Κενά στη θωράκιση των τραπεζών απέναντι στους επίδοξους χάκερ διαπιστώνει η ΕΚΤ από το πρώτο τεστ ευπάθειας που πραγματοποίησε με φόντο τη διογκούμενη απειλή για κυβερνοεπιθέσεις.
Η άσκηση προσομοίωσης ακραίων καταστάσεων αξιολόγησε τον τρόπο με τον οποίο οι τράπεζες θα αντιμετώπιζαν ένα σοβαρό αλλά αληθοφανές περιστατικό κυβερνοασφάλειας και θα αποκαθιστούσαν τη λειτουργία τους. Στην άσκηση συμμετείχαν 109 τράπεζες ενώ σε 28 από αυτές διενεργήθηκαν πιο εκτεταμένοι έλεγχοι.
Συνολικά, η άσκηση προσομοίωσης ακραίων καταστάσεων έδειξε ότι οι τράπεζες διαθέτουν πλαίσια για την αντιμετώπιση κυβερνοαπειλής και την αποκατάσταση της λειτουργίας τους, αλλά εξακολουθούν να υπάρχουν περιθώρια βελτίωσης.
Τα αποτελέσματα, τα οποία θα ενσωματωθούν στη Διαδικασία Εποπτικού Ελέγχου και Αξιολόγησης (Supervisory Review and Evaluation Process – SREP) για το 2024, βοήθησαν τις τράπεζες να συνειδητοποιήσουν καλύτερα τα πλεονεκτήματα και τις αδυναμίες των οικείων πλαισίων ανθεκτικότητας έναντι κυβερνοαπειλών.
Το υποθετικό σενάριο της άσκησης
Η άσκηση, η οποία ξεκίνησε τον Ιανουάριο του 2024, περιλάμβανε ένα υποθετικό σενάριο προσομοίωσης ακραίων καταστάσεων σύμφωνα με το οποίο όλα τα προληπτικά μέτρα των τραπεζών απέτυχαν και η κυβερνοεπίθεση έπληξε σοβαρά τις βάσεις δεδομένων των βασικών συστημάτων τους. Ως εκ τούτου, η άσκηση επικεντρώθηκε στον τρόπο με τον οποίο οι τράπεζες θα αντιμετώπιζαν την κυβερνοεπίθεση και θα αποκαθιστούσαν τη λειτουργία τους και όχι στην ικανότητά τους να την αποτρέψουν.
Ο εντοπισμός και η αντιμετώπιση ανεπαρκειών στα πλαίσια επιχειρησιακής ανθεκτικότητας των εποπτευόμενων τραπεζών, συμπεριλαμβανομένων αυτών που απορρέουν από κυβερνοαπειλές, αποτελεί μία από τις εποπτικές προτεραιότητες της ΕΚΤ εντός του ΕΕΜ για την περίοδο 2024-2026. Αυτό αντανακλά την πρόσφατη έξαρση περιστατικών κυβερνοασφάλειας που οι εποπτευόμενες τράπεζες ανέφεραν στην ΕΚΤ – αύξηση που εν μέρει οφείλεται στις αυξανόμενες γεωπολιτικές εντάσεις και τις προκλήσεις που θέτει ο ψηφιακός μετασχηματισμός του τραπεζικού τομέα.
Όλες οι τράπεζες έπρεπε να απαντήσουν σε ερωτηματολόγιο και να υποβάλουν έγγραφα τεκμηρίωσης τα οποία ανέλυσαν οι εποπτικές αρχές, ενώ επιλέχθηκε ένα δείγμα 28 τραπεζών οι οποίες υποβλήθηκαν σε πιο εκτεταμένους ελέγχους. Από αυτές τις 28 τράπεζες ζητήθηκε να διενεργήσουν πραγματικό έλεγχο αποκατάστασης της λειτουργίας των πληροφοριακών συστημάτων τους και να παράσχουν αποδεικτικά στοιχεία για την επιτυχία αυτού του ελέγχου. Σε αυτές τις τράπεζες πραγματοποιήθηκαν επίσης επιτόπιες επισκέψεις από επόπτες. Το δείγμα κάλυψε διαφορετικά επιχειρηματικά μοντέλα και διαφορετικές γεωγραφικές τοποθεσίες ώστε να αντανακλάται το ευρύτερο τραπεζικό σύστημα της ζώνης του ευρώ και να διασφαλίζεται επαρκής συντονισμός με άλλες εποπτικές δραστηριότητες.
Τι ελέγχθηκε
Για να ελέγξουν τον τρόπο αντίδρασής τους σύμφωνα με το σενάριο, οι τράπεζες έπρεπε να δείξουν την ικανότητά τους:
· να ενεργοποιούν τα σχέδια που διαθέτουν για την αντιμετώπιση κρίσεων, συμπεριλαμβανομένων των εσωτερικών διαδικασιών διαχείρισης κρίσεων και των σχεδίων επιχειρησιακής συνέχειας·
· να επικοινωνούν με όλους τους εξωτερικούς ενδιαφερόμενους φορείς, όπως πελάτες, παρόχους υπηρεσιών και φορείς επιβολής του νόμου·
· να διενεργούν ανάλυση για τον προσδιορισμό των υπηρεσιών που θα επηρεάζονταν και τον τρόπο με τον οποίο αυτές θα επηρεάζονταν·
· να εφαρμόζουν μέτρα μετριασμού, συμπεριλαμβανομένων λύσεων που θα βοηθούσαν την τράπεζα να λειτουργήσει κατά το χρονικό διάστημα που θα απαιτούνταν για την πλήρη αποκατάσταση των πληροφοριακών συστημάτων.
Για να ελέγξουν την ικανότητά τους να αποκαταστήσουν τη λειτουργία τους σύμφωνα με το σενάριο, οι τράπεζες έπρεπε να δείξουν ότι θα μπορούσαν:
· να ενεργοποιήσουν τα σχέδια που διαθέτουν για την αποκατάσταση της λειτουργίας τους, συμπεριλαμβανομένης της αποκατάστασης εφεδρικών αντιγράφων και της ευθυγράμμισης με τρίτους παρόχους υπηρεσιών κρίσιμης σημασίας σχετικά με τον τρόπο αντιμετώπισης του περιστατικού·
· να διασφαλίσουν ότι αποκαταστάθηκε η λειτουργία των τομέων που επλήγησαν και ότι αυτοί λειτουργούν κανονικά·
· να εφαρμόσουν τα διδάγματα που αντλήθηκαν, για παράδειγμα επανεξετάζοντας τα σχέδια που διαθέτουν για την αντιμετώπιση κυβερνοαπειλής και την αποκατάσταση της λειτουργίας τους.
Η ΕΚΤ έχει δεσμευθεί να συνεχίσει να συνεργάζεται με τις τράπεζες τις οποίες εποπτεύει ούτως ώστε να ενισχύσει το πλαίσιο ανθεκτικότητας τους έναντι κυβερνοαπειλών. Για τον σκοπό αυτό, θα ενθαρρύνει περαιτέρω τις τράπεζες να συνεχίσουν να εργάζονται για την εκπλήρωση των εποπτικών προσδοκιών, μεταξύ άλλων, διασφαλίζοντας ότι διαθέτουν επαρκή σχέδια επιχειρησιακής συνέχειας, επικοινωνίας και αποκατάστασης της λειτουργίας, τα οποία θα πρέπει να λαμβάνουν υπόψη ένα ευρύ φάσμα σεναρίων κυβερνοαπειλών.
Οι τράπεζες θα πρέπει επίσης να είναι σε θέση να εκπληρώνουν τους δικούς τους στόχους αποκατάστασης της λειτουργίας, να αξιολογούν δεόντως τις εξαρτήσεις από τρίτους παρόχους υπηρεσιών τεχνολογίας πληροφορικής και επικοινωνιών (ΤΠΕ) κρίσιμης σημασίας και να εκτιμούν επαρκώς τις άμεσες και έμμεσες ζημίες από κυβερνοεπίθεση.
Τα αποτελέσματα της άσκησης θα ενσωματωθούν στη SREP του 2024, η οποία αξιολογεί το προφίλ κινδύνου κάθε τράπεζας. Η άσκηση προσομοίωσης ακραίων καταστάσεων έναντι κυβερνοαπειλών δεν επικεντρώνεται στο κεφάλαιο των τραπεζών. Αυτό σημαίνει ότι τα αποτελέσματά της δεν θα επηρεάσουν το κεφάλαιο των τραπεζών μέσω των κατευθύνσεων του Πυλώνα 2. Οι εποπτικές αρχές υπέβαλαν επιμέρους παρατηρήσεις σε κάθε τράπεζα και θα προβούν αντιστοίχως σε περαιτέρω ενέργειες σε συνεργασία με αυτές. Σε ορισμένες περιπτώσεις, οι τράπεζες έχουν ήδη βελτιώσει ή σχεδιάζουν να διορθώσουν τις ελλείψεις που εντοπίστηκαν κατά τη διάρκεια της άσκησης.
Latest News
Ποιον ετοιμάζει ο Τραμπ για τη Fed μέσω.... υπουργείου Οικονομικών
Ο Τραμπ θεωρούσε τον Γουόρς υποψήφιο για επικεφαλής της Fed και στην πρώτη θητεία του
Πώς η Πορτογαλία επιδιώκει να γίνει «φορολογικός παράδεισος» για νέους
Σχέδιο να σταματήσει στην Πορτογαλία το brain drain, με φοροαπαλλαγές τα πρώτα 10 χρόνια της σταδιοδρομίας – Μηδέν φόρος για κάτω των 35 ετών το πρώτο έτος
Η Gen Z «ερωτεύτηκε» τη δουλειά στο Δημόσιο, αλλά... ο Μασκ καραδοκεί
Οι περικοπές στον προϋπολογισμό των ΗΠΑ που σχεδιάζει ο Μασκ μπορεί να δείξει την έξοδο από το Δημόσιο Τομέα
Ποιες πόλεις διεκδικούν τους πλούσιους μετανάστες του Λονδίνου
Οι πλούσιοι κάτοικοι του Λονδίνου φεύγουν για να αποφύγουν τη φορολόγηση - Η Κύπρος, μεταξύ των κρατών που τους διεκδικούν
Η Jaguar αλλάζει το εμβληματικό της λογότυπο
Σε μια προσπάθεια επανεφεύρεσης του εαυτού της, η Jaguar επανασχεδιάζει το διάσημο λογότυπό της
Η θυγατρική της JPMorgan, Chase UK, λανσάρει πιστωτικές κάρτες στην Βρετανία
Η αποκλειστικά ψηφιακή θυγατρική της JPMorgan, Chase UK, κάνει την πρώτη της κίνηση στις πιστώσεις, αφού συγκέντρωσε καταθέσεις άνω των 20 δισ. λιρών
Ντανιέλα Καβάλο: Το πρόσωπο - κλειδί στις διαπραγματεύσεις για τις απολύσεις στη Volkswagen
Κόρη μετανάστη από την Ιταλία, η Ντανιέλα Καβάλο είναι επικεφαλής σωματείων των εργαζομένων στη Volkswagen
Η μεγαλύτερη απώλεια κερδών σε δύο χρόνια για την Target - Μειώνει το guidance
Οι διακριτικές αγορές μπαίνουν σε δεύτερο πλάνο - Τι είδε η Target στα αποτελέσματα του τρίτου τριμήνου και πώς θα κινηθεί μέχρι το τέλος της χρονιάς
Σε καθεστώς πτώχευσης στις ΗΠΑ η Northvolt - Το σχέδιο αναδιάρθρωσης
Η Northvolt δεν κατάφερε να συμφωνήσει με τους επενδυτές σε ένα πακέτο διάσωσης και ζητά υπαγωγή στο Άρθρο 11
Παραιτείται στις 20 Ιανουαρίου ο πρόεδρος της SEC Γκάρι Γκένσλερ
H παραίτηση του έρχεται δυο χρόνια πριν τη λήξη της θητείας του