Кибер-риск является одной из самых серьезных проблем, с которыми сегодня сталкивается индустрия финансовых услуг. После громких событий, таких как утечка информации из Equifax и эпидемия программы-вымогателя WannaCry, министры финансов и управляющие центральными банками G20 в марте 2017 года признали, что кибер-риски потенциально могут нарушить финансовую систему в глобальном масштабе.
В ответ власти сосредоточились на том, как кибербезопасность влияет на операционную устойчивость. В 2018 году Базельский комитет по банковскому надзору создал рабочую группу по операционной устойчивости с конечной целью «внести вклад, среди прочего, во всемирные усилия, связанные с управлением кибер-рисками».
В декабре 2019 года Управление финансового надзора Великобритании (FCA) начало консультации по нескольким идеям, направленным на повышение операционной устойчивости финансовой отрасли Великобритании. Через пару месяцев после этого разразилась пандемия COVID-19, которая подвергла операционную устойчивость беспрецедентному стрессу, поскольку киберпреступления в финансовой отрасли выросли на 238%.
31 марта 2022 года новые правила FCA по операционной устойчивости наконец вступили в силу после длительного периода консультаций, предложений и написания. Решение было принято вовремя, учитывая растущий риск киберугрозы. Но, похоже, это не привлекло особого внимания отраслевых экспертов, что говорит о том, что многие предприятия могут быть ещё не готовы к переходу.
На что распространяются эти новые правила и какие шаги могут предпринять компании для его соблюдения?
ЧТО ТАКОЕ ЭКСПЛУАТАЦИОННАЯ УСТОЙЧИВОСТЬ?
Новая концепция операционной устойчивости охватывает банки, инвестиционные фирмы, страховые компании, строительные общества, лицензии на электронные деньги, малые учреждения электронных денег, платёжные учреждения, малые платёжные учреждения, поставщиков услуг инициирования платежей (PISP) и поставщиков услуг информации о счетах (AISP) в Соединённом Королевстве.
В соответствии с этой нормативно-правовой базой предприятия должны выполнить несколько задач, таких как определение «важных бизнес-услуг», установление «допустимых отклонений воздействия для максимально допустимого нарушения этих услуг» и выполнение «сопоставление и тестирование до уровня сложности, необходимого для выявления важных бизнес-сервисов, установки допустимых отклонений воздействия и выявления любых уязвимостей в его операционной устойчивости» до 31 марта 2022 года. С этого момента у них есть три года, чтобы гарантировать, что они всегда будут оставаться в пределах допустимых отклонений воздействия. После этой даты компании, обращающиеся за авторизацией, должны пройти оценку операционной устойчивости FCA. Крайний срок для обеспечения того, чтобы они оставались в пределах допустимых отклонений, — 31 марта 2025 года.
Чтобы создать совместимую структуру и провести оценку устойчивости, вы можете выполнить следующие простые шаги, описанные ниже, разбив требования структуры операционной устойчивости FCA.
ШАГ № 1. Определите ключевые бизнес-услуги для обеспечения операционной устойчивости
Регулируемые компании должны признавать важнейшие бизнес-услуги в контексте своих бизнес-моделей в соответствии с критериями операционной устойчивости FCA. Для этого составьте список всех ваших услуг и отметьте те, которые никогда не должны прерываться, потому что это может недопустимым образом повлиять на ваших клиентов или даже на финансовую систему Великобритании в целом.
Вы должны учитывать, что может случиться с вашими клиентами в краткосрочной перспективе, если услуга будет недоступна, чтобы понять уровни вреда для потребителей, которые вы не можете допустить.
Например, если вы предлагаете услуги электронных денег клиентам, которые полагаются на вашу компанию как на основного поставщика платежных услуг, недоступность платёжной карты компании станет для них гораздо большей проблемой, чем недоступность услуги обмена валюты. Крайне важно определить, является ли конкретная клиентская база более уязвимой, чем другая, поэтому вы должны учитывать это при оценке своей клиентской базы. Точно так же вы должны учитывать, какие услуги могут быть нарушены и может ли это поставить под угрозу надёжность, стабильность или устойчивость финансовой системы Великобритании или эффективное функционирование финансовых рынков.
ШАГ № 2. Разберитесь, почему бизнес-сервисы могут потерпеть неудачу
Когда потребитель не может получить к нему доступ или использовать его должным образом, он не работает (т. е. выходит из строя). Вы должны составить список всех процессов и потенциальных областей сбоя, которые относятся к конкретной службе, чтобы лучше понять, что и как может пойти не так. Чтобы служба работала, вам также нужно определить необходимые человеческие, финансовые, информационные и технологические ресурсы.
Допустим, вы определили, что бизнес-услуга по осуществлению платёжных переводов — к примеру, переводы в фунтах стерлингов через Faster Payments — в случае сбоя наносят потребителям неприемлемый ущерб. Эта служба может выйти из строя по разным причинам, одни из которых находятся под вашим контролем, а другие — нет. Например, вы можете потерять доступ к API PSP, который даёт вам доступ к Faster Payments. Другой сценарий — когда ваши клиенты не могут получить доступ к своим платёжным счетам для размещения платёжного поручения, если вы предлагаете исключительно услуги цифровых платежей. Если у вас есть только приложение для смартфона, возможно, ваша служба не будет работать, если программное обеспечение (которое может быть приложением для Android или Apple) недоступно, поскольку оно выступает в качестве единой точки отказа. Однако, если ваше веб-приложение активно, это может означать, что ваша служба перевода платежей все еще работает.
ШАГ № 3. Установите допустимые отклонения воздействия
Вы должны точно определить этап, на котором существенный сбой обслуживания может негативно сказаться на клиентах таким образом, чтобы это нельзя было изменить, либо может нарушить целостность финансовой индустрии Великобритании. В результате вы должны знать, как долго вы можете мириться с недоступностью сервиса.
Например, PSP, который не предлагает услугу платёжных карт, может полагать, что если его служба обработки платежей недоступна более шести часов, вред для его клиентов неприемлем, тогда как небанковский PSP, предоставляющий услугу платёжных карт, может считают, что если его служба денежных переводов недоступна более 24 часов, ущерб для клиентов будет значительным.
Примите во внимание количество и типы (например, уязвимых клиентов) ваших клиентов, которые пострадали, их денежный ущерб, последствия для их жизни, объёмы утечки личной информации, ваши денежные и репутационные потери, а также вашу терпимость к воздействиям при определении того, что представляет собой недопустимый ущерб для клиентов (критичными можно считать убытки, которые могут помешать вашей способности предоставлять услуги или негативно повлиять на финансовый рынок Великобритании).
ШАГ № 4. Составьте список методов, которых следует придерживаться, чтобы предотвратить, адаптировать и справиться с перерывами в работе
После рассмотрения многочисленных сценариев сбоев для вашей важной бизнес-службы вы должны решить, какие шаги следует предпринять, чтобы предотвратить возникновение каждого из них. Подумайте, какие шаги вы можете предпринять, чтобы исправить ошибку и приспособиться к ней. Чтобы исправить их, вы должны признать, что требуются человеческие, финансовые, информационные и технологические ресурсы.
Не забудьте проверить, насколько ваши сценарии реагирования и восстановления соответствуют реальности. Обратите внимание, что успешно справиться с перебоями в обслуживании сможет только компания, которая готовится к подобным сценариям заранее. В принципе, вы можете, например, принять инструкции по оплате по телефону, если ваше программное обеспечение для денежных переводов не работает. Однако на самом деле, если вы не научите заранее своих сотрудников тому, как принимать инструкции по оплате по телефону, они не смогут этого сделать в случае перебоя в обслуживании.
Убедитесь, что ваша компания всегда сможет оставаться в пределах допустимых отклонений воздействия, выполнив Оценку операционной устойчивости FCA. Если FCA проверяет вашу компанию и допустимый уровень обслуживания денежных переводов составляет шесть часов, вы должны продемонстрировать FCA, как вы планируете гарантировать, что в случае сбоя клиенты не будут ожидать дольше шести часов.
В результате вы или нанятая третья сторона должны проверить обстоятельства, а также ваши стратегии предотвращения, адаптации и решения проблем. Как указано в заявлении о политике Оценки операционной устойчивости FCA, помните, что ваша устойчивость должна быть продемонстрирована на деле, а не только в концепции. Моделирование в реальном мире часто выявляет остаточные опасности и пробелы в устойчивости, которые вы можете решить.
Важно отметить, что вы несете полную ответственность за любых третьих лиц, которых вы используете для предоставления своих услуг (например, агента EMD), и что это должно учитываться при планировании операционной устойчивости. В зависимости от вашего взаимодействия с этими третьими лицами, вам может понадобиться, чтобы они провели собственную оценку системы операционной устойчивости FCA или были рассмотрены для включения в оценку вашей фирмы.
ШАГ № 5. Установите коммуникационные стратегии
Чтобы уменьшить ущерб, причиняемый критическими сбоями бизнес-служб, вы должны иметь внутренние и внешние методы связи, которые можно внедрить быстро и эффективно. Вы должны быть готовы связаться с соответствующими сторонами и использовать соответствующие каналы во время сбоев в работе. Также должны быть предусмотрены тщательная процедура эскалации и дерево вызовов. FCA также рекомендует заранее рассмотреть уязвимых потребителей и определить, нужны ли вам уникальные методы связи для удовлетворения их потребностей.
ШАГ № 6. Разработайте процедуру, которая позволит вам учиться на собственных ошибках и улучшать вашу систему операционной устойчивости FCA
В дополнение к тестированию вашей системы операционной устойчивости FCA должна существовать процедура, гарантирующая, что после материализации операционного риска вы оцените свою систему операционной устойчивости FCA с учётом того, как ваша компания смогла отреагировать на сбой и обновить структуру.
ШАГ № 7. Проведите собственное исследование и пересмотрите схему операционной устойчивости FCA
Вы должны пересматривать разработанную вами структуру операционной устойчивости не реже одного раза в год, чтобы увидеть, не было ли что-то упущено, и принять во внимание любые изменения в вашей бизнес-модели, такие как добавление новых услуг, использование нового программного обеспечения или любых других третьих сторон, которым вы можете передать на аутсорсинг определённые задачи, существенную модификацию вашей текущей услуги или изменение характеристик вашей клиентуры (например, в течение прошлого года вы могли привлечь более уязвимых клиентов).
Как COREDO может вам помочь?
Если вам нужна профессиональная консультация по вопросам развития бизнеса и обеспечения соблюдения нормативных требований, у нас есть соответствующие консультанты, которые могут вам помочь. Вы можете просмотреть услуги, которые мы можем предложить по этой ссылке: https://coredo.eu.