DORA и изкуственият интелект на хоризонта в България

DORA и изкуственият интелект на хоризонта в България

03 април 2024

4 минути четене


Глобално през 2024 г. фокусът върху киберсигурността във финансовия сектор продължава да нараства. С увеличаването на броя, стойността и сложността на атаките, нарастват и нуждите на индустрията. Ако трябва да посочим двата основни акцента за годината, те биха били: от една страна, въвеждането на новия европейски регламент DORA, а от друга страна, изкуственият интелект с всички възможности и заплахи, които разкрива на кибер хоризонта. Това коментира Борис Гончаров, главен визионер на компанията за киберсигурност AMATAS и част от Консултативния съвет на конференцията DIGIPAY през 2024 г., в блога на DIGIPAY.

Въвеждане на европейския регламент DORA

Европейският регламент за цифрова оперативна устойчивост (Digital Operational Resilience Act), който стана по-известен с абревиатурата DORA, влезе в сила на 16 януари 2023 г. и ще се прилага за широк кръг финансови институции от 17 януари 2025 г.

Цели на DORA

Накратко, той има за цел да защити финансовата стабилност на Европа, да гарантира, че финансовите данни на всички са защитени по подразбиране и да предотврати растежа на киберпрестъпността в сектора.

Основни области на контрол под DORA

Директивата определя унифицирани изисквания и стандарти по отношение на сигурността на мрежовите и информационните системи, поддържани от всички финансови предприятия, които управляват голям обем данни - банки, застрахователи, финтех и крипто компании и др. DORA се различава от други подобни регулации по това, че за първи път въвежда единна рамка за оперативна устойчивост и надзор за финансовите организации в целия Европейски съюз. Тя ще осъществява контрол в пет области:

  • Управление на риска
  • Докладване на инциденти, свързани с информационни и комуникационни технологии (ИКТ)
  • Провеждане на редовни тестове за информационна сигурност
  • Разкриване на информация за потенциални заплахи (threat intelligence)
  • Информация за рискови трети страни и доставчици на информационни и комуникационни технологии

Предизвикателства и последици от DORA

Регламентът определено ще създаде по-устойчива и сигурна цифрова среда за финансовите компании, но може също така да им причини сериозни материални и имиджови проблеми, ако бъде пренебрегнат. В тази връзка е добре да се отбележи, че бизнесите, които тепърва започват да планират практическото прилагане на изискванията на DORA, закъсняват.

Разширен обхват на DORA

„Тук отново основният проблем е, че регламентът има универсален и задължителен обхват, който надхвърля 'традиционните' граници на финансовата индустрия. Разширеният обхват засяга широк кръг от участници във финансовия сектор, включително застрахователни и презастрахователни компании, инвестиционни фондове, управляващи компании, финтех компании, както и доставчици на крипто услуги“, коментира експертът Борис Гончаров, като някои от тези компании се сблъскват с толкова сложни регулации, фокусирани върху информационната сигурност за първи път.

Предизвикателства при подготовката и прилагането

Според него бизнесите все още не са напълно подготвени по отношение на процеси, организационна структура, технологични мерки и експертиза.

„Не става въпрос за формалното подписване на някои документи, а за комплексни мерки, които трябва да бъдат внедрени и поддържани. Това включва промяна на инфраструктурата, преразглеждане и адаптиране на множество процеси, създаване на нови структури и екипи и изграждане на компетенции. А финансовите санкции за неизпълнение са значителни“, добавя г-н Гончаров.

Транспониране в българското законодателство

По-късно през годината се очаква изискванията на Регламента да бъдат транспонирани в българското законодателство, тъй като това все още не е факт, но няма нищо общо с подготовката на финансовите организации.

Значение на реалното прилагане

„Най-важното е бизнесът да успее реално да приложи новите изисквания, за да бъде по-устойчив на кибер заплахи, не защото така трябва, а защото това може да донесе повече възможности и реални ползи за него“. Темата за изкуствения интелект ни дава още една възможност да разгледаме стратегическото значение на информационната сигурност. Според Борис Гончаров, изкуственият интелект ще продължи да се внедрява в технологичния и финансовия сектор, като по този начин ще предизвиква традиционните парадигми на сигурността.

AI и рисковете за киберсигурността

„В развитието на технологиите следваме неизменната тенденция да се възхищаваме на възможностите, без да мислим за рисковете и неизбежните последици. В крайна сметка, изкуственият интелект отваря 'чудесни' нови хоризонти както за отделни лица, така и за групи, които имат различни разбирания за етично и криминално“, обяснява експертът от AMATAS.

Офанзивни възможности на AI

Именно внедряването на офанзивни възможности на AI, в посока на социално инженерство, разработване на зловреден софтуер и експлойти, откриване на уязвимости, deepfake, дезинформация, ще изостри дългогодишните предизвикателства на кибер устойчивостта, което иронично е нещо, което DORA се опитва да адресира.

Заключение: Бъдете подготвени

Разбира се, това са само някои от многото възможни рискове, които AI представлява за бизнеса, а финансовият сектор е в окото на бурята заради високите залози и концентрацията на данни и активи. Затова посланието на AMATAS към всички вас е кратко и ясно - бъдете подготвени.

Рая Лечева

Основател и генерален мениджър

+359 878 160 610

raya.lecheva@digipay.bg

Петя Велева

Изпълнителен директор

+359 889 527 212

petya.veleva@digipay.bg

Inter Expo Center Sofia, 147,
Tsarigradsko shose blvd

DIGIPAY 2024 All rights reserved