Miksi EKP teki kyberhäiriöiden sietokykyä koskevan stressitestin?
EKP:n pankkivalvonta tekee vuosittain stressitestejä vakavaraisuusdirektiivin artiklan 100 mukaisesti ja osallistuu joka toinen vuosi Euroopan pankkiviranomaisen (EPV) koordinoimaan EU:n laajuiseen stressitestiin. Sen välivuosina EKP tekee itse jotakin tiettyä riskityyppiä koskevan stressitestin yhteistyössä kansallisten valvontaviranomaisten kanssa.
Kyberhyökkäykset ovat lisääntyneet viime vuosina merkittävästi, ja pankit ovat erittäin alttiita alati muuttuville kyberuhille. Yhteisen valvontamekanismin vuosien 2024–2026 valvontaprioriteettien yhtenä tavoitteena onkin valvottavien pankkien digitaalisen muutoksen edistäminen ja operatiivisen häiriönsietokyvyn vankat hallintarakenteet. Näin pankeilla on valmiudet kestää kyberhyökkäyksiä ja palautua niistä nopeasti.
Mitä skenaariota stressitestissä käytettiin?
Skenaariossa oletettiin, että kyberhyökkäyksessä onnistuttiin ohittamaan pankin ennalta ehkäisevät toimet ja suojatoimenpiteet tai ne pettivät, ja pankin päivittäinen toiminta keskeytyi. Pankit testasivat hyökkäyksen vasta- ja palautumistoimia, kuten erilaisia kriisimenettelyjä ja varautumissuunnitelmien käyttöönottoa sekä toimintojen palauttamista normaalitasolle. Sen jälkeen pankkivalvojat arvioivat, miten pankit kykenivät selviytymään skenaariosta. Testissä ei siis arvioitu pankkien valmiutta estää kyberhyökkäyksiä vaan niiden valmiutta toimia hyökkäysten aikana ja palautua niistä.
Millaisia tietoja pankit toimittivat EKP:lle?
Pankkeja arvioitiin kahdella tasolla: vakiotasolla ja tarkemmalla tasolla, johon sisältyi lisävaatimuksia. Vakioarviointiin osallistui 81 pankkia, joita pyydettiin vastaamaan kyselyyn ja toimittamaan siihen liittyvää tietoa ja asiakirjoja, kuten kyberhäiriöiden raportointi-ilmoituksia ja ennalta määriteltyjä asiakirjoja esimerkiksi tieto- ja viestintäteknisiin riskeihin liittyvistä sisäisistä periaatteista ja menettelyistä. Niitä pyydetiin lisäksi toimittamaan tulokset tietojärjestelmien aiemmista palautumistesteistä, joissa oli käytetty samanlaista skenaariota kuin tämänvuotisessa stressitestissä. Tarkempaan arviointiin osallistui 28 pankkia, joita niitäkin pyydettiin toimittamaan edellä mainitut tiedot. Sen lisäksi niitä pyydettiin tekemään konkreettinen tietotekniikan palautumistesti kyberhäiriöiden sietokykyä koskevan stressitestiskenaarion pohjalta. Pankkien piti myös toimittaa näyttöä palautumisen onnistumisesta, ja pankkivalvojat tekivät niihin laadunvarmistuskäyntejä.
Miten tarkempaan arviointiin osallistuneet pankit valittiin?
Tarkemmin arvioituun otokseen kuului eri maissa ja eri liiketoimintamalleilla toimivia pankkeja, jotta euroalueen pankkijärjestelmästä saataisiin asianmukainen kuva. Pankkeja ei valittu otokseen niiden kyberriskiprofiilin perusteella.
Miten EKP aikoo hyödyntää stressitestin tuloksia?
Stressitestissä keskityttiin pääasiassa laadullisiin näkökohtiin. Testituloksia käytetään vakavaraisuuden kokonaisarvioinnissa (SREP) vuonna 2024. Stressitestin päätteeksi pankeille toimitetussa pankkikohtaisessa raportissa oli parannussuosituksia, joiden noudattamista yhteiset valvontaryhmät seuraavat säännöllisen valvonnan yhteydessä. Stressitesti ei koskenut pankkien pääomaa, joten sen tulokset eivät vaikuta pankeille annettavaan pilarin 2 pääomaohjeistukseen.