Комиссия по финансовым услугам (FSC) представила дорожную карту по улучшению безопасности ИТ-сетей в сфере финансовых услуг, говорится в заявлении регулятора.
Дорожная карта, которая была запущена после обсуждений с экспертами частного электронного сектора, финансовыми отраслевыми группами и должностными лицами из Службы финансового надзора (FSS) и Института финансовой безопасности (FSI), направлена на смягчение строгих правил разделения ИТ- сетей, которые действуют с 2014 года, и на обновление правил безопасности финансовых данных.
Причина обновления
Разделение ИТ-сетей — обязательная мера безопасности, которая подразумевает физическое разделение внутренних сетей от внешних сетей для защиты конфиденциальных данных и систем от внешних угроз. Она была введена после крупномасштабной финансовой вычислительной аварии в 2013 году.
Хотя эта мера оказалась эффективной в защите финансовых систем от киберугроз, таких как взломы и программы-вымогатели, она также привела к неэффективности и стала препятствием для исследований и разработок финансовых компаний в области использования новых технологий, таких как облачные вычисления и искусственный интеллект.
FSC заявляет: «В частности, в связи с быстрым переходом программного обеспечения на облачное программное обеспечение как услугу (SaaS) и растущей значимостью генеративного искусственного интеллекта (ИИ) разделение сетей может не только стать источником неудобств, но и помешать повышению конкурентоспособности финансовой отрасли.
«Поэтому после 10 лет введения правил по разделению сетей FSC планирует стремиться к смене парадигмы для нахождения надлежащего баланса между инновациями и безопасностью путем модернизации устаревших правил и пересмотра правил и положений по безопасности финансовых данных в среднесрочной и долгосрочной перспективе».
Дорожная карта
Власти будут стремиться постепенно и поэтапно смягчать соответствующие правила.
Стремясь оперативно устранять препятствия с помощью программы «регуляторной песочницы», власти также подготовят механизмы безопасности для обеспечения кибер- и информационной безопасности до тех пор, пока не будет полностью создана саморегулирующаяся и автономная система защиты данных.
Во-первых, финансовым компаниям будет разрешено использовать технологии генеративного ИИ. Большинство услуг генеративного ИИ основаны на облачной интернет-среде. Однако внутренние финансовые секторы сталкиваются с препятствиями при использовании генеративного ИИ из-за ограничений, наложенных на их доступ к интернет-сетям. В этой связи будет предоставлено нормативное исключение через программу регуляторной песочницы, чтобы позволить им иметь доступ к Интернету при условии, что финансовые компании внедрили достаточные меры обеспечения безопасности для предотвращения рисков кибербезопасности. FSS и FSI будут проводить проверки и предлагать консультации по вопросам кибербезопасности тем, кто претендует на это нормативное исключение.
Во-вторых, финансовым компаниям будет разрешено использовать облачное программное обеспечение как услугу (SaaS) для большего количества типов операционных функций. В настоящее время использование SaaS разрешено только для определенных типов функций бэк-офиса, таких как управление документами и управление человеческими ресурсами. Использование запрещено при обработке личной кредитной информации клиентов. В этой связи сфера использования SaaS будет расширена и включит области кибербезопасности и информационной безопасности, а также управления отношениями с клиентами. В этом случае финансовым компаниям также необходимо будет подготовить достаточные меры обеспечения безопасности для получения нормативного освобождения.
В-третьих, будут усовершенствованы исследовательские и опытно-конструкторские среды финансовых компаний. Физическое разделение сетей и ограничения, накладываемые на использование личной кредитной информации, стали барьерами для финансовых компаний в проведении исследовательских и опытно-конструкторских проектов по запуску персонализированных услуг. В этой связи власти будут стремиться пересмотреть правила электронных финансовых услуг, чтобы смягчить текущие правила физического разделения сетей и разрешить использование псевдонимизированных данных для содействия разработке более инновационных финансовых услуг.
После надлежащего изучения хода реализации вышеупомянутых программ по освобождению от нормативных требований FSC разрешит финансовым компаниям напрямую обрабатывать персональную кредитную информацию в непсевдонимизированных форматах. В этой связи потребуются дополнительные меры обеспечения безопасности в соответствии с расширенным объемом использования данных.
В качестве среднесрочной и долгосрочной цели FSC будет работать над системой регулирования, сосредоточенной на автономной кибербезопасности и самоподотчетности. В этой связи финансовые компании должны будут усилить внутреннее управление по вопросам кибербезопасности. Будут введены штрафы в случае сбоев в кибербезопасности. Также будут реализованы реформы регулирования, направленные на усиление управления рисками третьих лиц.
Хронология изменений
Начиная с 22 августа 2024 года власти проведут ряд информационных сессий с финансовыми учреждениями и предложат консультации по мерам обеспечения безопасности, которые финансовым компаниям необходимо будет рассмотреть для программ освобождения от нормативных требований.
Подача заявок на регуляторную песочницу откроется в сентябре. После процесса рассмотрения заявок использование генеративного ИИ в финансовых секторах может стать доступным уже в конце этого года.
Подготовлено порталом Allinsurance.kz