Teknologins utveckling är snabbare än någonsin och ger oss nya möjligheter, samtidigt anpassar sig cyberkriminella och utvecklar allt mer sofistikerade attacker. Finanssektorn stod inför betydande utmaningar under 2023 där ibland attacker mot webbapplikationer och API:er. Samtidigt introducerar Europeiska unionen (EU) nya regleringar för att förbättra den digitala motståndskraften inom finanssektorn. Den här artikeln tar upp det aktuella cybersäkerhetsläget och betydelsen av EU:s Digital Operational Resilience Act (DORA).
Den digitala omvandlingen har medfört flera innovationer som resulterar i bekväma tjänster. Idag kan nästan alla transaktioner utföras digitalt dygnet runt genom digitala plånböcker och internetbanker. Men vad händer om tekniken inter fungerar eller störs? Vårt beroende av digitala tjänster kräver inte bara utveckling utan också förstärkning av vår motståndskraft mot cyberattacker. Rapporten "The High Stakes of Innovation - Attack Trends in Financial Services" belyser att 2023 har varit ett kritiskt år för cybersäkerhet inom finanssektorn. Deras forskning ger insikter i de framväxande hoten under 2023 och en indikation på vad finansinstitutioner behöver förbereda sig för.
Ökande digitala finanstjänster skapar fler cyberhot
I takt med att vårt dagliga beroende av finanstjänster ökar ställer vi också högre krav på löpande utveckling. Men en snabb utveckling kan även leda till högre sårbarhet och större utbredning av cyber attacker. Mellan kvartal två 2022 till samma period 2023 ökade cyberattacker mot finanstjänster och applikationer med hela 65 %, vilket innebär 9 miljarder attacker under den perioden. För DDoS-attacker på lager 3 och 4 har syns en märkbar ökning inom finanssektorn, och har till och med gått om spelindustrin som den mest drabbade sektorn. En orsak till denna ökning tros ha motiv relaterade till konflikten mellan Ryssland och Ukraina. Regionalt står Europa, Mellanöstern och Afrika (EMEA) för den största andelen DDoS-attacker med 63,52 %, nästan dubbelt så mycket som den näst mest drabbade regionen.
Rapporten avslöjar också en betydande ökning på 69% av skadliga bot-förfrågningar som riktar sig mot användare och deras känsliga data. Dessa attacker omfattar brott mot användarkonton och understryker de potentiella farorna med insamling av data inom finanstjänster..
Digital Operational Resilience Act
De ökade hoten under 2023 presenterar betydande utmaningar och prövningar för cybersäkerhet inom finanssektorn. Attacktrenderna har varit mångfacetterade och alarmerande. Digital Operational Resilience Act (DORA) är en ny EU-förordning som trädde i kraft den 15 december 2022, med syftet att etablera en gemensam ram för hantering av digital operativ motståndskraft inom finanssektorn. Huvudmålet med förordningen är att förbättra finanssektorns motståndskraft mot cyberattacker och risker relaterade till informations- och kommunikationsteknik (IKT). Finnsanssektorn har till den 17 januari 2025 att säkerställa att de efterlever den nya förordningen vilket innebär en hel del åtaganden.
Förordningen kommer beröra en bred grupp av finansiella aktörer, inklusive banker, värdepappersföretag, försäkringsbolag och andra finansiella tjänsteleverantörer, samt tredjepartsleverantörer av kritiska tjänster till dessa aktörer. Identifiering och hantering av IKT-risker, incidentrapportering och etablering av återhämtningsplaner för att minimera störningar vid IKT-avbrott är några av de krav som ställs på finansiella aktörer och tjänsteleverantörer. DORA har således skapat en utmaning men också möjlighet för finanssektorn att höja sin digitala operativa motståndskraft.
DORA:s fem huvudprinciper
❖ IKT-riskhantering:Identifiera och dokumentera alla IKT-relaterade risker och utveckla riskhanteringsstrategier.
❖ Incidentrapportering: Rapportera allvarliga incidenter som kan påverka tjänster och funktioner inom angivna tidsramar till tillsynsmyndigheterna.
❖ Testning av operativ motståndskraft: Genomför regelbundna tester, inklusive scenariobaserade tester, prestandatester, penetrationstester och övningar för att säkerställa operativ motståndskraft och fastställa återhämtningsmål.
❖ IKT-risker från tredje part: Identifiera och bedöm risker associerade med tredjepartleverantörer, inkludera krav i kontrakt och övervaka deras efterlevnad.
❖ Informationsutbyte: Samarbeta med andra finansiella organisationer och myndigheter för att dela cybersäkerhetsinformation och rapportera incidenter till tillsynsmyndigheterna.
Många av dessa principer har även tidigare inkluderats i olika regleringar som IKT-riktlinjerna, PSD2 och NIS2. Dock går DORA längre genom att etablera detaljerade krav, särskilt inriktade på risker som uppstår från tredjeparts leverantörer. Dessa risker måste nu identifieras, utvärderas, dokumenteras och kontinuerligt övervakas för att uppfylla DORAs bestämmelser.
Utmaningar vid implementering av DORA
DORA ställer krav på att styrelsen tar ett omfattande ansvar för att upprätta och övervaka ett effektivt ramverk för riskhantering av IKT-tjänster. Detta innefattar att genomföra strategier, klargöra ansvarsroller och hantera IKT-budgeten, inklusive utbildning. Dessutom måste IKT-tjänsteleverantörer godkännas och kontinuerligt övervakas för efterlevnad av DORA.
Implementeringen av DORA kan vara utmanande och kostsam, särskilt för mindre företag med begränsade resurser. Tekniska uppgraderingar, säkerhetsåtgärder, utbildning och kompetensutveckling är bland de utmaningar som företag kan stöta på. Cybersäkerhet är en prioritering som inte kan ignoreras inom finanssektorn, och DORA representerar en betydande milstolpe i att stärka branschens digitala operativa motståndskraft i en alltmer digitaliserad värld.
Behöver du hjälp med implementeringen av DORA?
SVEIC erbjuder tjänster för att möta kraven och implementera bästa praxis enligt DORA-förordningen.
