Šalyje veikiančios elektroninių pinigų ir mokėjimo įstaigos turi skirti daugiau pastangų valdydamos informacinių ir ryšių technologijų (IRT) riziką – tą rodo Lietuvos banko atlikta analizė.
„Šios licencijuojamo finansinių technologijų (fintech) sektoriaus atstovės, siekdamos verslo efektyvumo, dažnai perka IRT paslaugas iš trečiųjų šalių. Vis dėlto atsakomybė už šios srities rizikos valdymą tenka pačioms įstaigoms ir jos turi stebėti, vertinti ir kontroliuoti, kaip trečiosios šalys teikia minėtas paslaugas. Taip pat svarbu, kad įstaigos praktiškai išmėgintų, kaip jų teikėjai veiktų krizės atveju“, – sakė Lietuvos banko Bankų ir draudimo priežiūros departamento direktorė Renata Bagdonienė.
Lietuvos banko prašymu, atrinktos elektroninių pinigų ir mokėjimo įstaigos teikė paaiškinimus, kaip įstaigų valdymo organai įsitraukia spręsdami IRT ir saugumo rizikos valdymo klausimus, kaip įstaigos yra apibrėžusios trečiųjų šalių rizikos valdymą vidaus dokumentuose (IRT strategijoje, Informacijos saugumo politikoje, sutartyse su IRT paslaugas teikiančiomis trečiosiomis šalimis ir kt.), kaip jas stebi ir kontroliuoja.
Analizės rezultatai parodė, kad dalis įstaigų supranta trečiųjų šalių keliamą IRT rizikos svarbą ir taiko kontrolės priemones, pavyzdžiui, derina įstaigos veiklos tęstinumo planus su IRT paslaugas teikiančių trečiųjų šalių įsipareigojimais, sutartyse nurodo su informacijos saugumu susijus tikslus bei priemones ir stebi, kaip jie vykdomi. Tačiau Lietuvos bankas nustatė sritis, kurioms įstaigos turėtų skirti daugiau dėmesio.
Lietuvos bankas pastebi, kad ne visose įstaigose valdymo organai (stebėtojų taryba, valdyba ar vadovas) skiria pakankamai dėmesio informacijos saugumo, veiklos tęstinumo ir kitų IRT rizikų valdymui. Dažniausiai jie apsiriboja rizikos vertinimo ataskaitų tvirtinimu ir informacijos apie incidentus analize. O kitus įstaigoms aktualius IRT klausimus (kaip trečiosios šalys laikosi įsipareigojimų, veiklos tęstinumo plano tikrinimas, saugumo mokymai ar IRT projektų pažangos ataskaitos) įstaigos valdymo organai nagrinėja retai ar apskritai jų nesvarsto. Tai silpnina įstaigų kibernetinį atsparumą ir gali nulemti neatitiktį teisės aktų reikalavimams.
Tinkamai parengta IRT strategija ir savalaikis jos įgyvendinimas yra informacijos saugumo valdymo organizacijoje pagrindas. Lietuvos bankas nustatė, kad daugumoje analizuotų įstaigų nėra aiškios strategijos dėl IRT paslaugų vidutiniu ir ilguoju laikotarpiais. Joje turėtų būti nustatyta šios srities architektūra, jos raida ir pokyčiai, aiškūs informacijos saugumo tikslai. IRT strategijoje taip pat turėtų būti nustatyta ir priklausomybės nuo IRT paslaugas teikiančių trečiųjų šalių analizė.
Ne visoms įstaigoms pavyksta tinkamai atlikti veiklos tęstinumo planų testus ar juos tinkamai aprašyti. Lietuvos bankas pastebi, kad dažniau taip nutinka įstaigoms, kurios IRT paslaugoms pasitelkia trečiąsias šalis. Veiklos tęstinumo planai turėtų būti tikrinami ir atnaujinami bent kartą per metus, įtraukiant į juos ne tik infrastruktūros gedimo, bet ir kibernetinių išpuolių scenarijus. Be to, įstaigos turėtų pasitikrinti, kaip IRT paslaugas teikiančios trečiosios šalys atliktų savo įsipareigojimus esant krizinei situacijai. Tik nuolatinis praktinis planų tikrinimas gali sumažinti incidentų žalą ir užtikrinti, kad įstaiga bus tinkamai pasirengusi kritinei situacijai.