ECB poziva banke k boljši kibernetski odpornosti: ugotovljen prostor za izboljšave

Evropska centralna banka poziva banke, naj okrepijo svojo pripravljenost in sposobnost okrevanja po večjih kibernetskih napadih. V svojem prvem testu za oceno ranljivosti finančnega sektorja glede na rastočo grožnjo hekerjev je ECB našla znatne možnosti za izboljšanje sposobnosti bank, da se odzovejo na takšne scenarije. Stresni test ECB je pokazal, da so kljub že obstoječim naprednim odzivnim in obnovitvenim okvirom še vedno možne izboljšave. To je poudarila Anneli Tuominen, članica nadzornega odbora ECB, ki nadzira vodilne denarne ustanove evroobmočja. V zadnjih dveh letih so zlasti zahodne banke zaznale porast kibernetskih napadov. To je deloma posledica ruskih hekerjev, ki delujejo kot odgovor na sankcije, uvedene zaradi vojne v Ukrajini. Prav tako je uporaba umetne inteligence povečala število in kompleksnost napadov. Tuominen je izpostavila pomen kibernetske odpornosti in navedla primer globalnega IT-izpada pri podjetju CrowdStrike, ki je pokazal, kako lahko incidenti v eni instituciji vplivajo na več sektorjev. ECB je poudarila, da je njihov test preučeval odzivnost bank na uspešen hekerski napad in ne njihovo sposobnost preprečevanja. V testu je sodelovalo 109 bank, pri čemer so z vprašalniki in zahtevami za dokumentacijo preverjali njihovo odzivnost na hude kibernetske napade. Pri 28 bankah, ki so predstavljale prerez sektorja, so izvedli dodatne teste, vključno s testi IT-okrevanja in obiski na terenu s strani nadzornikov ECB. Rezultati testa bodo vključeni v letni proces nadzornega pregleda in ocenjevanja ECB, ki ocenjuje tveganja pri vsaki banki in določa njihove kapitalske zahteve. Neposreden vpliv na zahtevano višino kapitala pa ni pričakovan. Poleg načrtovanja kriznega upravljanja in neprekinjenega poslovanja znotraj bank so preverjali tudi njihovo sposobnost komunikacije z zunanjimi stranmi, kot so stranke, organi pregona in ponudniki storitev. Banke so morale dokazati, da so sposobne izvajati nadomestne ukrepe in obnoviti kritične podatke ter sodelovati s pomembnimi tretjimi ponudniki. ECB je ugotovila, da so nadzorni organi vsaki instituciji podali individualne povratne informacije in jih bodo še naprej spremljali. Nekatere banke so že začele izvajati ukrepe za odpravo pomanjkljivosti, ugotovljenih v testu. Odkrivanje in odpravljanje ranljivosti v operativni odpornosti bank, zlasti glede kibernetskih tveganj, ostaja prednostna naloga nadzora bank v ECB za prihodnji dve leti, saj je bila zaznana izrazita rast števila in prefinjenosti hekerskih napadov. Oktobra je Lloyd's of London opozoril, da bi lahko pomemben kibernetski napad na globalni plačilni sistem svetovno gospodarstvo stal 3,5 bilijona dolarjev. Na začetku leta je bila največja španska banka Santander tarča kibernetskega napada, pri katerem so bili podatki strank v Španiji, Čilu in Urugvaju prizadeti. Nekaj tednov kasneje so bili podatki milijonov strank in zaposlenih, vključno s podatki o računih in številkah kreditnih kartic, ponujeni v prodajo na hekerskem forumu. Po podatkih podjetja za kibernetsko varnost Sophos se je število napadov z izsiljevalsko programsko opremo v finančnem sektorju lani povečalo za 64 odstotkov v primerjavi s prejšnjim letom. Novembra je bil newyorški podružnici največje kitajske banke ICBC tarča napada z izsiljevalsko programsko opremo, ki je motil trg ameriških državnih obveznic v vrednosti 25 bilijonov dolarjev.