RegTech
∆ρ. Γιάννης Ηλιάδης,
CISSP-ISSMP, Μέλος ∆.Σ., (ISC)2 Hellenic Chapter
Special Report
Πώς θα περιγράφατε συνοπτικά τη σχέση της Aσφάλειας Πληροφοριών µε την Ιδιωτικότητα ∆εδοµένων;
30
Η ανάγκη για αυξηµένη Ιδιωτικότητα ∆εδοµένων στη σύγχρονη, παγκοσµιοποιηµένη και πλήρως διαδικτυακή, εποχή µας είναι µεγαλύτερη από ποτέ. Αυτό έχει οδηγήσει σε παγκόσµια ευαισθητοποίηση και κινητοποίηση σε επίπεδο σχετικών Κανονιστικών και Νοµικών Πλαισίων (π.χ. GDPR, CCPA, DIFC Data Protection Law, South Africa POPIA, Canada Digital Charter Implementation Act, Australia Privacy Act, China PIPL). Αυτή η τάση των τελευταίων ετών, της ιδιαίτερης ευαισθησίας απέναντι στην Ιδιωτικότητα ∆εδοµένων και της κανονιστικής απαίτησης για έγκαιρο και ολοκληρωµένο σχεδιασµό σχετικών µέτρων προστασίας της, δεν µειώνει και δεν αντιµάχεται την ανάγκη για ανάλογη εξέταση των κινδύνων που σχετίζονται µε την Ασφάλεια Πληροφοριών και για υλοποίηση των αντίστοιχων µέτρων. Η Ιδιωτικότητα και η Ασφάλεια δεν βρίσκονται σε ένα παίγνιο µηδενικού αθροίσµατος (zero sum game) και δεν είναι αντίρροπες δυνάµεις. Αντιθέτως, οι κανονιστικά επιβαλλόµενες µελέτες Ιδιωτικότητας PIA & DPIA έχουν στρώσει ένα µονοπάτι κοινής εξέτασης και σχεδιασµού των κατάλληλων µέτρων Ασφάλειας και Ιδιωτικότητας, οδηγώντας σε ακόµα µεγαλύτερη βελτίωση της επιχειρησιακής διακυβέρνησης σε αυτά τα θέµατα. Πέραν αυτού, το 60% των επαγγελµατιών Ασφάλειας Πληροφοριών πιστεύει ότι µία ισχυρή στάση των επιχειρήσεων απέναντι σε θέµατα προστασίας της Ιδιωτικότητας αποτελεί παράγοντα που συµβάλλει ουσιαστικά στην αυξηµένη ανθεκτικότητα της ψηφιακής υπόστασης των επιχειρήσεων (digital resilience). Αυτή η συνέργεια µεταξύ Ιδιωτικότητας και Ασφάλειας, µε θετικά αποτελέσµατα για αµφότερες, είναι ιδιαίτερα επωφελής την τρέχουσα περίοδο που παρατηρείται: • αύξηση στις επιθέσεις κατά της εφοδιαστικής αλυσίδας κατά 78% [3], • αύξηση των κινδύνων από τρίτα µέρη κατά 73%, • παγκόσµια στροφή των υποδοµών Πληροφορικής από τις παραδοσιακές on-premise στο Cloud, οδηγώντας στην ανάδυση νέου τύπου κινδύνων. Η προαναφερθείσα ευρεία υιοθέτηση του Cloud έχει οδηγήσει σε αντίστοιχη επιχειρησιακή ανάγκη και τάση για µετεκπαίδευση των επαγγελµατιών Ασφάλειας και Ιδιωτικότητας σε θέµατα Ασφάλειας Cloud [6] µε τη χρήση της πιστοποίησης (ISC)2 CCSP (βλ. σχετική µελέτη, αναφορά DoD και για περισσότερες πληροφορίες: isc2-chapter.gr).
Οι λύσεις που προσφέρει το RegTech για ποιους τοµείς θα µπορούσαν να χαρακτηριστούν ιδιαίτερα χρήσιµες ή και απαραίτητες; Το RegTech παρέχει «τεχνολογικά προηγµένες λύσεις στις συνεχώς αυξανόµενες απαιτήσεις συµµόρφωσης». Οι εν λόγω τεχνολογικά προηγµένες λύσεις αφορούν κυρίως στους ακόλουθους τοµείς. Λόγω του αναδυόµενου χαρακτήρα του RegTech, υπάρχουν άλλες έρευνες που αποτυπώνουν την κατάτµηση της αγοράς προϊόντων RegTech µε διαφορετικό τρόπο: • Συµµόρφωση 41% • ∆ιαχείριση Ταυτότητας 23% • ∆ιαχείριση Κινδύνων 14% • Κανονιστικές Αναφορές 14% • ποπτεία Συναλλαγών 8% Το RegTech ενδέχεται, εκ φύσεως, να επιφέρει ριζικές αλλαγές στο µοντέλο 3LoD (Three Lines of Defense) εξαιτίας των ακόλουθων εφαρµογών του: • Ψηφιακή και ευφυής διαχείριση των κινδύνων, ενσωµατωµένη στον κύκλο ζωής του προϊόντος . • Ενσωµάτωση της συµµόρφωσης στις διαδικασίες της επιχείρησης, ακολουθώντας τις σχετικές προτροπές νέων προτύπων συµµόρφωσης και καθιστώντας την προσπάθεια συµµόρφωσης πιο αποτελεσµατική και αποδοτική. • Ανασχεδιασµός του µοντέλου 3LoD ώστε οι δράσεις του να υλοποιούνται σε πραγµατικό χρόνο και να περιλαµβάνουν συνεξέταση των κινδύνων που προέρχονται από τρίτα µέρη.
Έχετε κάποιους προβληµατισµούς ή παρατηρήσεις σε ό,τι αφορά την εφαρµογή του RegTech; Σύµφωνα µε πρόσφατη έρευνα, ορισµένα εκ των κυριότερων εµποδίων και κινδύνων στην εφαρµογή του RegTech είναι τα ακόλουθα: • Η κανονιστική αντιµετώπιση του RegTech δεν είναι ακόµα ξεκάθαρη. • Οι δυνητικοί αγοραστές τεχνολογικών προϊόντων RegTech ακόµα θεωρούν ότι η εν λόγω τεχνολογία είναι ανώριµη. • Οι επιχειρήσεις που υπόκεινται σε πολλά Κανονιστικά Πλαίσια τείνουν να αποφεύγουν την ανάληψη κινδύνου (risk-averse) που εισάγεται µε την πλήρη αυτοµατοποίηση των διαδικασιών και διεργασιών Συµµόρφωσης και Εσωτερικού Ελέγχου. Η εν λόγω πλήρης ψηφιακή αυτοµατοποίηση (µέσω αλγορίθµων) συνεπάγεται τη µείωση των δυνατοτήτων εποπτείας και παραδοσιακού ανθρώπινου ελέγχου των διαδικασιών και διεργασιών αυτών, δυνητικά αυξάνοντας τον κίνδυνο µη συµµόρφωσης.
netwee • ΙΟΥΛ ΙΟΣ ΑΥ ΓΟΥ Σ ΤΟΣ 2021