• Σήμερα είναι: Τρίτη, 1 Δεκεμβρίου, 2020

Cybersecurity vs.Capital Controls Σταμάτης Πασσάς

Σταμάτης Πασσάς
T GRC Specialist, MSc, MBA, Υπ. Δρ Σχολής Επιστημών Οικονομίας και Δημόσιας Διοίκησης Παντείου Πανεπιστημίου

Η εφαρμογή του περιορισμού στην κίνηση κεφαλαίων επηρέασε την Πληροφορική (ΙΤ) των επιχειρήσεων. Η διακυβέρνηση της πληροφορικής μπορεί να δώσει τη λύση.

Από την περασμένη χρονιά, στην Ελλάδα έχουμε γίνει μάρτυρες μιας διαφορετικής «προσέγγισης» σε ό,τι αφορά τις χρηματοπιστωτικές μας συναλλαγές. Μέσα σε ένα βράδυ επιβλήθηκε ο γνωστός πλέον σε όλους μας έλεγχος κεφαλαίων1. Ο έλεγχος των κεφαλαίων είναι κάθε μέτρο που λαμβάνεται από μια κυβέρνηση, κεντρική τράπεζα ή άλλη ρυθμιστική αρχή, για να περιορίσει τη ροή κεφαλαίων εντός και εκτός της εγχώριας οικονομίας. Αυτό περιλαμβάνει φόρους, δασμούς, νομοθεσία και περιορισμούς του όγκου των συναλλαγών, καθώς και των υπόλοιπων δυνάμεων της αγοράς. Πλέον των προαναφερομένων, ο έλεγχος στην κίνηση κεφαλαίων μπορεί να επηρεάσει πολλές κατηγορίες ενεργητικού, όπως μετοχές, ομόλογα και τις συναλλαγές σε συνάλλαγμα. Έτσι, από τις 6 Ιουλίου 2015, για όσους κατείχαν ελληνικούς τραπεζικούς λογαριασμούς (εντέλει και όχι μόνο) το ποσό των χρημάτων που μπορούσε κανείς να εκταμιεύσει από τις τράπεζες απλά περιορίστηκε. Φυσικά, αυτό το συμβάν δεν άργησε να φανερώσει τις επιπτώσεις του στις εναλλακτικές λύσεις που υπάρχουν για να μπορέσει κάποιος να εισπράξει χρήματα. Πέραν του παραδοσιακού τρόπου στα γκισέ των καταστημάτων, έγιναν πιο δημοφιλείς τρόποι διεκπεραίωσης τραπεζικών και χρηματιστηριακών συναλλαγών άλλοτε πιο δύσκολοι, ευρισκόμενοι σε ουρές μπροστά σε ATMs, και άλλοτε πιο εύκολοι, με χρήση/εις των ηλεκτρονικών e-banking των τραπεζών (μπροστά από έναν υπολογιστή) ή ακόμα και με τη χρήση των τερματικών POS2. Στις μνήμες των περισσοτέρων (αν όχι όλων) έχει μείνει γραφτή η εικόνα των ουρών μπροστά στα ΑΤΜs, της ζήτησης για κάρτες (χρεωστικές ή πιστωτικές) και της χρήσης της ηλεκτρονικής τραπεζικής. Και όλα αυτά άρχισαν να συμβαίνουν πιο έντονα μετά την 6η Ιουλίου. Μία ημέρα πριν (ίσως και περισσότερες, πολλά έχουν ειπωθεί εξάλλου σχετικά), οι τράπεζες με τα στελέχη τους προετοίμαζαν τη «νέα πραγματικότητα». Μεταβολές στα διαγράμματα ροών (workflows), μετατροπές στα δικαιώματα πρόσβασης (access permissions) και χρήσης και γενικότερα διαχείριση των αλλαγών (change management). Όλα αυτά στα μέσα που διέθεταν και χρησιμοποιούσαν για τις διεργασίες τους, που στη σύγχρονη εποχή δεν μπορούσαν να είναι διαφορετικά από τα ίδια τα πληροφοριακά συστήματα.

Πληροφοριακά συστήματα και κυβερνοασφάλεια

Ο όρος Cybersecurity είναι συμβατός με την ασφάλεια στον κυβερνοχώρο –αναφέρεται επίσης και ως ασφάλεια της τεχνολογίας των πληροφοριών, επικεντρώνεται στην προστασία των υπολογιστών, δικτύων, προγραμμάτων και δεδομένων από ακούσια ή μη εξουσιοδοτημένη πρόσβαση, αλλαγή ή καταστροφή.

Σε ό,τι αφορά τα capital controls, η άμεση εφαρμογή των περιορισμών στην κίνηση των κεφαλαίων είχε ως αποτέλεσμα την επιβολή πολλαπλών αλλαγών στα συστήματα των τραπεζών. Έτσι, από τη μία πλευρά και λόγω του περιορισμένου χρόνου για τον έλεγχο των αλλαγών (testing) και της πιθανής παρέκκλισης από τη διαδικασία διαχείρισης της αλλαγής (change management), ο κίνδυνος της μη εξουσιοδοτημένης πρόσβασης σε αυτά τα συστήματα εν δυνάμει αυξήθηκε. Από την άλλη πλευρά, η επιβολή περιορισμών στην κίνηση των κεφαλαίων από πρόσθετους μηχανισμούς ελέγχου μείωσε σημαντικά τον κίνδυνο της απάτης. Όπως είναι γνωστό, ο κάθε λογής κακόβουλος/επιτήδειος στοχεύει –κυρίως– στην αρπαγή μεγάλου ποσού χρημάτων. Εφόσον οι συναλλαγές ήταν/είναι πλέον δυνατές έως περιορισμένου ποσού, αυτό το γεγονός δρούσε/δρα ανασταλτικά στην προσπάθειά του να διεισδύσει στις κρίσιμες υποδομές. Ως εκ τούτου, το επίπεδο του κινδύνου (εγγενούς, inherent risk) σε σχέση με το αρχικά δηλωθέν (πριν από την ημερομηνία επιβολής capital controls) μειώθηκε.

Άλλες περιπτώσεις που θα μπορούσαν να αναφερθούν ως αποτελέσματα της επιβολής των περιορισμών στις κεφαλαιακές συναλλαγές και κατά συνέπεια ως αποτέλεσμα της αυξημένης ζήτησης μιας «πανάκειας» για τη συνέχιση των οργανισμών είναι ο αυξημένος φόρτος εργασίας για ανταπόκριση στις κανονιστικές ρυθμίσεις και υποχρεώσεις, η αύξηση συναλλαγών στο internet banking, ο αυξημένος φόρτος συναλλαγών στα συστήματα λόγω έκδοσης νέων καρτών, η αυξημένη ζήτηση τερματικών POS.

Συμπέρασμα

Τι χρειάζεται; Μια νέα μορφή διακυβέρνησης στις επιχειρήσεις, η διακυβέρνηση πληροφορικής (αγγλ. Governance of Enterprise IT). Μια διοίκηση και διαχείριση των πληροφοριακών αγαθών που:

– Να στηρίζεται στην ασφάλεια των υποδομών, δικτύων, συστημάτων, εφαρμογών, εξοπλισμών, με πρωτεύοντα στόχο τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητάς τους.

– Να δομεί τα πληροφοριακά συστήματα βάσει προτύπων και μεθοδολογιών, με σκοπό τη διασφάλιση της ποιότητας και των προσφερόμενων υπηρεσιών πληροφορικής.

– Να εντοπίζει, να αξιολογεί, να παρακολουθεί και να διαχειρίζεται τους κινδύνους.

– Να διεξάγει ελέγχους και να αναλύει τα ευρήματα από κάθε υπαρκτή ή πιθανή απειλή, ύποπτη συναλλαγή και απάτη, με σκοπό τη βέλτιστη αντιμετώπιση των κάθε λογής ηλεκτρονικών κρουσμάτων.

Η επιτυχής εφαρμογή διακυβέρνησης της πληροφορικής φέρνει στις επιχειρήσεις αρκετά οφέλη, συμπεριλαμβανομένων του χαμηλότερου κόστους, του μεγαλύτερου ελέγχου και της συνολικής αύξησης της αποδοτικότητας και της αποτελεσματικότητας.

Η αρχή έχει ήδη γίνει. To νέο είδος απειλών ενθάρρυνε τους οργανισμούς (τους χρηματοπιστωτικούς αρχικά, αλλά εντέλει όχι μόνο αυτούς) στην προσπάθειά τους να ενισχύσουν τη διακυβέρνηση. Αυτό που όλοι ήδη γνωρίζουμε είναι ότι αυστηρότεροι κανονισμοί συμμόρφωσης και αυστηρότεροι έλεγχοι ασφάλειας έχουν πλέον επιβληθεί στα χρηματοπιστωτικά ιδρύματα με μια ποικιλία τρόπων. Ωστόσο, αυτό που πρέπει να καταστεί σαφές είναι ότι εκείνα και μόνο τα ιδρύματα/επιχειρήσεις που προσαρμόζονται ή θα προσαρμοστούν καλύτερα σε αυτούς (τους κανονισμούς και τους ελέγχους) θα μπορέσουν να απολαύσουν ένα σαφές ανταγωνιστικό πλεονέκτημα.

Σημειώσεις

1. Τα ξημερώματα της Δευτέρας 29/6/2015 εκδόθηκε Πράξη Νομοθετικού Περιεχομένου, με την οποία η περίοδος από τις 28 Ιουνίου έως τις 6 Ιουλίου κηρύχθηκε τραπεζική αργία, για να προληφθούν οι επιπτώσεις που ήδη εκδηλώνονταν στην αγορά.

2. Η ιστορία με τα τερματικά πιστωτικών και χρεωστικών καρτών (POS) που εκκαθάριζαν τις εισπράξεις επιχειρήσεων σε τράπεζες του εξωτερικού δεν βρίσκεται στους σκοπούς του άρθρου αυτού.