Dora

Hoe DORA de financiële toekomst van ons allemaal versterkt met een nieuwe kijk op operationele veerkracht

Over iets meer dan een half jaar komen we, oog in oog komen te staan ​​met de Digital Operational Resilience Act (DORA). De nieuwste poging om ​​diensten met elkaar te verweven.

DORA streeft ernaar de gefragmenteerde digitale waarborgen te verenigen

Hoe groot en ingewikkeld ook, DORA is een nieuw kader dat is opgesteld om vooral de digitale operationele veerkracht te versterken.

Op 17 januari volgend jaar, moeten we zo in staat zijn te bewijzen en in de praktijk te brengen dat we verstoringen of bedreigingen kunnen voortkomen, weerstaan, erop reageren en ervan te herstellen.

Hoewel de financiële dienstverlening nog steeds een van de sterkst gereguleerde en streng gecontroleerde sectoren ter wereld is, is het misschien ook wel een van de snelst evoluerende. En daarmee moet elke poging om een ​​nieuwe manier van doen te introduceren zeer berekend, breed toepasbaar en grondig doordacht zijn.

Het concept werd met name voor het eerst op de agenda gezet, toen de Europese Commissie het belang benadrukte van een operationeel veerkrachtige financiële sector, evenals de potentiële gevolgen van de besmetting van ICT-gerelateerde verstoringen, cybercriminaliteit en andere digitale gevaren.

Dit werd gevolgd door een oproep van de Europese Bankenautoriteit (EBA) voor een coherente aanpak van ICT-risico’s in de financiële sector, met onder meer een effectief raamwerk voor risicobeheer dat tijdige incidentrapportage en risico’s van derden kan ondersteunen. verzachting.

In september 2020 werd het eerste ontwerp van DORA gepubliceerd, als onderdeel van het bredere pakket voor digitale financiën, voordat het raamwerk in januari 2023 juridisch bindend werd, met een implementatieperiode van twee jaar.

Nu de implementatieperiode langzaam maar zeker ten einde loopt, hebben bedrijven de opdracht gekregen om de basis te leggen voor een reeks maatregelen gericht op het waarborgen van de continuïteit van ICT-systemen, gezonde integraties van derden en een sector zonder fraude.

Voor DORA betekent digitale operationele veerkracht eenvoudigweg “het vermogen van een financiële entiteit om haar operationele integriteit en betrouwbaarheid op te bouwen, te verzekeren en te herzien door, direct of indirect, door gebruik te maken van diensten die worden geleverd door externe ICT-dienstverleners, de het volledige scala aan ICT-gerelateerde capaciteiten die nodig zijn om de veiligheid te garanderen van de netwerk- en informatiesystemen die een financiële entiteit gebruikt, en die de voortdurende levering van financiële diensten en de kwaliteit ervan ondersteunen, ook tijdens verstoringen”.

De implementatie van deze maatregelen is er niet alleen op gericht om het voor financiële toezichthouders gemakkelijker te maken om specifieke zwakke punten in de sector op te sporen, maar ook om de middelen te bieden om risico’s te identificeren die buiten de grenzen van de regelgeving komen, met cloud- en andere technologiedienstverleners worden benadrukt in de focus.

Onder DORA moeten financiële bedrijven “een pakket documenten presenteren waaruit blijkt dat ze klaar zijn om te herstellen van verstoring wanneer deze zich voordoen”.

Risicobeheer komt als de eerste van de drie. Hierin onderstreept DORA de oprichting van een raamwerk voor ICT-risicobeheer, dat “strategieën, beleid, procedures, ICT-protocollen en hulpmiddelen moet omvatten die nodig zijn om alle informatiemiddelen en ICT-middelen naar behoren en adequaat te beschermen”, om de continuïteit van de dienstverlening te garanderen. in geval van schade en/of onbevoegde toegang.

DORA benadrukt dat dit raamwerk “passend moet zijn bij de omvang van de operaties”doormiddel van intensieve trainingsprogramma’s, juridische en regelgevende experts inzet en geavanceerde technologische oplossingen implementeert om effectief aan de wettelijke normen te voldoen.”

Het gaat erom waar data voor worden gebruikt en wat de impact kan zijn van het niet beschikbaar zijn van deze data, communicatie en veerkracht. Dit is een zeer bewuste aanpak van de toezichthouders.

Veerkracht heeft alles te maken met de veronderstelling dat een cyberaanval werkelijkheid zal worden, daar kun je niet omheen. En hoe zeker de cyberbeveiligingsprogramma’s zijn, aanvalsscenario’s zullen vruchten afwerpen.

“DORA is dus eigenlijk gebaseerd op de veronderstelling dat de aanval ooit succesvol zal zijn.”

De belofte van continuïteit van de dienstverlening door middel van reputatievoordelen zou veel groter kunnen zijn dan de implementatiekosten die bedrijven maken bij hun voorbereidingen op DORA.

Deze voordelen, zullen zich niet alleen uitstrekken tot de eindgebruikers, maar ook tot partnerschappen met derden.

Derde partijen zullen minder bereid zijn samen te werken als dit niet serieus wordt genomen en er niet wordt gekeken hoe de risico’s in de toeleveringsketen kunnen worden beheerst.

Er valt ongetwijfeld veel te doen om vóór januari volledige naleving van DORA te bewerkstelligen, en hoewel de voorbereidingen ongetwijfeld van bedrijf tot bedrijf zullen verschillen, zullen ze allemaal op het juiste moment te maken krijgen met dezelfde oproep om de problemen op te lossen. Want nu zijn er geen storingen meer en is veerkrachtig zijn de nieuwe naam van het spel.

AI wetgeving

Kunstmatige intelligentie (AI) brengt beide risico’s met zich mee, maar biedt ook een unieke kans om impliciete systematische discriminatie te bestrijden.

In het publieke discours over AI en de bijbehorende risico’s van discriminatie wordt vaak over het hoofd gezien dat menselijke beslissingen onbewust gebaseerd kunnen zijn op niet-objectieve criteria.

Als gevolg hiervan komen vormen van impliciete systematische discriminatie voor in de meeste grote organisaties. HR-beslissingen die ‘op instinct’ worden genomen, kunnen bijvoorbeeld gebaseerd zijn op ondoordachte voorkeuren. Onderzoek heeft aangetoond dat we de neiging hebben om meer vaardigheden toe te schrijven aan mensen die we aantrekkelijk vinden. Dit en andere besluitvormingstools kunnen leiden tot vooroordelen die discriminerende resultaten veroorzaken.

Bovendien kunnen irrelevante criteria zoals onze eigen huidige staat van welzijn ook van invloed zijn op onze besluitvorming. Zo kunnen de vonnissen van rechters in strafrechtbanken variëren, afhankelijk van of ze vóór of na de lunch worden uitgesproken. Deze niet-objectieve factoren, bekend als ‘ruis’, dragen bij aan discriminerende resultaten.

Het risico is dat AI-gestuurde automatisering van besluitvormingsprocessen kan leiden tot de proliferatie van dergelijke discriminerende effecten als de AI-systemen worden getraind met gegevens van eerdere menselijke beslissingen. Tegelijkertijd kan dit risico worden gecompenseerd door de enorme kans om menselijke discriminatie in al zijn vormen aanzienlijk te verminderen door middel van een goede kwaliteitscontrole van de trainingsgegevens. In de regel neemt de mate van statistische onjuistheid af (wordt steeds meer “genormaliseerd”) met het volume en het aantal trainingsgevallen.

Om het doel van het verminderen van menselijke discriminatie te bereiken, is het noodzakelijk om de impliciete discriminatie die ten grondslag ligt aan de trainingsgegevens transparant te maken. Hiervoor is vaak het verzamelen van gevoelige gegevens over de betrokkenen vereist, waarvan de gegevens deel uitmaken van de trainingsgegevens. Dit omvat onder andere de religieuze overtuiging of seksuele geaardheid van de betrokkenen.

Het verwerken van gevoelige gegevens met het oog op de bestrijding van discriminatie roept echter juridische zorgen op onder de Algemene Verordening Gegevensbescherming (AVG). Dit komt omdat de AVG nog steeds uitgaat van de veronderstelling dat discriminatie op basis van gevoelige gegevens zoals seksuele geaardheid of etniciteit voorkomen kan worden door in de eerste plaats geen gevoelige gegevens te verzamelen, wat grotendeels een “ik zie geen kleur”-benadering is. We bespreken dit onderwerp uitgebreider in ons artikel.

Met de AI Act heeft de EU-wetgever voor het eerst erkend dat deze veronderstelling onjuist is. De wet staat uitdrukkelijk het gebruik van gevoelige gegevens toe voor zover dit absoluut noodzakelijk is om discriminerende vooroordelen in AI-systemen met een hoog risico tegen te gaan. Deze AI-systemen met een hoog risico omvatten met name AI-systemen die werkgerelateerde beslissingen ondersteunen, bijvoorbeeld door werknemers te evalueren.

De AI Act staat de verwerking van gevoelige gegevens alleen toe onder strikte aanvullende voorwaarden. Deze voorwaarden geven prioriteit aan het beschermen van de belangen van de betrokkenen onder de wetgeving inzake gegevensbescherming.

Meer specifiek moet het gebruik van gevoelige gegevens noodzakelijk zijn voor het detecteren en corrigeren van vooroordelen. Synthetische of geanonimiseerde gegevens zijn hiervoor niet voldoende. Bovendien moeten gevoelige gegevens worden beschermd door de hoogste veiligheidsmaatregelen. Dit omvat strikte toegangscontrole en documentatie van alle toegangen. Bovendien moeten de gevoelige gegevens gepseudonimiseerd worden, zodat de betrokkenen niet direct geïdentificeerd kunnen worden. Tot slot mogen de gevoelige gegevens niet aan derden worden overgedragen en moeten ze worden verwijderd zodra ze niet langer nodig zijn voor het detecteren en corrigeren van vooroordelen. Dit alles moet op de juiste manier worden gedocumenteerd. De AI-wet maakt het gebruik van gevoelige gegevens mogelijk om discriminatie te bestrijden. Deze paradigmaverschuiving is een uiting van een fundamenteel optimisme dat onze maatschappelijke realiteit op een duurzame manier kan worden verbeterd door middel van goed gereguleerde AI. In het bijzonder zal de AI-wet toestaan ​​dat AI-systemen met een hoog risico die worden gebruikt bij werkgerelateerde beslissingen, worden getraind met behulp van gevoelige gegevens binnen de bovengenoemde grenzen om niet-discriminerende beslissingen mogelijk te maken.