Budowanie odpornej gospodarki cyfrowej: Znaczenie znormalizowanej tożsamości organizacyjnej

Budowanie odpornej gospodarki cyfrowej: Znaczenie znormalizowanej tożsamości organizacyjnej

Żyjąc w zcyfryzowanym świecie, jesteśmy coraz bardziej narażeni na wyrafinowane cyberataki. Dzisiejsza infrastruktura opiera się głównie na zewnętrznych usługach teleinformatycznych. Możliwość niezawodnej i jednoznacznej identyfikacji dostawców tych usług za pomocą znormalizowanych i weryfikowalnych identyfikatorów organizacji jest więc kluczowa dla zapewnienia zaufania i cyberodporności. Unijne rozporządzenie DORA (ang. Digital Operational Resilience Act) zaostrza wymogi w zakresie cyberbezpieczeństwa w sektorze finansowym. Jest to bardzo ważny precedens regulacyjny, a rozwiązanie powinno zostać przyjęte globalnie w celu zabezpieczenia wszystkich cyfrowych ekosystemów na świecie.

Cyberataki stanowią bezpośrednie i rosnące zagrożenie dla globalnej stabilności finansowej.

Według raportu Międzynarodowego Funduszu Walutowego (MFW) z 2024 r. w ciągu ostatnich 20 lat sektor finansowy padł ofiarą ponad 20 tysięcy cyberataków, skutkujących bezpośrednimi skutkami w wysokości 12 mld USD powiększonymi jeszcze o koszty spowodowane utratą reputacji.

Przyszłość rysuje się w jeszcze ciemniejszych barwach. W raporcie MFW czytamy, że od czasu pandemii COVID-19 liczba ataków wzrosła dwukrotnie, a ich rosnąca częstość i wyrafinowanie stanowią "poważne zagrożenie dla stabilności makroekonomicznej z powodu utraty zaufania, zakłóceń kluczowych usług oraz ze względu na powiązania technologiczne i finansowe".

Na szczególną uwagę zasługują "powiązania technologiczne". Mimo że instytucje finansowe cieszą się opinią liderów cyberbezpieczeństwa, to postępująca cyfryzacja usług w tym sektora wiąże się z koniecznością polegania na zewnętrznych dostawcach usług teleinformatycznych w zakresie obsługi najważniejszych funkcji i bezpośredniego świadczenia podstawowych usług.

Europejskie organy nadzoru przeprowadziły analizę, z której wynika, że w samej UE instytucje finansowe są obsługiwane przez około 15 tys. dostawców usług teleinformatycznych. Stwarza to dwojakie wyzwania dla odporności operacyjnej. Po pierwsze, zależność instytucji finansowych od wielu dostawców mnoży liczbę ewentualnych luk i rozprasza operacje. Po drugie, komplikuje łańcuchy dostaw, które trudno monitorować, co jest bardzo ważne, gdy dochodzi do incydentu cyberbezpieczeństwa. Z drugiej strony, powierzanie obsługi instytucji finansowych małej liczbie dostawców (np. w zakresie usług przetwarzania w chmurze) zwiększa ryzyko, że pojedyncze ataki lub problemy spowodują awarię całych systemów.

Z uwagi na znaczenie niezawodności działania sektora finansowego w wielu jurysdykcjach zapewnienie odpowiedniego poziomu nadzoru nad dostawcami usług teleinformatycznych traktuje się priorytetowo. Unia Europejska jest obecnie liderem w tym zakresie, wprowadzając Rozporządzenie DORA celem wzmocnienie odporności operacyjnej podmiotów finansowych poprzez poprawę ich zdolności w sferze zarządzania ryzykiem związanym z dostawcami usług teleinformatycznych.

Wzmacnianie odporności operacyjnej za pomocą standaryzowanej tożsamości organizacyjnej

Identyfikacja dostawców usług teleinformatycznych, z których korzystają podmioty finansowe, ma zasadnicze znaczenie dla skutecznego zarządzania tym ryzykiem. Kluczowe jest tu stosowanie znormalizowanych, weryfikowalnych identyfikatorów organizacyjnych, takich jak identyfikator podmiotu prawnego (LEI).

Stanowiący globalne dobro publiczne LEI to znormalizowany identyfikator, który może być stosowany do rozpoznawania wszystkich zewnętrznych dostawców usług teleinformatycznych na świecie. LEI zapewnia spójną i jednoznaczną identyfikację podmiotów w środowisku międzynarodowym, rozwiązując problem rozproszenia:

• Zwiększa przejrzystość struktury korporacyjnej: LEI umożliwia identyfikację powiązań korporacyjnych między zewnętrznymi dostawcami usług teleinformatycznych zarówno na terenie UE, jak w pozostałych rejonach. LEI pomaga instytucjom i organom nadzorczym w wykrywaniu wzajemnych powiązań i potencjalnego ryzyka operacyjnego, dając wgląd w skomplikowane struktury organizacji.
• Pozwala łączyć informacje: LEI stanowi swoisty łącznik danych, umożliwiając ich zautomatyzowaną integrację z innymi istotnymi źródłami informacji, takimi jak lokalne organy rejestracyjne (np. lokalny rejestr przedsiębiorstw, izba handlowa itp.), dostawcy usług finansowych i rynki papierów wartościowych. Dzięki temu możliwe jest uzyskanie wglądu w sieć wzajemnych powiązań dostawców usług teleinformatycznych.
• Umożliwia cyfrową integrację i automatyzację: W pełni cyfrowy ekosystem LEI umożliwia niezawodne uzgadnianie danych dzięki swobodnemu dostępowi do interfejsu API i pobieraniu pełnych plików. Ta cyfrowa struktura eliminuje pracę ręczną i umożliwia szybkie zbieranie i analizowanie danych, zapewniając instytucjom i organom nadzorczym narzędzia potrzebne do monitorowania zależności dostawców usług teleinformatycznych i podejmowania świadomych decyzji.
• Usprawnia procesy due diligence, zachowania zgodności z przepisami i zgłaszania incydentów: Dokładna identyfikacja oparta na LEI minimalizuje błędy w raportowaniu, poprawia jakość danych i pomaga w przesyłaniu zgłoszeń dotyczących zgodności z większą niezawodnością. Jeśli dojdzie do incydentu po stronie technologii teleinformatycznych, LEI stanowi wyraźny i znormalizowany punkt odniesienia dla wszystkich stron, których dotyczy zdarzenie. Dzięki temu zgłaszanie incydentów, zachowanie spójności i rozwiązywanie problemów staje się o wiele prostsze.

Budowanie gospodarki cyfrowej odpornej na zagrożenia

Coraz większa częstotliwość i wyrafinowanie cyberataków mają oczywiście konsekwencje wykraczające daleko poza usługi finansowe. Współczesny świat jest na tyle zcyfryzowany, że cała infrastruktura krytyczna w dużym stopniu opiera się na dostawcach usług teleinformatycznych. Oznacza to, że globalne łańcuchy dostaw, opieka zdrowotna, energetyka i usługi publiczne, telekomunikacja i transport są narażone na te same poważne zagrożenia.

Unijne Rozporządzenie DORA określa ramy umożliwiające rozpoczęcie skutecznego rozwiązywania tego problemu. Uznanie znaczenia znormalizowanej, weryfikowalnej identyfikacji organizacyjnej jako kluczowego warunku odporności na cyberzagrożenia i budowania zaufania do ekosystemów cyfrowych stanowi ważny precedens regulacyjny, który powinien zostać powielony w całej globalnej gospodarce.