নতুন প্রবিধান সংস্থাগুলিকে সাইবার নিরাপত্তাকে আরও গুরুত্ব সহকারে নিতে বাধ্য করছে।
শন গ্ল্যাডওয়েল | মুহূর্ত | গেটি ইমেজ
কঠোর নতুন ইউরোপীয় ইউনিয়নের নিয়মকানুন যাতে ব্যাংকগুলিকে তাদের সাইবারসিকিউরিটি সিস্টেমগুলিকে শক্তিশালী করতে হবে শুক্রবার আনুষ্ঠানিকভাবে কার্যকর হয়েছে – তবে ব্লকের অনেক আর্থিক পরিষেবা সংস্থা এখনও নিয়মগুলির সাথে পুরোপুরি সম্মত নয়৷
ইইউ ডিজিটাল অপারেশনাল রেজিলিয়েন্স অ্যাক্টবা DORA, উভয় আর্থিক পরিষেবা সংস্থাগুলি এবং তাদের প্রযুক্তি প্রদানকারীদের তাদের আইটি সিস্টেমগুলিকে শক্তিশালী করতে চায় যাতে শিল্পটি সাইবার অ্যাটাক বা অন্য যে কোনও ধরণের বাধার ক্ষেত্রে স্থিতিস্থাপক হয় তা নিশ্চিত করতে৷ এটি 17 জানুয়ারী কার্যকর হয়েছে।
নতুন আইন লঙ্ঘনের জন্য নিষেধাজ্ঞাগুলি যথেষ্ট হতে পারে। আর্থিক পরিষেবা সংস্থাগুলি যারা নতুন নিয়মগুলি মেনে চলতে ব্যর্থ হয় তাদের বার্ষিক বিশ্বব্যাপী রাজস্বের 2% পর্যন্ত জরিমানা করতে পারে। লঙ্ঘনের জন্য পৃথক পরিচালকদেরও দায়ী করা যেতে পারে এবং €1 মিলিয়ন ($1 মিলিয়ন) পর্যন্ত নিষেধাজ্ঞার সম্মুখীন হতে পারে।
আইটি জায়ান্ট সিস্কোর প্রধান গোপনীয়তা কর্মকর্তা এবং ডেপুটি জেনারেল কাউন্সেল হার্ভে জ্যাং এর মতে, এখন পর্যন্ত, নতুন নিয়মগুলির সাথে আর্থিক পরিষেবা সংস্থাগুলির মধ্যে সম্মতির হার মিশ্রিত হয়েছে।
“আমি মনে করি আমরা একটি মিশ্রণ দেখেছি,” জ্যাং একটি সাক্ষাত্কারে সিএনবিসিকে বলেছেন। “অবশ্যই, আরও পরিপক্ক স্টেজ কোম্পানিগুলি কমপক্ষে এক বছর ধরে এটি দেখছে – যদি আর না হয়।”
“আমরা সত্যিই এই সম্মতি প্রোগ্রামটি তৈরি করার চেষ্টা করছি, কিন্তু এটি এত জটিল। আমি মনে করি এটিই চ্যালেঞ্জ। আমরা এটি জিডিপিআর এবং অন্যান্য বিস্তৃত আইনের সাথেও দেখেছি যা ব্যাখ্যা সাপেক্ষে – এটি আসলে মেনে চলার মানে কী? এটি বিভিন্ন লোকের কাছে বিভিন্ন জিনিস বোঝায় ” তিনি বলেছিলেন।
দৃঢ় DORA সম্মতি হিসাবে যোগ্যতার এই সাধারণ ধারণার অভাব অনেক প্রতিষ্ঠানকে এমন একটি স্তরে নিরাপত্তার মান বাড়াতে পরিচালিত করেছে যা প্রকৃতপক্ষে বেশিরভাগ কোম্পানির প্রত্যাশিত “বেসলাইন” অতিক্রম করে।
আর্থিক প্রতিষ্ঠান প্রস্তুত?
DORA-এর অধীনে, আর্থিক সংস্থাগুলিকে কঠোর আইটি ঝুঁকি এবং ঘটনা ব্যবস্থাপনা, তথ্য শ্রেণীবিভাগ এবং রিপোর্টিং, অপারেশনাল স্থিতিস্থাপকতা পরীক্ষা, সাইবার হুমকি এবং দুর্বলতার বিষয়ে তথ্য ভাগ করে নেওয়া এবং তৃতীয় পক্ষের ঝুঁকিগুলি পরিচালনা করার ব্যবস্থা গ্রহণ করতে হবে।
কোম্পানীগুলিকে বহিরাগত কোম্পানীর কাছে গুরুত্বপূর্ণ বা গুরুত্বপূর্ণ অপারেশনাল ফাংশনগুলির আউটসোর্সিং সম্পর্কিত “ঘনত্ব ঝুঁকি” মূল্যায়ন করতে হবে।
এক অরেঞ্জ সাইবার ডিফেন্স কর্তৃক কমিশনকৃত যুক্তরাজ্যের 200 জন প্রধান তথ্য নিরাপত্তা কর্মকর্তার জনগণনা-ব্যাপী সমীক্ষাফরাসি টেলিকমিউনিকেশন কোম্পানির সাইবার নিরাপত্তা বিভাগ কমলাদেখায় যে ব্রিটেনের 43% আর্থিক প্রতিষ্ঠান এখনও DORA-এর সাথে সম্পূর্ণরূপে সম্মত নয়।
এটি একটি উদ্বেগের কারণ, যদিও ইউকে এখন ইউরোপীয় ইউনিয়নের বাইরে, DORA ইউরোপীয় ইউনিয়নের এখতিয়ারে কর্মরত সমস্ত আর্থিক সত্তার ক্ষেত্রে প্রযোজ্য – এমনকি তারা ব্লকের বাইরে অবস্থিত হলেও।
“যদিও এটা স্পষ্ট যে ইউকেতে DORA-এর কোন আইনি নাগাল নেই, এখানে অবস্থিত সংস্থাগুলি এবং EU-তে সংস্থাগুলিকে পরিচালনা বা পরিষেবা প্রদান করা নিয়ন্ত্রণের অধীন হবে,” রিচার্ড লিন্ডসে, অরেঞ্জ সাইবারডিফেন্সের প্রধান উপদেষ্টা পরামর্শদাতা, সিএনবিসিকে বলেছেন৷
তিনি যোগ করেছেন যে অনেক আর্থিক প্রতিষ্ঠানের জন্য প্রধান চ্যালেঞ্জ যখন এটি DORA সম্মতি অর্জনের জন্য আসে তাদের সমালোচনামূলক আউটসোর্স আইটি প্রদানকারীদের পরিচালনা করা।
“আর্থিক প্রতিষ্ঠানগুলি একটি অত্যন্ত জটিল এবং বহু-স্তর বিশিষ্ট ডিজিটাল ইকোসিস্টেমের মধ্যে কাজ করে,” লিন্ডসে বলেন। “ট্র্যাকিং এবং নিশ্চিত করা যে এই সিস্টেমের সমস্ত অংশগুলি DORA-এর প্রাসঙ্গিক উপাদানগুলির সাথে স্পষ্টভাবে মেনে চলছে তার জন্য একটি নতুন মানসিকতা, সমাধান এবং সংস্থানগুলির প্রয়োজন হবে।”
DORA এর কঠোর প্রয়োজনীয়তার কারণে ব্যাংকগুলি প্রযুক্তি প্রদানকারীদের সাথে তাদের চুক্তির আলোচনায় উচ্চ স্তরের যাচাই-বাছাই যুক্ত করছে, জ্যাং বলেছেন।
সিসকোর প্রধান গোপনীয়তা কর্মকর্তা সিএনবিসিকে বলেছেন যে তিনি মনে করেন যখন আইনের নীতি এবং চেতনার ক্ষেত্রে সারিবদ্ধতা রয়েছে। যাইহোক, তিনি যোগ করেছেন, “যেকোন আইন একটি আপোষের পণ্য এবং তাই এটি আরও নির্দেশমূলক হয়ে ওঠে, এটি একটি চ্যালেঞ্জ হয়ে ওঠে।”
“আমরা নীতিগুলির সাথে একমত, তবে যে কোনও আইন আপসের একটি পণ্য এবং এটি আরও নির্দেশমূলক হয়ে উঠলে এটি চ্যালেঞ্জিং হয়ে ওঠে।”
তবুও, চ্যালেঞ্জ সত্ত্বেও, বিশেষজ্ঞদের মধ্যে সাধারণ প্রত্যাশা হল যে ব্যাঙ্ক এবং অন্যান্য আর্থিক প্রতিষ্ঠানগুলি সম্মতি অর্জন করতে বেশি সময় লাগবে না।
“ইউরোপের ব্যাঙ্কগুলি ইতিমধ্যেই উল্লেখযোগ্য প্রবিধানগুলি মেনে চলে যা DORA দ্বারা কভার করা বেশিরভাগ এলাকাকে কভার করে,” ফ্যাবিও কলম্বো, EMEA আর্থিক পরিষেবার নিরাপত্তা লিড, Accenture-এর CNBC কে বলেছেন৷
“ফলস্বরূপ, আর্থিক পরিষেবা প্রতিষ্ঠানগুলির ইতিমধ্যেই পরিপক্ক শাসন এবং সম্মতি ক্ষমতা রয়েছে, বিদ্যমান ঘটনা রিপোর্টিং প্রক্রিয়া এবং শক্তিশালী আইসিটি ঝুঁকি কাঠামো সহ।”
আইটি প্রদানকারীদের জন্য ঝুঁকি
আইটি প্রদানকারীদের DORA-এর অধীনে জরিমানাও করা যেতে পারে। নিয়মগুলি ছয় মাস পর্যন্ত বিশ্বব্যাপী গড় দৈনিক আয়ের 1% পর্যন্ত ফিকে হুমকি দেয়।
“এই নিষেধাজ্ঞাগুলি প্রয়োজনীয়,” ব্রায়ান ফক্স, সফটওয়্যার সাপ্লাই চেইন ম্যানেজমেন্ট কোম্পানি সোনাটাইপের প্রধান প্রযুক্তি কর্মকর্তা, সিএনবিসিকে বলেছেন। “তারা একটি শক্তিশালী অনুপ্রেরণাকারী, নেতাদের সম্মতি এবং অপারেশনাল স্থিতিস্থাপকতাকে আগের চেয়ে আরও বেশি গুরুত্ব সহকারে নিতে উত্সাহিত করে।”
অরেঞ্জ সাইবার ডিফেন্সের লিন্ডসে বলেছেন যে আর্থিক পরিষেবা সংস্থাগুলি তাদের গুরুত্বপূর্ণ সুরক্ষা ফাংশন এবং পরিষেবাগুলিকে ঘরে সরিয়ে নিয়ে যাওয়ার একটি দীর্ঘমেয়াদী ঝুঁকি রয়েছে৷
“প্রযুক্তির অগ্রগতি আর্থিক প্রতিষ্ঠানগুলিকে পরিষেবাগুলিকে ঘরে ফিরিয়ে আনার অনুমতি দিতে পারে, এই দিকটিকে সহজ করে এবং ডিফল্টের ঝুঁকি হ্রাস করে,” তিনি বলেছিলেন।
লিন্ডসে যোগ করেছেন, “যে কোনো ক্ষেত্রে, সম্মতি চুক্তিগতভাবে বাধ্যতামূলক এবং সত্তা এবং সরবরাহকারীর মধ্যে পর্যবেক্ষণ করা নিশ্চিত করার জন্য বিদ্যমান চুক্তিগুলিকে আপডেট করতে হবে।”
যাইহোক, আরও বেশ কিছু সাইবার নিরাপত্তা-কেন্দ্রিক প্রবিধান রয়েছে যা সংস্থাগুলিকে মেনে নিতে হবে, যেমন নেটওয়ার্ক এবং তথ্য নিরাপত্তা নির্দেশিকা 2, বা NIS 2এবং সাইবার রেজিলিয়েন্স অ্যাক্ট। প্রথম প্রবেশ করল অক্টোবরে কার্যকর হয়.
“যেকোন নতুন প্রবিধানের মতো, সংস্থাগুলি নতুন প্রয়োজনীয়তা এবং মানগুলির সাথে সামঞ্জস্য করার সাথে সাথে অবশ্যই একটি ট্রানজিশন পিরিয়ড হবে,” সোনাটাইপের ফক্স সিএনবিসিকে বলেছে। “সফ্টওয়্যার নিরাপত্তা এবং স্থিতিস্থাপকতা উন্নত করার জন্য এটি একটি দীর্ঘ যাত্রার সূচনা।”