Защо ЕЦБ проведе стрес тест за киберустойчивост?
ЕЦБ провежда ежегодно надзорни стрес тестове в съответствие с член 100 от Директивата за капиталовите изисквания, а на всеки две години участва в стрес тест за целия ЕС, координиран от Европейския банков орган (ЕБО). В годините, в които ЕБО не провежда стрес тест за целия ЕС, ЕЦБ извършва целеви стрес тестове, насочени към конкретен вид риск. Те се провеждат съвместно с националните надзорни органи.
През последните години броят на кибератаките нарасна значително, а киберзаплахите, на които банките са изложени в голяма степен, се променят постоянно. Предвид надзорните приоритети за 2024–2026 г. ЕЦБ призовава поднадзорните банки да постигнат по-нататъшен напредък в цифровата си трансформация и в изграждането на солидни рамки за оперативна устойчивост. Така те ще бъдат подготвени да устоят на кибератака и ще могат да се възстановяват бързо в случай на съществен киберинцидент.
Какъв сценарий се използва за стрес теста?
В сценария се допуска, че превантивните действия и предпазните мерки са били заобиколени или не са сработили и кибератака е успяла да наруши текущите бизнес операции на банките. Те подложиха на тест своите мерки за реакция и възстановяване, включително задействането на процедури и планове за действие при извънредни ситуации, както и възстановяването на нормалните операции. След това надзорните органи оцениха начина, по който банките са се справили с този сценарий. Следователно на оценка бе подложен начинът, по който банките реагират на кибератака и се възстановяват след нея, а не способността им да я предотвратят.
Каква информация докладваха банките на ЕЦБ?
Оценката беше извършена на две равнища – стандартно и високо с допълнителни изисквания. Всички 81 банки, които бяха подложени на стандартна оценка, трябваше да попълнят въпросник и да предоставят информация, например известия за докладване на киберинциденти в ЕНМ, предварително определени документи като вътрешни политики и процедури, свързани с риска в областта на ИКТ, както и резултатите от предходни тестове за възстановяване на ИТ системите при сходен сценарий на този за стрес теста на ЕНМ за киберустойчивост през 2024 г. В допълнение към това 28-те банки, които бяха подложени на задълбочена оценка, трябваше също да проведат реален тест за възстановяване на ИТ системите в съответствие със сценария на стрес теста на ЕНМ за киберустойчивост от 2024 г. и да предоставят доказателства за успешно възстановяване. Те бяха и посетени на място за допълнително осигуряване на качеството.
Как избрахте банките за задълбочената оценка?
Извадката за задълбочената оценка обхваща различни бизнес модели и държави, така че да бъде отразена подходящо картината на банковата система в еврозоната. Изборът не се определяше от съображения, свързани с профила на участващите банки по отношение на киберриска.
Как ще използва ЕЦБ резултатите от теста?
Стрес тестът има предимно качествен характер. Данните, събрани по време на кампанията, ще се използват в по-широкия процес по надзорен преглед и оценка през 2024 г. В края на кампанията банките получиха индивидуален доклад с препоръки за подобрения. Съвместните надзорни екипи ще предприемат последващи стъпки във връзка с тях в рамките на редовните си надзорни дейности. Тъй като това не беше стрес тест, насочен към капитала на банките, резултатите от него няма да се отразят върху техните насоки по Стълб ІІ.