Châu Âu yêu cầu các ngân hàng phải đảm bảo an ninh mạng, vi phạm sẽ bị phạt nặng

Đạo luật Khả năng phục hồi kỹ thuật số của hoạt động, gọi tắt là DORA, yêu cầu các công ty dịch vụ tài chính và các nhà cung cấp công nghệ của họ phải củng cố hệ thống công nghệ thông tin để đảm bảo ngành này có khả năng chống chịu trong trường hợp xảy ra các cuộc tấn công mạng hoặc các sự gián đoạn khác. Luật này bắt đầu có hiệu lực từ ngày 17/1 vừa qua.

HÌNH PHẠT NẶNG ĐỐI VỚI VI PHẠM

Các công ty dịch vụ tài chính không tuân thủ các quy định mới có thể đối mặt với mức phạt lên tới 2% doanh thu toàn cầu hàng năm. Ngoài ra, các cá nhân quản lý vi phạm cũng có thể bị xử phạt lên tới 1 triệu USD.

Tuy nhiên, mức độ tuân thủ hiện nay giữa các tổ chức tài chính còn khá chênh lệch, theo Harvey Jang, Giám đốc bảo mật thông tin và Phó tổng cố vấn tại Cisco. “Tình hình hiện tại rất đa dạng,” ông Jang nói trong một cuộc phỏng vấn với hãng tin CNBC. “Các công ty lớn, có hệ thống quản trị chặt chẽ hơn, thường đi trước và đã xem xét vấn đề này từ ít nhất một năm, nếu không nói là lâu hơn.”

“Chúng tôi đang cố gắng xây dựng chương trình tuân thủ, nhưng điều này rất phức tạp. Đây cũng là thách thức mà chúng tôi đã thấy với GDPR và các luật rộng hơn - những quy định mà cách hiểu có thể khác nhau. Tuân thủ có nghĩa là gì? Với mỗi người, cách hiểu có thể khác nhau,” ông nói thêm.

Sự thiếu rõ ràng này đã khiến nhiều tổ chức nâng cao tiêu chuẩn an ninh lên mức vượt qua yêu cầu cơ bản của DORA, Jang nhận định.

LIỆU CÁC TỔ CHỨC TÀI CHÍNH ĐÃ SẴN SÀNG?

Theo DORA, các tổ chức tài chính phải thực hiện các biện pháp quản lý rủi ro công nghệ thông tin nghiêm ngặt, phân loại và báo cáo sự cố, kiểm tra khả năng phục hồi hoạt động, chia sẻ thông tin tình báo về các mối đe dọa và lỗ hổng mạng, đồng thời thực hiện các biện pháp để quản lý rủi ro từ bên thứ ba.

Họ cũng phải đánh giá rủi ro tập trung liên quan đến việc thuê ngoài các chức năng hoạt động quan trọng hoặc thiết yếu cho các công ty bên ngoài.

Theo khảo sát của Censuswide đối với 200 giám đốc an ninh thông tin tại Anh, được ủy quyền bởi Orange Cyberdefense - đơn vị an ninh mạng của Tập đoàn viễn thông Pháp Orange — 43% tổ chức tài chính tại Anh chưa tuân thủ đầy đủ DORA.

Đây là một vấn đề đáng lo ngại vì, mặc dù Anh đã rời EU, DORA vẫn áp dụng với các thực thể tài chính hoạt động trong phạm vi các nước EU, ngay cả khi trụ sở của họ ở ngoài khối.

“DORA không có hiệu lực pháp lý ở Anh, nhưng các tổ chức tại đây cung cấp dịch vụ cho các thực thể trong EU vẫn sẽ phải tuân theo quy định này,” Richard Lindsay, chuyên gia tư vấn cấp cao tại Orange Cyberdefense, nói với CNBC.

Ông cũng lưu ý rằng, thách thức lớn nhất đối với nhiều tổ chức tài chính trong việc tuân thủ DORA là quản lý các nhà cung cấp công nghệ thông tin bên thứ ba quan trọng. “Các tổ chức tài chính vận hành trong một hệ sinh thái số nhiều lớp và vô cùng phức tạp,” ông Lindsay nói. “Việc theo dõi và đảm bảo rằng tất cả các phần của hệ thống này tuân thủ đầy đủ các yêu cầu của DORA đòi hỏi một tư duy, giải pháp và nguồn lực hoàn toàn mới.”

Do các yêu cầu khắt khe của DORA, các ngân hàng đang tăng cường mức độ kiểm tra trong các hợp đồng với nhà cung cấp công nghệ, theo chuyên gia Jang từ Cisco. “Về nguyên tắc, chúng tôi đồng ý với tinh thần của luật này,” ông Jang nói. “Nhưng bất kỳ luật nào cũng là sản phẩm của sự thỏa hiệp. Khi các yêu cầu trở nên chi tiết hơn, việc thực hiện sẽ gặp nhiều thách thức hơn.”

Mặc dù vậy, các chuyên gia kỳ vọng rằng không lâu nữa, các ngân hàng và tổ chức tài chính khác sẽ tuân thủ đầy đủ. “Các ngân hàng tại châu Âu vốn đã tuân thủ nhiều quy định nghiêm ngặt bao gồm hầu hết các lĩnh vực thuộc phạm vi DORA,” Fabio Colombo, Giám đốc an ninh dịch vụ tài chính tại Accenture khu vực EMEA, cho biết.

“Do đó, các tổ chức tài chính đã có sẵn các hệ thống quản trị và tuân thủ trưởng thành, với quy trình báo cáo sự cố và khung quản lý rủi ro IT vững chắc,” ông nói thêm.

RỦI RO ĐỐI VỚI CÁC NHÀ CUNG CẤP DỊCH VỤ CÔNG NGHỆ THÔNG TIN 

Các nhà cung cấp công nghệ thông tin cũng có thể bị phạt theo DORA, với mức phạt lên đến 1% doanh thu trung bình hàng ngày toàn cầu trong tối đa 6 tháng.

“Các biện pháp trừng phạt này là cần thiết,” ông Brian Fox, Giám đốc công nghệ tại Sonatype, nhận định. “Chúng là động lực mạnh mẽ, thúc đẩy các nhà lãnh đạo nghiêm túc hơn trong việc tuân thủ và tăng cường khả năng phục hồi hoạt động.”

Chuyên gia an ninh mạng Richard Lindsay từ Orange Cyberdefense cho rằng về lâu dài, các ngân hàng có thể sẽ đưa các chức năng bảo mật quan trọng về nội bộ để giảm nguy cơ không tuân thủ. “Tiến bộ công nghệ có thể cho phép các tổ chức tài chính tự triển khai dịch vụ, đơn giản hóa vấn đề và giảm thiểu rủi ro vi phạm,” ông nói.

Dù lựa chọn nào, các hợp đồng hiện tại cũng cần được cập nhật để đảm bảo rằng tuân thủ là bắt buộc và được giám sát chặt chẽ giữa các bên.

CHÂU ÂU SẼ CÒN RA NHIỀU QUY ĐỊNH MỚI

Ngoài DORA, các tổ chức sẽ phải đối mặt với các quy định khác về an ninh mạng như Chỉ thị An ninh mạng và Thông tin 2 (NIS 2) và Đạo luật Khả năng phục hồi mạng. NIS 2 đã có hiệu lực từ tháng 10 năm ngoái.

“Như bất kỳ quy định mới nào, sẽ cần thời gian chuyển đổi để các tổ chức điều chỉnh với các yêu cầu và tiêu chuẩn mới,” Fox từ Sonatype chia sẻ.
“Đây chỉ là khởi đầu của hành trình dài để nâng cao an ninh phần mềm và khả năng phục hồi của hệ thống,” ông kết luận.