Η ΕΚΤ προτρέπει τις τράπεζες να βελτιώσουν την κυβερνοανθεκτικότητά τους: Διαπιστώνονται περιθώρια βελτίωσης

Η Ευρωπαϊκή Κεντρική Τράπεζα καλεί τις τράπεζες να αυξήσουν την προετοιμασία και την ανθεκτικότητά τους ενάντια σε μεγάλες κυβερνοεπιθέσεις. Στον πρώτο της έλεγχο για την αξιολόγηση της ευπάθειας του χρηματοοικονομικού τομέα απέναντι στην αυξανόμενη απειλή από χάκερ, η ΕΚΤ διαπίστωσε σημαντικές δυνατότητες βελτίωσης στην ικανότητα των τραπεζών να αντιδρούν σε τέτοια σενάρια. Το τεστ αντοχής της ΕΚΤ έδειξε ότι, ενώ υπάρχουν ήδη ανεπτυγμένα πλαίσια αντίδρασης και ανάκτησης, εξακολουθεί να υπάρχει χώρος για βελτίωση. Αυτό τόνισε η Anneli Tuominen, μέλος του Εποπτικού Συμβουλίου της ΕΚΤ, η οποία επιβλέπει τα κορυφαία χρηματοπιστωτικά ιδρύματα της ζώνης του ευρώ. Τα τελευταία δύο χρόνια, κυρίως οι δυτικές τράπεζες έχουν βιώσει αύξηση των κυβερνοεπιθέσεων. Αυτό οφείλεται εν μέρει σε Ρώσους χάκερ, οι οποίοι αντιδρούν στις κυρώσεις που επιβλήθηκαν ως αποτέλεσμα του πολέμου στην Ουκρανία. Επίσης, η χρήση της Τεχνητής Νοημοσύνης έχει αυξήσει τον αριθμό και την πολυπλοκότητα των επιθέσεων. Η Tuominen υπογράμμισε τη σημασία της κυβερνοανθεκτικότητας και αναφέρθηκε σε μια παγκόσμια διακοπή IT στην CrowdStrike, που έδειξε πώς τα περιστατικά σε έναν οργανισμό μπορούν να επηρεάσουν πολλούς τομείς. Η ΕΚΤ τόνισε ότι το τεστ εξετάζει την αντίδραση των τραπεζών σε μια επιτυχημένη κυβερνοεπίθεση και όχι την ικανότητά τους για πρόληψη. Στον τεστ συμμετείχαν 109 τράπεζες, όπου μέσω ερωτηματολογίων και απαιτήσεων τεκμηρίωσης εξετάστηκε η ικανότητά τους να ανταποκρίνονται σε σοβαρές κυβερνοεπιθέσεις. Σε 28 από τις τράπεζες, που αντιπροσώπευαν έναν διατομεακό δείγμα, πραγματοποιήθηκαν περαιτέρω τεστ, συμπεριλαμβανομένων των τεστ ανάκτησης IT και επισκέψεων επιτόπου από εποπτικούς λειτουργούς της ΕΚΤ. Τα αποτελέσματα του τεστ θα ενσωματωθούν στη διαδικασία ετήσιας εποπτικής ανασκόπησης και αξιολόγησης της ΕΚΤ, η οποία αξιολογεί τους κινδύνους κάθε τράπεζας και καθορίζει τις κεφαλαιακές απαιτήσεις τους. Ωστόσο, δεν αναμένεται άμεση επίδραση στην απαιτούμενη ποσότητα κεφαλαίου. Εκτός από τον σχεδιασμό διαχείρισης κρίσεων και της επιχειρησιακής συνέχειας εντός των τραπεζών, εξετάστηκε επίσης η ικανότητά τους να επικοινωνούν με εξωτερικά μέρη, όπως πελάτες, αρχές επιβολής νόμου και παρόχους υπηρεσιών. Αυτές έπρεπε να αποδείξουν ότι μπορούν να εφαρμόσουν εναλλακτικά μέτρα και να ανακτήσουν κρίσιμα δεδομένα, καθώς και να συνεργαστούν με σημαντικούς τρίτους προμηθευτές. Η ΕΚΤ σημείωσε ότι οι εποπτικές αρχές παρείχαν ατομική ανατροφοδότηση σε κάθε ίδρυμα και θα συνεχίσουν να τα παρακολουθούν αναλόγως. Μερικές τράπεζες έχουν ήδη ξεκινήσει μέτρα για την άρση των ελλείψεων που εντοπίστηκαν στο τεστ. Η ανίχνευση και η αντιμετώπιση των αδυναμιών στην επιχειρησιακή ανθεκτικότητα των τραπεζών, ιδιαίτερα σχετικά με τους κυβερνοκινδύνους, παραμένει κορυφαία προτεραιότητα της εποπτείας της ΕΚΤ για τα επόμενα δύο χρόνια, έπειτα από τη διαπίστωση μιας σημαντικής αύξησης στον αριθμό και την πολυπλοκότητα των κυβερνοεπιθέσεων. Τον Οκτώβριο, η Lloyd's του Λονδίνου προειδοποίησε ότι μια σημαντική κυβερνοεπίθεση σε ένα παγκόσμιο σύστημα πληρωμών θα μπορούσε να κοστίσει στην παγκόσμια οικονομία 3,5 τρισεκατομμύρια δολάρια. Στις αρχές του έτους, η μεγαλύτερη τράπεζα της Ισπανίας, η Santander, χτυπήθηκε από μια κυβερνοεπίθεση που επηρέασε δεδομένα πελατών στην Ισπανία, τη Χιλή και την Ουρουγουάη. Λίγες εβδομάδες αργότερα, δεδομένα εκατομμυρίων πελατών και εργαζομένων, συμπεριλαμβανομένων τραπεζικών λογαριασμών και αριθμών πιστωτικών καρτών, προσφέρθηκαν προς πώληση σε ένα φόρουμ χάκερ. Σύμφωνα με την εταιρεία κυβερνοασφάλειας Sophos, ο αριθμός των επιθέσεων ransomware στον χρηματοοικονομικό τομέα αυξήθηκε κατά 64 τοις εκατό το περασμένο έτος σε σύγκριση με το προηγούμενο έτος. Τον Νοέμβριο, ο παράρτημα της μεγαλύτερης τράπεζας της Κίνας, ICBC, στη Νέα Υόρκη, έγινε στόχος επίθεσης ransomware, που διατάραξε την αγορά ομολόγων του αμερικανικού Υπουργείου Οικονομικών αξίας 25 τρισεκατομμυρίων δολαρίων.