “sadece sahip oldukları altyapıda değil, sahip olmadıkları altyapıda da dijital deneyimlerin sunulmasını ve performansını garanti altına alma yeteneklerini genişletmeleri gerekecek” diye ekledi.

Yasa ne zaman geçerli olacak?

DORA, 16 Ocak 2023’te yürürlüğe girdi, ancak kurallar AB üye ülkeleri tarafından 17 Ocak 2025’e kadar uygulanmayacak.

AB, finans sektörünün hayati hizmetleri sunmak için giderek daha fazla teknolojiye ve teknoloji şirketlerine bağımlı hale gelmesi nedeniyle bu reformlara öncelik verdi. Bu, bankaları ve diğer finansal hizmet sağlayıcılarını siber saldırılara ve diğer olaylara karşı daha savunmasız hale getirdi.

Sleightholme CNBC’ye “Üçüncü taraf risk yönetimine çok fazla odaklanılıyor” dedi. “Bankalar teknoloji altyapılarının önemli bölümleri için üçüncü taraf hizmet sağlayıcıları kullanıyor.”

“Gelişmiş kurtarma süresi hedefleri bunun önemli bir parçasıdır. Bu gerçekten de teknoloji etrafındaki güvenlikle ilgilidir ve özellikle siber olaylardan kaynaklanan siber güvenlik kurtarmalarına odaklanmaktadır,” diye ekledi.

Son birkaç yıldır AB’de yapılan birçok dijital politika reformu, şirketlerin sistemlerinin ve çerçevelerinin, verilerin bilgisayar korsanları veya yetkisiz kişi ve kuruluşlar tarafından kaybedilmesi gibi zararlı olaylara karşı koruma sağlayacak kadar sağlam olduğundan emin olma yükümlülüklerine odaklanma eğilimindedir.

Örneğin, AB’nin Genel Veri Koruma Yönetmeliği (GDPR), şirketlerin kişisel olarak tanımlanabilir bilgileri işleme biçimlerinin rızayla yapılmasını ve bu tür verilerin bir ihlal veya sızıntı durumunda ifşa olma olasılığını en aza indirecek yeterli korumalarla işlenmesini sağlamalarını gerektirir.

DORA, finansal firmalar için yeni ve potansiyel olarak daha az konforlu bir hukuki dinamik anlamına gelen bankaların dijital tedarik zincirine daha fazla odaklanacak.

Peki ya bir firma uyum sağlayamazsa?

Yeni kuralları ihlal eden finans şirketlerine, AB yetkilileri yıllık küresel gelirlerinin yüzde 2’sine kadar para cezası verme yetkisine sahip olacak.

Bireysel yöneticiler de ihlallerden sorumlu tutulabilir. Finansal kuruluşlardaki bireylere yönelik yaptırımlar 1 milyon avroya (1,1 milyon $) kadar çıkabilir.

BT sağlayıcıları için düzenleyiciler, bir önceki iş yılındaki ortalama günlük küresel gelirlerin %1’i kadar yüksek para cezaları kesebilir. Firmalar ayrıca, uyumluluğa ulaşana kadar altı aya kadar her gün para cezasına çarptırılabilir.

AB düzenleyicileri tarafından “kritik” olarak değerlendirilen üçüncü taraf BT firmalarına 5 milyon avroya kadar para cezası verilebilirken, bireysel yöneticiler için bu rakam maksimum 500.000 avroya kadar çıkabiliyor.

Bu, firmaların yıllık küresel gelirlerinin %4’üne (hangisi daha yüksekse) veya 10 milyon avroya (10,9 milyon dolar) kadar para cezasına çarptırılabileceği GDPR gibi bir yasadan biraz daha hafif.

Güvenlik yazılım firması Proofpoint’in EMEA siber güvenlik stratejisti Carl Leonard, cezai yaptırımların, her AB ülkesinin kendi pazarlarında kuralları nasıl uyguladığına bağlı olarak üye ülkeden üye ülkeye değişebileceğini vurguluyor.

Leonard, DORA’nın ayrıca mevzuat ihlallerine yanıt olarak verilecek cezalarda “orantılılık ilkesi” çağrısında bulunduğunu da sözlerine ekledi.

Bu, yasal başarısızlıklara verilecek herhangi bir yanıtın, şirketlerin iç süreçlerini ve güvenlik teknolojilerini geliştirmeye harcadıkları zaman, çaba ve para ile sundukları hizmetin ne kadar kritik olduğu ve hangi verileri korumaya çalıştıkları arasında bir denge kurması gerektiği anlamına geliyor.

Bankalar ve tedarikçileri hazır mı?

Siber güvenlik firması Okta’nın EMEA baş güvenlik sorumlusu Stephen McDermid, CNBC’ye yaptığı açıklamada, birçok finansal hizmetler firmasının DORA’ya uyum sağlamak ve “olası boşlukları belirlemek” için mevcut iç operasyonel dayanıklılık ve üçüncü taraf risk programlarını kullanmaya öncelik verdiğini söyledi.

“DORA’nın amacı, mevcut birçok yönetişim programını tek bir denetim otoritesi altında bir araya getirmek ve bunları AB genelinde uyumlu hale getirmektir” diye ekledi.

Veri temizleme firması Blancco’nun uluslararası başkan yardımcısı ve genel müdürü Fredrik Forslund, bankaların ve teknoloji sağlayıcılarının DORA’ya uyum konusunda ilerleme kaydettiğini ancak hala “yapılması gereken işler” olduğunu söyledi.

1’den 10’a kadar bir ölçekte (bir uyumsuzluğu, 10 ise tam uyumu temsil ediyor) Forslund, “Şu an 6’dayız ve 7’ye ulaşmak için çabalıyoruz” dedi.

“Ocak ayına kadar 10’a ulaşmamız gerektiğini biliyoruz” diyen yetkili, “Herkesin Ocak ayına kadar orada olmayacağını” da sözlerine ekledi.