05/04/2023 11:50
Οι προκλήσεις για το χρηματοοικονομικό τομέα της Κύπρου, η κυβερνοασφάλεια και η διαχείριση κινδύνων, βρέθηκαν στο επίκεντρο της ατζέντας της ετήσιας γενικής συνέλευσης του Association of Cyprus International Financial Firms (ACIFF).
Στη διαδικτυακή συνέλευση ο πρόεδρος του ACIFF και CEO του ομίλου MAP S. Platis, Δημήτρης Ταξιτάρης, επεσήμανε ότι οι προκλήσεις για το εγχώριο χρηματοπιστωτικό σύστημα είναι μεγάλες και ποικίλες.
Αναφερόμενος στη συμμόρφωση με το νομοθετικό και κανονιστικό πλαίσιο, είπε ότι καθίσταται η κύρια πρόκληση, όπως επίσης και η ασφάλεια πληροφοριών και η κυβερνοασφάλεια.
Σημείωσε ακόμη, ότι χρειάζεται συνεχής προσπάθεια αλλά και επαγρύπνηση, ώστε οι εταιρείες «να αναπτύσσουν και να εφαρμόζουν διαδικασίες, συστήματα και ελέγχους που ενισχύουν την συμμόρφωση τους στη διαχείριση χρηματοοικονομικών κινδύνων.
Οι κίνδυνοι στο κυβερνοχώρο είναι από τα σημαντικότερα θέματα που αντιμετωπίζει ο χρηματοοικονομικός τομέας σε παγκόσμιο επίπεδο, πρόσθεσε, καθώς οι διαδικτυακές επιθέσεις μπορούν να έχουν καταστροφικά αποτελέσματα και προκαλούν σοβαρές επιπλοκές στα συστήματα αλλά και απώλεια δεδομένων, εσόδων και καλής φήμης.
«Δεν είναι σοφό να μην λαμβάνουμε μέτρα επειδή το κόστος της κυβερνοασφάλειας είναι πολύ υψηλό. Το κόστος μια επιτυχημένης κυβερνοεπίθεσης είναι πολύ μεγαλύτερο», υπογράμμισε ο κ. Ταξιτάρης.
Τόνισε ακόμη, ότι μέχρι την εφαρμογή του ευρωπαϊκού κανονισμού «DORA» (Digital Operational Resilience Act) το 2025 και την υποχρεωτική εφαρμογή μέτρων ασφαλείας για ψηφιακούς κινδύνους, ο κάθε οργανισμός θα πρέπει να λαμβάνει τα απαραίτητα μέτρα προστασίας.
Ψηφιακές εξελίξεις, νομοθεσίες και απαιτήσεις
Ο πρόεδρος της Επιτροπής Κεφαλαιαγοράς Κύπρου Δρ Γιώργος Θεοχαρίδης, αναφέρθηκε στις ψηφιακές εξελίξεις και στις νέες ευρωπαϊκές νομοθετικές και άλλες απαιτήσεις στον χρηματοοικονομικό τομέα, τονίζοντας ότι από την Επιτροπή υπάρχει συνεχής ενίσχυση της εποπτείας του τομέα στη βάση των τεχνολογικών εξελίξεων και προκλήσεων.
Αναφέρθηκε ακόμη, στο νέο κανονισμό για τους παρόχους κρυπτο-περιουσιακών στοιχείων - MiCA (Markets in Crypto-Assets Regulation) – αλλά και στον ευρωπαϊκό κανονισμό για την ψηφιοποίηση και επιχειρησιακή ανθεκτικότητα στον τομέα – DORA.
Επισήμανε ότι μέσω της αποτελεσματικής εποπτείας και συνεχούς παρακολούθησης των εποπτευόμενων οντοτήτων ενισχύεται η προστασία των επενδυτών, ενώ διασφαλίζεται και η ακεραιότητα της αγοράς.
Η Επιτροπή παρακολουθεί στενά και λαμβάνει σοβαρά υπόψιν τις πληροφορίες που έρχονται ενώπιον της για τις εποπτευόμενες οντότητες, είπε και κάλεσε τις ΚΕΠΕΥ, να αναθεωρήσουν τις πολιτικές και τις διαδικασίες τους και να διασφαλίσουν ότι συμμορφώνονται πλήρως με τις απαιτήσεις της κείμενης νομοθεσίας.
Επιτυχημένη κυβερνοεπίθεση
Μιλώντας στη συνέλευση ο καθηγητής Χρηματοοικονομικών και Διαχείρισης Κινδύνων στο Πανεπιστήμιο Κύπρου Δρ. Ανδρέας Μηλιδώνης, ανέλυσε το πώς μια επιτυχημένη κυβερνοεπίθεση αλλάζει τη διαχείριση κινδύνου και τη φήμη της εταιρείας.
Παρουσιάζοντας τα ευρήματα διεθνούς μελέτης από 188 κυβερνοεπιθέσεις σε 144 εταιρείες, ανέφερε συμπερασματικά ότι θα πρέπει να λαμβάνονται όλα τα αναγκαία προληπτικά μέτρα από τις διοικήσεις των εταιρειών, καθώς το κόστος μια επιτυχημένης κυβερνοεπίθεσης είναι υπερπολλαπλάσιο και έχει μακροχρόνιες δυσμενείς επιπτώσεις, σε σχέση με το κόστος για την αντιμετώπιση ή ακόμα και το μετριασμό μια τέτοιας επίθεσης.
Υπογράμμισε ακόμη την ανάγκη δημιουργίας ειδικών επιτροπών διαχείρισης κινδύνου σε κάθε οργανισμό, με σκοπό την εφαρμογή πολιτικών κυβερνοασφάλειας και προστασίας από κινδύνους.
Κανονισμός DORA
Ο ειδικός σύμβουλος του ACIFF και CEO της QuadPrim
Υπογράμμισε ότι είναι σημαντικό ο κάθε οργανισμός «να δημιουργήσει, να διατηρήσει και να επανεξετάσει ένα υγιές και ολοκληρωμένο ψηφιακό πρόγραμμα δοκιμών επιχειρησιακής ανθεκτικότητας ως αναπόσπαστο μέρος του πλαισίου διαχείρισης κινδύνου».
Αναφερόμενος στο τι πρέπει να διαθέτουν οι χρηματοοικονομικές οντότητες, σημείωσε τις ολοκληρωμένες δυνατότητες για να καταστεί δυνατή μια ισχυρή και αποτελεσματική διαχείριση κινδύνων μιας κυβερνοεπίθεσης, μηχανισμούς και πολιτικές για το χειρισμό και την αναφορά σημαντικών περιστατικών, πολιτικές για τη δοκιμή συστημάτων, ελέγχων και διαδικασιών, και πολιτικές, ελέγχους και διαδικασίες για τη διαχείριση του κινδύνου τρίτων – παρόχων υπηρεσιών πληροφορικής και τεχνολογίας.