מפת דרכים ל-PS21/3: מדוע הזמן אוזל עבור שירותים פיננסיים

מאת פיל מונקסטר • 6 במרץ 2025

הרבה נכתב על הצורך של חברות שירותים פיננסיים לשפר את החוסן התפעולי. אבל רוב הסנטימטרים האלה התמקדו עד עכשיו ב חוק החוסן התפעולי הדיגיטלי של האיחוד האירופי (DORA), שנכנסה לתוקף בינואר - גם אם בנקים רבים בבריטניה אולי עדיין לא להיות מציית. הצהרת המדיניות החדשה של הרשות להתנהלות פיננסית (FCA) חשובה יותר עבור חברות שירותים פיננסיים בריטיות רבות: PS21 / 3.

לצד הצהרת הפיקוח של רשות הפיקוח (PRA). SS1/21, היא מהווה סדרה של דרישות חדשות ומחויבות למגזר שחייבות להיות מיושמות עד ה-31 במרץ 2025. לכל ארגון שחושב לבטל את העדיפויות בשקט של מאמצים אלה, א מכתב "מנכ"ל יקר". מה-FCA בתחילת פברואר צריך למקד את המוחות.

השורה התחתונה היא שהרגולטור מצפה לציות. למרבה המזל, ISO 27001 יכול לעזור לארגונים בהיקף ליצור את תרבות החוסן התפעולי ש-FCA, PRA ו-DORA דורשים.

שינוי דיגיטלי פירושו סיכון דיגיטלי

כמו רוב המגזרים, השירותים הפיננסיים גדלו יותר ויותר תלויים בתשתית דיגיטלית כדי להישאר תחרותיים ולספק את החוויות המקוונות החלקות שהלקוחות חושקים בהן. החל ב- 2024, כ-86% מהמבוגרים בבריטניה השתמשו בבנקאות מקוונת, והנתון של בנקאות זו ובנקאות ניידת אמור להמשיך לטפס כלפי מעלה במהלך השנים הקרובות - בין היתר הודות להשפעה המשבשת של חברות פינטק. השוק הבריטי עבור עסקים אלה הוא מוגדר להיות שווה מעל 24 מיליארד דולר (19 מיליארד ליש"ט) עד 2029.

האתגר עם הקצב ההולך וגדל של הטרנספורמציה הדיגיטלית הזו הוא הסיכון הנוסף שמגיע איתו. התלות גוברת בטכנולוגיה חושפת בנקים וחברות אחרות לסיכון גדול יותר של סחיטה דיגיטלית, בעיקר מתוכנות כופר, ובמקביל מרחיבה את משטח התקיפה כך שהפרצות הופכות כמעט בלתי נמנעות. זה עלול להיות סיכון מוניטין ופיננסי רציני. על פי נתוני קרן המטבע הבינלאומית (IMF). דוח יציבות פיננסית גלובלית, יותר מ-20,000 התקפות על מגזר הבנקאות גרמו להפסדים של יותר מ-12 מיליארד דולר (9.5 מיליארד ליש"ט) במהלך 20 השנים האחרונות. בנוסף, "ההפסדים הקיצוניים" יותר מפי ארבעה מאז 2017 ל-2.5 מיליארד דולר (2 מיליארד ליש"ט).

עם זאת, סיכון סייבר לא תמיד נובע מצדדים שלישיים זדוניים. בסוף ינואר, א הפסקת IT גדולה של ברקליס השאיר אינספור לקוחות גבוהים ויבשים, ללא יכולת לשלם מיסים, חשבונות ותשלומי משכנתא או אפילו לגשת למידע נכון בחשבונות שלהם. הנשורת הייתה כצפוי סוערת עבור המלווה ברחוב, שבזמן כתיבת שורות אלו עדיין לא הסביר את סיבת התקרית.

מה שה-FCA רוצה

זו הסיבה שה-FCA, למשל, נראה להוט להגביר את הדרישות הרגולטוריות סביב חוסן תפעולי דיגיטלי במגזר. PS21/3 דורשת מבנקים, אגודות בניין, מבטחים, ספקי תשלומים ואחרים לסדר את הדברים הבאים לפני סוף מרץ:

זהה את השירותים העסקיים החשובים ביותר של הארגון ובדוק אותם באופן קבוע
הגדר סובלנות השפעה עבור כל אחד מהשירותים הללו ובדוק אותם באופן קבוע
זהה ותעד את האנשים, התהליכים, הטכנולוגיה, המתקנים והמידע הדרושים כדי לספק שירותי מפתח. זה כולל כל קשרי ספקים שעלולים להשפיע על יכולתו של הארגון להישאר בגבולות סובלנות ההשפעה
פתח תוכניות בדיקה המתארות כיצד הארגון יכול להישאר בגבולות ההשפעה עבור כל "שירות עסקי חשוב" - זיהוי תרחישים סבירים המותאמים לסיכונים ופגיעויות. זה יעזור למנהלים בכירים להבטיח שתוכניות לתיקון פגיעות ממומנות כראוי
לפתח ולבדוק תוכניות תגובה לאירועים
מסור הערכה עצמית בהתאם מדריך מדריך לגוף המנהל הרלוונטי. זה אמור להדגיש את המסע של הארגון לחוסן תפעולי, כולל סקירה כללית של נקודות תורפה שנמצאו, תרחישים שנבדקו (בתוספת התוצאות שלהם), תוכניות תיקון, והאסטרטגיה הכוללת להישאר בתוך סובלנות השפעה עבור כל השירותים העסקיים הקריטיים
סריקת אופק רגילה כדי לעזור להבין סיכונים חדשים ומתהווים ולהבטיח את הבקרות המתאימות כדי לזהות, להגיב ולהתאושש מהפרעות תפעוליות

ה- FCA כבר פרסם כמה תצפיות על מאמצי הציות הנוכחיים, שלדבריה אמורים לעזור להנחות חברות שירותים פיננסיים כשהן מעריכות מוכנות ומסיימות תוכניות PS21/3. הרגולטור מעוניין במיוחד להבטיח שסיכון צד שלישי מנוהל באופן רציף ופעיל על ידי חברות בהיקף, כולל באמצעות בדיקות במידת הצורך. ושתוכניות השיקום ממומנות במלואן. היא גם דורשת שארגונים העונים לדרישות לא יתייחסו ל-PS21/3 כאל "פעולה של פעם" אלא להטמיע את הדרישות שלו בתרבות הארגונית.

כיצד ISO 27001 יכול לעזור

זה המקום שבו ISO 27001 בא לידי ביטוי. לדברי סם פיטרס, מנהל המוצר הראשי של ISMS.online, יש התאמה בין התקן ל-PS21/3 במספר תחומי מפתח, כולל:

ממשל ואחריות- שניהם מדגישים אחריות מנהיגותית בקביעת אסטרטגיות חוסן ובפיקוח עליהן.
סובלנות השפעה וניהול סיכונים- שניהם דורשים קבלת החלטות מבוססות סיכונים וקביעת ספי סיכון כדי לשמור על החוסן.
בדיקה וניתוח תרחישים- שניהם דורשים בדיקות קבועות כדי להעריך ולשפר את החוסן התפעולי, כך שארגונים יוכלו להתמודד עם שיבושים ביעילות.
ניהול סיכונים של צד שלישי- שניהם דורשים בדיקת נאותות על צדדים שלישיים, אם כי ISO 27001 מספק גישה מובנית לניהול סיכוני אבטחה של ספקים.
דיווח ותגובה על תקריות- שניהם דורשים תכנון תגובה לאירועים, אם כי "ISO 27001 הולך רחוק יותר בכך שהוא מבטיח שהטיפול באירועים מתועד, מנוטר ומשופר לאורך זמן", לדברי פיטרס.
שיפור מתמיד ולמידה משיבושים- שניהם מדגישים למידה משיבושים כדי לשפר ללא הרף את החוסן.

"לחברות המשתמשות ב-ISO 27001 כבר יש בסיס איתן לעמידה בדרישות החוסן של FCA, במיוחד בניהול סיכונים, תגובה לאירועים ושיפור מתמיד", אומר פיטרס. "על ידי מינוף ISO 27001, חברות שירותים פיננסיות יכולות לחזק את הציות לכללי ה-FCA תוך שיפור עמדת האבטחה הכללית והחוסן שלהן."

כאמור, כללי ה-FCA החדשים חולקים גם עקרונות ליבה סביב חוסן תפעולי עם DORA. זה כולל אחריות מנהיגותית רבה יותר, חוסן של צד שלישי, תגובה משופרת לאירועים ו"מיפוי שירותים קריטיים, זיהוי נקודות תורפה וקביעת ספי סיכון", אומר פיטרס. למרות ששני המשטרים שונים במונחים של היקף ואכיפה, זה מציע הזדמנות לחברות פיננסיות בבריטניה הפועלות באיחוד האירופי ליישר אסטרטגיות חוסן תפעולי של FCA עם DORA, תוך שימוש ב-ISO 27001 כבסיס.

זה בסופו של דבר "יעזור לייעל את מאמצי הציות ולהפחית סיכונים רגולטוריים", מסכם פיטרס.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.