Από την έντυπη έκδοση
Της Ειρήνης Σακελλάρη
[email protected]
Τις κατευθυντήριες γραμμές για τους κινδύνους σε ό,τι αφορά τα συστήματα πληροφορικής και επικοινωνίας των πιστωτικών ιδρυμάτων με την ευρεία έννοια του όρου ανακοίνωσε η Ευρωπαϊκή Τραπεζική Αρχή (EBA).
Ποιοι απειλούνται και πώς θα προστατευθούν είναι το μέλημα της ΕΒΑ, που επιθυμεί να μετριάσει τους παραπάνω κινδύνους στη λειτουργία των εποπτευόμενων πιστωτικών ιδρυμάτων. Οι εν λόγω κατευθυντήριες γραμμές στόχο έχουν να προστατεύσουν τα πιστωτικά ιδρύματα και τους αθώους πελάτες τους από εξωτερικούς κακόβουλους εισβολείς, αλλά και από εσωτερικές δολιοφθορές.
Η πολυπλοκότητα των τεχνολογιών πληροφορικής και επικοινωνιών (ICT) αυξάνεται και συχνά βλέπουμε φαινόμενα κυβερνοεπιθέσεων με δυσμενείς επιπτώσεις στην επιχειρησιακή λειτουργία των χρηματοπιστωτικών ιδρυμάτων. Επιπλέον, λόγω της διασυνδεσιμότητας των χρηματοπιστωτικών ιδρυμάτων, τα περιστατικά που σχετίζονται με τους εν λόγω κινδύνους δημιουργούν συστημικές επιπτώσεις για τα πιστωτικά ιδρύματα, πολλές φορές με ανυπολόγιστο κόστος.
Η ΕΒΑ καθόρισε τις κατευθυντήριες γραμμές και μέσα από αυτές τον τρόπο που τα χρηματοπιστωτικά ιδρύματα μπορούν και πρέπει να διαχειρίζονται τους συγκεκριμένους κινδύνους.
Αυτές οι κατευθυντήριες γραμμές βασίζονται στις απαιτήσεις για ασφάλεια από επιχειρησιακούς κινδύνους όπως αυτοί καθορίζονται από το άρθρο 95 της οδηγίας 2015/2366 / ΕΕ (PSD2).
Οι κατευθυντήριες γραμμές της ΕΒΑ έχουν διαμορφωθεί κατά τρόπον τέτοιο που να απευθύνονται σε μία ευρύτερη γκάμα χρηματοπιστωτικών ιδρυμάτων, πέραν των εταιρειών πληρωμής, που τις αφορά άμεσα, συμπεριλαμβανομένων και των επενδυτικών εταιρειών.
«Κίνδυνοι του ICΤ»
Ο όρος «κίνδυνοι του ICΤ» καλύπτει τους λειτουργικούς κινδύνους και τους κινδύνους ασφαλείας του άρθρου 95 της Οδηγίας Πληρωμών ΙΙ.
Στο πλαίσιο αυτό ο όρος αναγνωρίζει πως οι λειτουργικοί κίνδυνοι για τις υπηρεσίες πληρωμών αφορούν κυρίως τους κινδύνους ICT που προέρχονται από τις τεχνολογίες πληροφορικής λόγω της ηλεκτρονικής φύσης των υπηρεσιών πληρωμής μέσω συστημάτων ICT. Ένας επιπλέον λόγος που χρησιμοποιείται ο όρος αυτός είναι για να αποφεύγεται η σύγχυση με άλλους ευρύτερους λειτουργικούς κινδύνους μιας τράπεζας, όπως ο νομικός, ο κίνδυνος συμπεριφοράς, φήμης κ.λπ.
Επίσης οι κίνδυνοι ασφάλειας για τις υπηρεσίες πληρωμών μπορούν να προκύπτουν από εσωτερικές διαδικασίες ή από εξωτερικά γεγονότα, αλλά τελικώς το σημαντικό είναι η επίδρασή τους στα συστήματα ICT που σχετίζονται με τις υπηρεσίες πληρωμών.
Οι αρχές της ΕΒΑ παρέχουν λεπτομέρειες για το πώς τα χρηματοπιστωτικά ιδρύματα θα πρέπει να συμμορφώνονται με τις προβλέψεις των οδηγιών για την επάρκεια κεφαλαίων και την οδηγία για τις υπηρεσίες πληρωμών.
Οργανωτική δομή
Στις οδηγίες αυτές συμπεριλαμβάνονται απαιτήσεις για την ύπαρξη ισχυρών ρυθμίσεων διακυβέρνησης, με καθαρή οργανωτική δομή με σαφώς καθορισμένες, διαφανείς και συνεπείς γραμμές ευθύνης και αποτελεσματικές διαδικασίες για τον εντοπισμό, τη διαχείριση, την παρακολούθηση και την αναφορά του κινδύνου στον οποίο εκτίθενται ή ενδέχεται να εκτεθούν τα πιστωτικά ιδρύματα.
Επίσης στις οδηγίες αυτές περιλαμβάνονται ρητές διατάξεις για τη διαχείριση των λειτουργικών κινδύνων και των κινδύνων ασφαλείας για τις υπηρεσίες πληρωμών, οι οποίες πρέπει να διαθέτουν τα κατάλληλα μέτρα μετρίασης του κινδύνου και τους απαραίτητους μηχανισμούς ελέγχου.
Οι κατευθυντήριες γραμμές της EBA τηρούν την αρχή της αναλογικής εφαρμογής, αναγνωρίζοντας τη διαφορά μεγέθους και πολυπλοκότητας μεταξύ των πιστωτικών ιδρυμάτων.
Για την επίτευξη των στόχων, οι κατευθυντήριες γραμμές καθιερώνουν ένα ισχυρό εσωτερικό σύστημα διακυβέρνησης και ένα εσωτερικό πλαίσιο ελέγχου, το οποίο καθορίζει σαφείς τομείς ευθύνης για το προσωπικό των χρηματοπιστωτικών ιδρυμάτων, συμπεριλαμβανομένης και της διοίκησης.
Στρατηγική με 3 γραμμές άμυνας
Τα χρηματοπιστωτικά ιδρύματα καλούνται να αναπτύξουν μια στρατηγική ICT, ενώ το management και ο μετριασμός αυτών των κινδύνων θα πρέπει να γίνεται μέσα από τις 3 γραμμές άμυνας όπου αυτές εφαρμόζονται.
Οι λειτουργίες του ίδιου του συστήματος πληροφορικής και επικοινωνίας αποτελούν την 1η γραμμή άμυνας. Αυτό το σύστημα πρέπει να λειτουργεί υπό την εποπτεία του εσωτερικού ελέγχου, που λειτουργεί ως η δεύτερη γραμμή άμυνας.
Και το τρίτο επίπεδο είναι ο ίδιος ο εσωτερικός έλεγχος, ο οποίος πρέπει να έχει τη δυνατότητα για ανεξάρτητη επιθεώρηση και να παρέχει εξασφαλίσεις για τους διακριτούς ρόλους μεταξύ των τριών γραμμών άμυνας.
