Продължете към съдържанието
DORA и изкуственият интелект на хоризонта у нас
В глобален план през 2024г. фокусът върху киберсигурността във финансовия сектор продължава да расте. Броят,  стойността и сложността на атаките се увеличават, а с тях се покачват и нуждите на индустрията. Ако трябва да изтъкнем двата основни акцента за годината те биха били: от една страна въвеждането на новата европейска регулация DORA, и от друга – изкуственият интелект с всички възможности и заплахи, които открива на кибер хоризонта. Това коментира Борис Гончаров, главен стратегически директор (Chief Visionary Officer) на компанията за киберсигурност АМАТАС.
 
Европейският регламент за дигитална оперативна устойчивост (Digital Operational Resilience Act), който стана по-известен с абревиатурата DORA, влезе в сила на 16 януари 2023 г. и от 17 януари 2025 г. ще се прилага за широк кръг финансови институции. 
 
Накратко, целта му е да защити финансовата стабилност на Европа, да подсигури, че финансовите данни на всички ни са защитени по подразбиране, и да предотврати ръста на киберпрестъпленията в сектора.
 
Директивата определя единни изисквания и стандарти относно сигурността на мрежовите и информационни системи, поддържани от всички финансови бизнеси, които управляват голям обем от данни – банки, застрахователи, финтех и крипто компании и т.н. DORA се различава от останалите подобни регулации по това, че за пръв път въвежда единна рамка за оперативна устойчивост и надзор и за финансовите организации на територията на целия Европейски съюз. Тя ще осъществява контрол в пет направления:
 
        • Управление на риска
        • Докладване на инциденти свързани с информационни и комуникационни технологии (ICT)
        • Провеждане на регулярни тестове на информационната сигурност
        • Споделяне на разузнавателна информация относно потенциални заплахи (treat intelligence)
        • Информация за рискови трети страни и доставчици на информационни и комуникационни технологии
Регулацията определено ще създаде една по-устойчива и подсигурена дигитална среда за финансовите компании, но и може да им създаде сериозни материални и имиджови неприятности, ако бъде неглижирана. В тази линия, е добре да се отбележи, че бизнесите, които тепърва започват да планират практическото прилагане на изискванията на DORA, са закъснели.

 

„И тук основният проблем е, че регулацията има универсален и задължителен обхват, който надхвърля „традиционните“ граници на финансовата индустрия. Разширеният обхват засяга широк спектър от участници във финансовия сектор, включително застрахователни и презастрахователни компании, инвестиционни фондове, управляващи дружества, финтех компании, както и доставчици на крипто услуги. Част от тези компании за пръв път се сблъскват с толкова комплексна регулация, фокусирана върху информационна сигурност“, Коментира експертът Борис Гончаров.

 

Според него бизнесите все още не са напълно подготвени по отношение на процеси, организационна структура, технологични мерки и експертиза.

 

„Не става въпрос за формалното разписване на някакви документи, а за комплексни мерки, които трябва да бъдат приложени и поддържани. Това касае промяна на инфраструктура, преразглеждане и адаптиране на множество процеси, създаване на нови структури и екипи и изграждане на компетенции. А финансовите санкции за неизпълнение са значителни.“, добавя господин Гончаров.

 

По-късно през годината се очаква в българското законодателство да се транспонират изискванията на Регулацията, тъй като това все още не е факт, но няма отношение към подготовката на финансовите организации.

 

„Най-важното е бизнесът да успее реално да приложи новите изисквания, за да бъде по-устойчив на кибер заплахи, не защото така трябва, а защото това може да донесе повече възможности и реални ползи за него”. Темата за изкуствения интелект, ни дава още една възможност да осмислим стратегическото значение на информационната сигурност. Според Борис Гончаров изкуственият интелект ще продължи да се разгръща в технологичния и финансов сектор, а с това и да поставя на изпитание традиционните парадигми на сигурността.

 

„При развитието на технологиите следваме неизменната тенденция да се екзалтираме от възможностите, без да се замисляме за рисковете и неминуемите последствия. В крайна сметка, изкуствения интелект открива „прекрасни“ нови хоризонти и на индивиди и групи, които имат различни разбирания за етично и престъпно.“, обяснява експертът на АМАТАС.

 

Именно разгръщането на офанзивните възможности на ИИ, в посока социално инженерство, разработването на мауеър и експлойти, откриването на уязвимости, дийп фейк, дезинформация, ще влошат дългогодишните предизвикателства, свързани с кибер устойчивостта, което по ирония е нещо, което DORA се опитва да адресира.

 

Разбира се, това са само някои от многото възможни рискове, които изкуствения интелект крие за бизнесите, а финансовия сектор е в окото на бурята заради високите залози и концентрацията на данни и активи. Затова посланието на АМАТАС към всички вас е кратко и ясно – бъдете подготвени.