യൂറോപ്പിലെ ധനകാര്യ സ്ഥാപനങ്ങളുടെ സൈബർ സുരക്ഷ മെച്ചപ്പെടുത്തുന്നതിനായി കഴിഞ്ഞ വർഷം, യൂറോപ്യൻ യൂണിയൻ കൗൺസിലിന്റെ പ്രസിഡൻസിയും യൂറോപ്യൻ പാർലമെന്റും ഡിജിറ്റൽ പ്രവർത്തന പ്രതിരോധ നിയമത്തിൽ (ഡോറ) ഇടക്കാല കരാറിലെത്തി. EU രാജ്യങ്ങൾ DORA സ്വീകരിച്ചുകഴിഞ്ഞാൽ, സൈബർ ഭീഷണികൾ തടയുകയും ലഘൂകരിക്കുകയും ചെയ്യുക എന്ന ആത്യന്തിക ലക്ഷ്യത്തോടെ, എല്ലാത്തരം വിവര, ആശയവിനിമയ സാങ്കേതിക (ICT) തടസ്സങ്ങളും ഭീഷണികളും നേരിടാനും പ്രതികരിക്കാനും വീണ്ടെടുക്കാനും സാമ്പത്തിക കമ്പനികൾക്ക് കഴിയുമെന്ന് ഉറപ്പാക്കേണ്ടതുണ്ട്. ചെറുതും സൂക്ഷ്മവും പരസ്പരബന്ധിതവുമായ എന്റിറ്റികളെ നിയന്ത്രിക്കുന്നതിന് റെഗുലേഷൻ വ്യത്യസ്തമായ സമീപനമാണ് സ്വീകരിക്കുന്നത്.
ഫ്ലെക്സിബിലിറ്റി പരിശോധിക്കുന്നു
യൂറോപ്യൻ സൂപ്പർവൈസറി അതോറിറ്റികൾ (ESAs), അതായത് യൂറോപ്യൻ ബാങ്കിംഗ് അതോറിറ്റി (EBA), യൂറോപ്യൻ സെക്യൂരിറ്റീസ് ആൻഡ് മാർക്കറ്റ്സ് അതോറിറ്റി (ESMA), യൂറോപ്യൻ ഇൻഷുറൻസ് ആൻഡ് ഒക്യുപേഷണൽ പെൻഷൻ അതോറിറ്റി (EIOPA) - "എല്ലാ സാമ്പത്തിക സേവന സ്ഥാപനങ്ങളും നിർബന്ധമായും പാലിക്കേണ്ട സാങ്കേതിക മാനദണ്ഡങ്ങൾ വികസിപ്പിക്കുന്നു. ഇത് പാലിക്കുക". കൂടാതെ, നിർണായകമായ മൂന്നാം-കക്ഷി ICT സേവന ദാതാക്കൾ, പ്രത്യേകിച്ച് EU-ലെ ധനകാര്യ സ്ഥാപനങ്ങൾക്ക് ക്ലൗഡ് ദാതാക്കൾ, ഉചിതമായ മേൽനോട്ടത്തിനായി EU-നുള്ളിൽ ഒരു അനുബന്ധ സ്ഥാപനം സ്ഥാപിക്കേണ്ടതുണ്ട്, കൂടാതെ നിയന്ത്രണത്തിന്റെ ഭാവി അവലോകനങ്ങളിൽ ഓഡിറ്റർമാരും ഉൾപ്പെടും.
പുതിയ നിയമം EU ലെ FSI കമ്പനികളെ അവരുടെ സംഘടനകളുടെ പ്രതിരോധശേഷി പരിശോധിക്കാൻ നിർബന്ധിതരാക്കും; അതായത്, അവർ അടിസ്ഥാനപരമായി അപകടസാധ്യതകൾ കൈകാര്യം ചെയ്യുകയും DORA യുടെ ആവശ്യങ്ങൾ നിറവേറ്റുന്നതിനായി ഒരു റിസ്ക് ഗവേണൻസ് ചട്ടക്കൂട് ഉപയോഗിക്കുകയും വേണം. അതിനാൽ, എല്ലാ സാമ്പത്തിക വ്യവസായ സിഐഎസ്ഒകളും സൈബർ സെക്യൂരിറ്റി വെണ്ടർമാരുമായും DORA-യിൽ പൂർണ്ണമായി കാലികമായ പങ്കാളികളുമായും പ്രവർത്തിക്കുന്നത് പരിഗണിക്കണമെന്ന് ശുപാർശ ചെയ്യുന്നു.
സാമ്പത്തിക സേവനങ്ങൾക്കുള്ള CISO-കൾക്കായുള്ള കൂടുതൽ 2023 ശുപാർശകൾ
2023 ആസൂത്രണം ചെയ്യുന്ന സാമ്പത്തിക മേഖലയിലെ സ്ഥാപനങ്ങൾക്കായി കൂടുതൽ വ്യക്തമായ മറ്റ് ശുപാർശകളും നൽകിയിട്ടുണ്ട്. 2023 2022 പോലെ ആയിരിക്കില്ലെന്ന് സാമ്പത്തിക സേവന വ്യവസായത്തിൽ പ്രവർത്തിക്കുന്ന സിഐഎസ്ഒകൾ (വിവര സുരക്ഷാ മേധാവികൾ) മനസ്സിലാക്കേണ്ടതുണ്ട്; വലിയ മാറ്റങ്ങൾ സംഭവിക്കുകയും സൈബർ അപകടസാധ്യത വർദ്ധിക്കുകയും ചെയ്യുന്നു.
ഒരു ഇടപെടൽ, വീണ്ടെടുക്കൽ മാനസികാവസ്ഥയിലേക്ക് മാറുന്നു
ransomware-ൽ വർദ്ധനയുണ്ട്, ധനകാര്യ സ്ഥാപനങ്ങൾക്ക് മാത്രമല്ല, എല്ലാ സ്ഥാപനങ്ങൾക്കും ഇത് ഒരു പ്രധാന പ്രശ്നമാണ്. പരമ്പരാഗതമായി, സാമ്പത്തിക സേവന വ്യവസായ മാനസികാവസ്ഥ ഇതാണ്: "ഇല്ല, ഞങ്ങൾക്ക് അപകടസാധ്യത ആവശ്യമില്ല." ഇതുവരെ, ഇതെല്ലാം സംരക്ഷണത്തിനും കണ്ടെത്തലിനും വേണ്ടിയായിരുന്നു. എന്നിരുന്നാലും, ഇന്നത്തെ സൈബർ അപകടസാധ്യതയുടെ സ്വഭാവം കണക്കിലെടുക്കുമ്പോൾ, ഈ സമീപനം ഇനി യാഥാർത്ഥ്യമല്ല.
സാമ്പത്തിക വ്യവസായത്തിലെ CISO-കൾ അതിവേഗം മാറിക്കൊണ്ടിരിക്കുന്ന ഭീഷണിയുടെ ലാൻഡ്സ്കേപ്പ് മനസിലാക്കുകയും കൂടുതൽ പ്രതിരോധശേഷിയുള്ളവരായിരിക്കുന്നതിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുകയും വേണം. ഇതിനർത്ഥം ഒരു സാമ്പത്തിക മേഖലയിലെ സ്ഥാപനത്തിന്റെ തന്ത്രം എല്ലാ അപകടസാധ്യതകളും ഒഴിവാക്കാനുള്ള ശ്രമത്തിൽ നിന്ന് ആക്രമണത്തിൽ നിന്ന് വേഗത്തിൽ കരകയറാനുള്ള ശ്രമത്തിലേക്ക് മാറണം എന്നാണ്. എൻഡ്പോയിന്റ് കണ്ടെത്തലും പ്രതികരണവും (EDR), വിപുലീകൃത കണ്ടെത്തലും പ്രതികരണവും (XDR), സുരക്ഷാ ഓർക്കസ്ട്രേഷൻ, ഓട്ടോമേഷൻ, പ്രതികരണം (SOAR) തുടങ്ങിയ പ്രവർത്തനങ്ങൾ പ്രവർത്തനക്ഷമമാക്കുന്ന പ്ലാറ്റ്ഫോമുകളിലെ നിക്ഷേപത്തിലേക്ക് ഇത് സ്വാഭാവികമായും നയിക്കും.
എംബഡഡ് ഫിനാൻസ് കൊണ്ട് വരുന്ന അപകടസാധ്യതകൾ
2023-ൽ ധനകാര്യ സ്ഥാപനങ്ങളിലെ CISO-കൾ പരിഗണിക്കേണ്ട മറ്റൊരു പ്രശ്നം ഉൾച്ചേർത്ത ധനകാര്യത്തിന്റെ വർദ്ധിച്ചുവരുന്ന പ്രവണതയാണ്.
എന്താണ് ഉൾച്ചേർത്ത ധനകാര്യം?
“പരമ്പരാഗത സ്ഥാപനങ്ങളുമായി ഇടപെടുന്നതിന് പകരം എല്ലാ സാമ്പത്തിക സേവനങ്ങളും ഒരിടത്ത് സംയോജിപ്പിക്കുന്ന പ്രക്രിയയാണ് എംബഡഡ് ഫിനാൻസ്. ഒരു ചില്ലറവ്യാപാരിക്ക് ഉപയോഗിക്കാനാകുന്ന എല്ലാ സേവനങ്ങളും ഒറ്റത്തവണ കൈകാര്യം ചെയ്യാൻ എളുപ്പമുള്ള മോഡലിൽ ശേഖരിക്കുന്നതിനുള്ള സുരക്ഷിതവും ലളിതവും കാര്യക്ഷമവുമായ മാർഗം ഇത് വാഗ്ദാനം ചെയ്യുന്നു. മൂന്നാം കക്ഷി ലക്ഷ്യസ്ഥാനങ്ങളിലേക്ക് ആളുകളെ നയിക്കാതെ തന്നെ വായ്പ, ഇൻഷുറൻസ് അല്ലെങ്കിൽ പേയ്മെന്റ് ഇടപാടുകൾ പോലുള്ള സാമ്പത്തിക സേവനങ്ങളിലേക്കുള്ള പ്രവേശനം സുഗമമാക്കിക്കൊണ്ട്, ഒരു ബിസിനസ്സിന്റെ ഇൻഫ്രാസ്ട്രക്ചറിലേക്ക് സാമ്പത്തിക പരിഹാരങ്ങൾ സംയോജിപ്പിക്കാൻ കഴിയും. അതിനർത്ഥം, കുഴപ്പത്തിലാക്കാൻ കുറച്ച് ആപ്പുകൾ, പണം കൈകാര്യം ചെയ്യാൻ കുറച്ച് ആളുകൾ, വിഷമിക്കേണ്ട, സാമ്പത്തിക ലോജിസ്റ്റിക്സ് നിലനിർത്താൻ കുറച്ച് സമയം ചിലവഴിക്കുന്നു. കഴിഞ്ഞ കുറച്ച് വർഷങ്ങളായി ഈ വ്യവസായത്തോടുള്ള താൽപര്യം അതിവേഗം വളർന്നു. യുഎസ് എംബഡഡ് ഫിനാൻസ് മാർക്കറ്റ് 2020 ൽ 22,5 ബില്യൺ ഡോളറിലെത്തി, 2025 ഓടെ പത്തിരട്ടിയായി 230 ബില്യൺ ഡോളറായി വളരുമെന്ന് പ്രതീക്ഷിക്കുന്നു. (NCR, ഓഗസ്റ്റ് 8, 2022)
2023-ലും അതിനുശേഷവും ലോകത്തിൽ ധനകാര്യം കൂടുതൽ പ്രബലമാകും. ഉദാഹരണത്തിന്, എംബഡഡ് ഫിനാൻസ് പരിഗണിക്കുക, അവിടെ പാരമ്പര്യേതര ഓർഗനൈസേഷനുകൾ "ഇപ്പോൾ വാങ്ങുക പിന്നീട് പണമടയ്ക്കുക" വിൽപ്പനയ്ക്കായി ഫിനാൻസ് ഉൽപ്പന്നങ്ങൾ ഉപയോഗിക്കുന്നു. ഈ രീതി വിൽപ്പന വർദ്ധിപ്പിക്കുന്നു, മാത്രമല്ല സ്ഥാപനങ്ങൾക്ക് അപകടസാധ്യത വർദ്ധിപ്പിക്കുകയും ചെയ്യുന്നു.
എംബഡഡ് ഫിനാൻസ് ഒരു സേവനമായി ബാങ്കിംഗും (BaaS), ആപ്ലിക്കേഷൻ പ്രോഗ്രാമിംഗ് ഇന്റർഫേസ് (API) സാങ്കേതികവിദ്യകളും വഴി സുഗമമാക്കുന്നു. ഈ രീതി 2026 ഓടെ ബാങ്കുകൾക്ക് 25 ബില്യൺ ഡോളറിലധികം വാർഷിക വരുമാനം ഉണ്ടാക്കുമെന്ന് പ്രതീക്ഷിക്കുന്നു, 2025 ആകുമ്പോഴേക്കും നിലവിലുള്ള ബാങ്കുകൾ ചെറുകിട, ഇടത്തരം ബിസിനസ് വരുമാനത്തിന്റെ 25 ശതമാനം നിലവിലുള്ള ചാനലുകളിലേക്ക് മാറ്റും. (ഉൾച്ചേർത്ത ആപ്ലിക്കേഷനുകൾ: ബാങ്കുകൾക്കുള്ള പുതിയ വരുമാനവും പുതിയ അപകടസാധ്യതകളും (garp.org)
2023-ലും അതിനുശേഷവും, FSI-യിലെ CISO-കൾ ഇനിപ്പറയുന്നവ പ്രത്യേകം ശ്രദ്ധിക്കേണ്ടതുണ്ട്:
- ഡാറ്റാ ലംഘനങ്ങൾ തടയുന്നതിനുള്ള നടപടികളും സെൻസിറ്റീവ് വിവരങ്ങളിലേക്കുള്ള അനധികൃത ആക്സസ്സും ഉൾപ്പെടെ, ശക്തമായ സൈബർ സുരക്ഷയും ഡാറ്റാ പരിരക്ഷണ നയങ്ങളും തങ്ങൾക്ക് ഉണ്ടെന്ന് ഓർഗനൈസേഷനുകൾ ഉറപ്പാക്കേണ്ടതുണ്ട്.
- സാമ്പത്തിക സേവനങ്ങളിൽ സമാന തലത്തിലുള്ള വൈദഗ്ധ്യമോ അനുഭവപരിചയമോ ഇല്ലാത്ത സാമ്പത്തികേതര പങ്കാളികളുമായി സ്ഥാപനങ്ങൾ പ്രവർത്തിക്കുന്നിടത്ത്, അവർ ഡാറ്റ ദുരുപയോഗം അല്ലെങ്കിൽ ദുരുപയോഗം സാധ്യതകൾ നിരീക്ഷിക്കണം.
- സാമ്പത്തിക ഉൽപന്നങ്ങളും സേവനങ്ങളും നോൺ-ഫിനാൻഷ്യൽ ഉൽപ്പന്നങ്ങളിലേക്കോ പ്ലാറ്റ്ഫോമുകളിലേക്കോ സംയോജിപ്പിക്കുമ്പോൾ, താൽപ്പര്യ വൈരുദ്ധ്യങ്ങളുടെ സാധ്യതകൾ നോക്കുകയും ആ ഉൽപ്പന്നങ്ങളുടെയും സേവനങ്ങളുടെയും നിബന്ധനകളും വ്യവസ്ഥകളും സംബന്ധിച്ച് സ്ഥാപനങ്ങൾ ഉപഭോക്താക്കളുമായി സുതാര്യമായിരിക്കുകയും വേണം.
- ഉൾച്ചേർത്ത ധനകാര്യവുമായി ബന്ധപ്പെട്ട റെഗുലേറ്ററി സംഭവവികാസങ്ങളിൽ കാലികമായി തുടരുകയും പ്രസക്തമായ എല്ലാ നിയമങ്ങളും ചട്ടങ്ങളും സ്ഥാപനം പാലിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കുകയും ചെയ്യേണ്ടത് ആവശ്യമാണ്.
- എംബഡഡ് ഫിനാൻസിന്റെ പശ്ചാത്തലത്തിൽ സൈബർ സുരക്ഷയും സ്വകാര്യത അപകടസാധ്യതകളും ഫലപ്രദമായി കൈകാര്യം ചെയ്യുന്നതിനുള്ള അറിവും വിഭവങ്ങളും ഉണ്ടെന്ന് ഉറപ്പാക്കാൻ ഓർഗനൈസേഷൻ സ്പെഷ്യലിസ്റ്റ് സ്ഥാപനങ്ങളുമായി പങ്കാളികളാകുകയോ ഈ മേഖലയിലെ വിദഗ്ധരുമായി കൂടിയാലോചിക്കുന്നത് പരിഗണിക്കുകയോ വേണം.
ബോധവൽക്കരണവും പ്രധാനമാണ്, കാരണം സാങ്കേതികവിദ്യയ്ക്ക് മാത്രം ഇത് നേടാൻ കഴിയില്ല. ധനകാര്യ സ്ഥാപനങ്ങൾ തങ്ങളുടെ ജീവനക്കാർക്ക് DevSecOps, ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ്, മെഷീൻ ലേണിംഗ്, API സുരക്ഷ എന്നിവയിൽ പരിശീലനം നൽകേണ്ടതുണ്ട്. ഈ ഘട്ടത്തിൽ, TAA സംരംഭത്തിലൂടെയും വിദ്യാഭ്യാസ ഇൻസ്റ്റിറ്റ്യൂട്ട് പ്രോഗ്രാമുകളിലൂടെയും സൈബർ നൈപുണ്യ വിടവ് നികത്താനും സൈബർ അവബോധം വർദ്ധിപ്പിക്കാനും സഹായിക്കുന്നതിനുള്ള പ്രതിബദ്ധത ഫോർട്ടിനെറ്റ് ഊന്നിപ്പറയുന്നു.
അഭിപ്രായമിടുന്ന ആദ്യയാളാകൂ