ESB dovršio testiranje kibernetičke otpornosti

Objavljeno: 26.7.2024.
  • Testiranjem otpornosti na stres ispitivala se sposobnost banaka da odgovore na ozbiljan, ali moguć incident povezan s kibernetičkom sigurnošću i da se od njega oporave.
  • Testiranjem je obuhvaćeno 109 banaka, pri čemu je njih 28 sudjelovalo u opsežnijem testiranju.
  • Rezultati testiranja uzet će se u obzir u postupku nadzorne provjere i ocjene ESB‑a u 2024.

Europska središnja banka (ESB) danas je dovršila testiranje kibernetičke otpornosti, kojim se ispitivala sposobnost banaka da odgovore na ozbiljan, ali moguć incident povezan s kibernetičkom sigurnošću i da se od njega oporave. Općenito govoreći, testiranje otpornosti na stres pokazalo je da su banke uspostavile okvire odgovora i oporavka, ali postoje područja na kojima su potrebna poboljšanja. Rezultati testiranja pridonijeli su povećanju svijesti banaka o prednostima i nedostatcima njihovih okvira kibernetičke otpornosti te će se uzeti u obzir u postupku nadzorne provjere i ocjene (engl. Supervisory Review and Evaluation Process, SREP) u 2024.

Testiranje otpornosti na stres započelo je u siječnju 2024. Uključivalo je izmišljen scenarij u kojem su sve preventivne mjere bile neuspješne i kibernetički je napad snažno utjecao na baze podataka temeljnih sustava svih banaka. Testiranjem se stoga nije ispitivala sposobnost banaka da spriječe kibernetički napad, nego njihova sposobnost da odgovore na kibernetički napad i da se od njega oporave.

Utvrđivanje i otklanjanje manjkavosti u okvirima operativne otpornosti nadziranih banaka, uključujući one koje proizlaze iz kibernetičkih rizika, jedan je od nadzornih prioriteta jedinstvenog nadzornog mehanizma ESB‑a za razdoblje od 2024. do 2026. Razlog je tomu nedavni snažni porast broja kibernetičkih incidenata o kojima su nadzirane banke izvijestile ESB, koji je dijelom posljedica povećanja geopolitičkih napetosti i poteškoća u digitalizaciji bankarskog sektora.

Testiranjem otpornosti na stres obuhvaćeno je 109 banaka koje ESB izravno nadzire. Sve su banke morale ispuniti upitnik i nadzornim tijelima dostaviti dokumentaciju na analizu. Opsežnije testiranje provedeno je na uzorku od 28 banaka, koje su morale provesti stvarni test oporavka IT sustava i dokazati njegov uspješan ishod. Njihovo je testiranje uključivalo i provjeru nadzornih tijela u prostorijama banaka. U uzorak su uključeni različiti poslovni modeli i različita zemljopisna područja kako bi se obuhvatio širi bankovni sustav europodručja i zajamčila dostatna koordinacija s drugim nadzornim aktivnostima.

U ispitivanju sposobnosti odgovora na scenarij banke su morale pokazati da su sposobne učiniti sljedeće:

  • aktivirati planove odgovora na krize, uključujući interne postupke za upravljanje krizama i planove kontinuiteta poslovanja
  • komunicirati sa svim vanjskim dionicima, na primjer klijentima, pružateljima usluga i tijelima za izvršavanje zakonodavstva
  • provesti analizu kako bi utvrdile koje bi usluge bile pogođene i na koji način
  • provesti mjere za ublažavanje posljedica, uključujući zaobilazna rješenja koja bi im olakšala poslovanje do potpunog oporavka IT sustava.

U ispitivanju sposobnosti oporavka od scenarija banke su morale pokazati da su sposobne učiniti sljedeće:

  • aktivirati planove oporavka, uključujući povrat podataka iz sigurnosnih kopija i usklađivanje načina odgovora na incident s ključnim trećim stranama pružateljima usluga
  • pobrinuti se za ponovnu uspostavu i funkcioniranje pogođenih područja
  • primijeniti stečena iskustva, na primjer preispitivanjem planova odgovora i oporavka.

ESB se zalaže za nastavak suradnje s bankama koje nadzire radi jačanja njihovih okvira kibernetičke otpornosti. U tu će svrhu i dalje poticati banke da nastave raditi na ispunjavanju nadzornih očekivanja, i to među ostalim uspostavljanjem odgovarajućih planova kontinuiteta poslovanja, komunikacije i oporavka, u kojima bi se trebao uzeti u obzir dovoljno širok raspon scenarija kibernetičkih rizika. Osim toga, banke bi trebale moći ostvariti vlastite ciljeve oporavka, pravilno ocijeniti ovisnost o ključnim trećim stranama pružateljima IKT usluga i primjereno procijeniti izravne i neizravne gubitke zbog kibernetičkog napada.

Rezultati testiranja uzet će se u obzir u SREP‑u u 2024., kojim se procjenjuju profili rizičnosti pojedinačnih banaka. Budući da testiranje kibernetičke otpornosti nije usmjereno na kapital banaka, njegovi rezultati neće utjecati na preporuku u sklopu drugog stupa. Nadzorna tijela svakoj su banci pružila individualne povratne informacije i poduzet će daljnje aktivnosti u skladu s njima. U nekim su slučajevima banke već uvele poboljšanja ili planiraju ispraviti nedostatke utvrđene tijekom testiranja.

Predstavnici medija mogu se s upitima obratiti Clari Martín Marqués, tel.: +49 69 1344 17919.

Bilješke